Invicti最近的一项研究发现,安全运营团队平均每年花费10,000小时和大约500,000美元来验证不可靠和不正确的漏洞警报。ESG进行的另一项调查发现,组织平均每天从其Web应用程序和API安全工具收到53条警报,其中近一半(45%)是误报。误报(或错误地指示特定环境中存在安全威胁的警报)已成为安全运营团队最大的痛点之一。因为他们的主要任务是监控安全事件并及时调查和响应,所以如果他们被成百上千的虚假警报淹没,无疑会分散他们的注意力,无法有效应对真正的威胁。在实际环境中,完全消除误报几乎是不可能的。但是,安全运营团队可以通过以下五种方式最大程度地减少误报。1.更加关注重要威胁在配置和调整安全警报工具(如入侵检测系统、安全信息和事件管理系统)时,一定要定义规则和行为以仅对与您的环境相关的威胁发出警报。安全工具可以聚合大量日志数据,但从威胁的角度来看,并非所有日志数据都与组织自身的环境相关。Vectra首席技术官TimWade表示,误报频繁发生的原因有以下三个:首先,基于相关性的规则通常无法表达足够数量的必要特征,无法将检测灵敏度和特异性提高到可操作的水平。这种检测往往只能揭示威胁行为,而不能将它们与正常行为区分开来。其次,基于行为的规则关注异常,善于追溯发现威胁。然而,在任何规模的组织中,异常行为都司空见惯,以至于追踪每一个异常都是浪费时间和精力。第三,安全运营团队在分类时缺乏区分恶意事件和正常事件的能力,导致将正常事件和恶意事件归为一类。根据Netenrich首席威胁猎人JohnBambenek的说法,误报的主要原因是安全运营团队未能了解其特定环境中真正的妥协指标(IoC)是什么,以及缺乏有关的良好数据测试规则。许多安全实体通常将妥协指标作为其研究成果的一部分,但有时,有效的妥协指标本身并不足以表明对特定环境的威胁。例如,威胁行为者可能使用Tor,但这并不意味着每次使用Tor都是特定威胁行为者在网络上存在的信号。许多公司显然无法创建上下文检测。2.不要被“误报率”误导安全从业人员常犯的一个错误是过于字面地理解供应商声称的低误报率。JupiterOne的CISOSounilYu表示,SOC厂商可能会声称他们的工具的误报率(FalsePositive,FP)比率为1%,但这并不意味着检测到真正威胁的概率(TruePositive,TP)是99%%。由于合法流量往往远远超过恶意流量,因此检测到真正威胁的百分比通常远低于安全经理最初的预期。也就是说,检测到真正威胁的实际百分比远低于99%,并且随着处理的事件总数的增加而进一步下降。例如,一个SOC工具可能每天处理100,000个事件,其中100个是真实警报,99,900个是误报。在这种情况下,1%的误报率意味着安全团队必须追查999个误报,只有9%的机会从这999个误报中实际检测到真正的威胁。如果我们将事件数量增加到1,000,000,同时将真正警报的数量保持在100,则检测到真正威胁的概率会进一步下降到不到1%。Yu指出,误报率的微小差异会显着影响安全运营团队需要追踪的误报数量。因此,持续调整检测规则以降低误报率并尽可能自动化警报的初始调查至关重要。安全团队还应避免将冗余数据输入检测引擎。与其随机向检测管道中塞入更多数据,不如确保组织仅拥有处理检测规则所需的数据。3.测试你自己的网络DataTheorem的首席运营官DougDooley说,安全运营分析师在追逐低影响的安全警报时往往比误报更累。例如,当组织安全团队寻找可以在应用程序中利用的代码问题,而不是关注对业务有重大影响的问题时,就会发生这种情况。只有当安全团队与业务领导密切合作时,才有可能专注于真正重要的事情并摆脱琐事。试想一下,如果企业最流行的移动应用程序的数据泄露可能会严重损害企业形象,降低股价,甚至失去客户,那么密切关注应用程序堆栈中可利用的漏洞就成为顺畅的业务优先事项。杜利建议组织不要把注意力集中在理论攻击和场景上,而是要对自己的系统进行漏洞测试,以验证是否存在可利用的漏洞。这种测试和验证可以在安全运营团队和DevOps团队之间建立信任和信誉。.4.保持良好的调查记录和指标在一个时间、资源和精力有限的世界里,如果在误报上花费太多,组织就有可能忽视一些可操作的信号。安全运营团队需要维护有效的调查记录和指标,并随着时间的推移改进他们的检测工作,这一点怎么强调都不为过。不幸的是,许多安全运营团队常常忽视此改进过程所需的长期规划。保留调查记录是将威胁再次发生的可能性降到最低的好方法。为了改进检测和微调警报,安全运营团队需要能够从可操作信号中滤除噪音。只有当组织拥有可以回顾和学习的数据时,这才有可能。安全运营团队使用的安全警报工具应该有一个反馈机制和指标,使防御者能够跟踪提供者和来源的误报率。如果安全团队正在使用安全遥测数据湖,他们可以查看基于先前数据的指标和新规则,以了解误报率。5.仅靠自动化是不够的如果实施得当,自动化可以帮助缓解下一代SOC中与警报过载和技能短缺相关的挑战。然而,组织需要熟练的员工,或那些通过托管服务提供商接触到的员工,以充分利用他们的技术。Invicti首席产品官SonaliShah表示,团队每年可能花费多达10,000小时来抑制误报,假设手动确认每个漏洞需要一个小时。然而,超过75%的Invicti调查受访者表示,他们总是或经常手动验证漏洞。在这些情况下,将自动化集成到现有工作流程中可以帮助减轻与误报相关的挑战。S&PGlobalMarketIntelligence分析师DanielKennedy表示,为了充分利用自动化,安全运营团队需要操作员既可以调整日志记录和检测工具,又可以开发集成供应商工具脚本或自定义工具。他们可以通过检查每日模式报告、开发剧本、调整供应商工具以及引入适当级别的自动响应来帮助安全运营团队节省时间。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
