本文转载自微信公众号《电脑世界》,作者JaikumarVijayan。转载本文请联系电脑世界公众号。误报(或错误地指示特定环境中存在安全威胁的警报)是安全运营中心(SOC)的主要关注点。大量研究表明,SOC分析师花费大量时间和精力来追踪错误报告,这些错误报告表明对系统的迫在眉睫的威胁最终证明是良性的。Invicti最近的一项研究发现,SOC平均每年浪费10,000小时和大约500,000美元来验证不可靠和不正确的漏洞警报。EnterpriseStrategyGroup(ESG)为Fastly进行的另一项调查发现,企业的Web应用程序和API安全工具平均每天产生53次警报,其中近一半(45%)是误报。十分之九的调查受访者认为误报会对安全团队产生负面影响。“误报是SOC团队最大的痛点之一,”DeepInstinct网络安全宣传主管ChuckEverette说。“如果SOC团队被成百上千的误报淹没,他们就会分心,无法有效应对真正的威胁,”他说。从环境中完全消除误报几乎是不可能的。但是,SOC可以通过多种方式最大限度地减少误报上浪费的时间。以下是五种方法:关注重要威胁威胁敲响警钟。安全工具可以聚合大量日志数据,但并非所有这些数据都可能对您的相关环境构成威胁。VectraCTO团队的技术总监TimWade表示,大多数SOC管理的大量误报是以下三种情况之一的结果,“首先,基于相关性的规则通常缺乏表达足够数量特征的能力这是将检测灵敏度和特异性提高到可操作水平所必需的。”因此,检测往往表现为威胁行为,无法与良性行为区分开来。他说,第二个问题是,基于行为的规则侧重于异常,擅长追溯检测威胁,但往往无法发出信号行动。“在任何规模的任何企业中,‘异常是正常的’意味着异常行为是常态,因此追查每一个异常都是浪费时间和精力。“第三,SOC自身的事件分类还不够成熟,无法区分恶意威胁和良性警告。”Wade说,这导致良性警告和误报被归为同一类别,从而掩盖了有助于检测工程工作的信息。实现迭代改进的数据。Netenrich的首席威胁猎手JohnBambenek表示,误报的主要原因是SOC未能了解其特定环境中真正的妥协指标是什么,以及缺乏可用于测试规则的良好数据。许多安全中心通常将妥协指标作为其研究的一部分,但有时有效的妥协指标本身不足以识别对特定环境的威胁。威胁行为者可以使用Tor。因此,妥协指标发挥作用需要条件。但这并不意味着每个使用Tor的人都是网络上的特定威胁参与者。“大多数研究都需要上下文信息,而许多公司在创建上下文检测方面落后了,”他说。不要被“误报率”误导安全从业者经常错误地把供应商声称的低误报率看得太重,仅仅因为SOC工具可能声称1%的误报率。JupiterOne首席信息安全官SounilYu表示:“但是1%的误报率并不意味着99%的可能性是真正的警报。”由于合法流量通常高于恶意流量,因此真正的警报率通常远低于安全经理最初的预期。“真正报警的实际概率要低得多,而且根据处理的事件总数,它可能会进一步降低,”Yu说。例如,他指出,一个SOC每天可能处理100,000个事件,其中100个是真警报,99,900个是假警报。在这种情况下,1%的误报率意味着安全团队要追踪到999次误报,而真正报警的概率只有Yu所说的9%。“如果我们将事件数量增加到1,000,000,同时将实际警报数量保持在100,则概率会进一步下降到1%以下。”Yu指出,管理员的关键收获是误报的微小百分比方差会显着影响SOC团队需要追查的误报数量。因此,必须不断调整检测规则以降低误报率并尽可能自动化警报的初始调查。安全团队还应该抵制向检测引擎提供比预期更多的信息。需要更多数据的数据趋势。“与其随机地将更多数据塞入检测管道,不如确保你只有处理检测规则所需的数据,其余的留给以后自动增强,”他说。》作者:JaikumarVijayan是一名自由技术作家,专门从事计算机安全和隐私主题。原文网址:https://img.ydisp.cn/news/20220810/uh1lvs5oybq
