为什么安全团队越来越难以应对警报?如何减轻他们的工作量?现代安全团队中一个非常普遍的现象:)警报流涌入运营中心,迫使分析师确定哪些警报值得注意并确定其优先级。可以说,当错过关键警报并导致安全事件时,就会出现重大问题。导致警报疲劳的一个重要因素是安全团队对他们的配置或他们拥有的资产没有信心或不确定。最终结果是被警报淹没,因为他们不了解问题的性质并且没有时间这样做。许多公司被警报淹没,因为他们以前从未处理过这些警报。直到最近,太多的公司还没有真正接受他们必须检测攻击并对事件做出响应。如今,从未有过安全运营中心或安全团队的组织正在接受威胁检测,而且肯定准备不足。安全工具集也加重了警报疲劳问题。今天发现威胁的范围比过去要广泛得多。随着需要监控的事物越来越多,警报也越来越多。当然,警报过载最明显的风险是组织可能会错过最危险的攻击。如果安全人员不得不处理过多的警报,他们最终会士气低落和精疲力竭。更糟糕的是,不堪重负的员工可能会简单地关闭他们自己的工具。这不是技术的错,问题不在于检测,而是缺乏测序。商业安全环境中的每个人都会做很多事情:解析数据、编写脚本、了解云输入和输出,以及管理其环境中的各种技术。今天流经企业网络的数据量在十年前是不可想象的。公司都在努力应对,警告和严重攻击使他们处于危险之中。有问题,就有解决问题的办法。安全专家就警报疲劳的成因和影响发表了自己的看法,并分享了可用于缓解警报疲劳的工具和技术。您使用什么策略来应对警报过载?哪些有效?看看专家怎么说。1.公司能做的最重要的事情就是花时间去了解它所面临的问题。例如,如果您使用入侵检测系统(IDS)并感觉警报太多,则需要调查您的环境中可能导致过多误报的是什么?真实警报与误报的特征是什么?真正的威胁是什么?为了减少警报流,安全团队应该有检测用例。你最担心的是什么?如果您担心信用卡数据被泄露,您可以使用IDS来设置适用于您的特定问题的规则。检测用例应反映公司关心的内容。高保真用例严格定义您的优先级。没有人愿意说“我害怕任何数据离开公司”。它应该说“我关心这些数据”。公司应该花时间仔细考虑他们到底想保护什么。它只是在清单上打勾吗?核对某些法规、规则或垂直行业规定您必须执行的检查清单?如果是这样,你真的没有在正确的地方检查。退后一步,考虑一下您的所有数据——您真的知道它们在哪里吗?在您相信警报之前,您必须了解您的数据。安全团队只有在可以信任他们自动化的数据时才应该利用自动化,并且分析的信息必须准确。2.小心配置在购买威胁检测工具、安全信息和事件管理(SIEM)系统或其他平台时,不要假设这些工具从一开始就会提供有价值的信息。组织可以通过对立即生成清晰且可操作的警报的系统寄予过高期望来加剧警报疲劳。没有系统在部署后立即产生明确的可操作信息。如果您的工具[shows]每个警报都清晰且可操作,那么您很可能会错过很多。错误配置是一个常见且危险的问题。有些警报系统是随机的,因为安全团队过于谨慎,宁可错杀一千,也不愿放过一个。这会产生“狼来了”效应,安全团队被毫无价值的警报淹没,最终忽略警报,甚至不响应真正重要的警报。配置系统的人员缺乏必要的培训和专业知识来正确配置它们的情况并不少见。某些系统可能会针对该特定工具的严重但难以利用的漏洞触发紧急警报,但实际上可能并不需要这种“现在是大新闻”的态度。组织需要更好地了解他们的问题。错误配置是当今安全团队面临的最大问题,给安全团队带来了更多的工作量。3.威胁工具:调整SOAR、SIEM、EDR安全编排、自动化和响应(SOAR)工具当然有帮助,但安全团队需要校准工具如何根据自身情况确认警报。运行ActiveDirectory(AD)的公司将采用与拥有专有系统的公司不同的策略。如果使用得当,SOAR工具可以采取人类分析师为确认警报而采取的步骤。EDR工具有助于将信息传递给对警报进行分类的人员,还可以为同一系统提供过去的警报历史记录。这比帮助人类分析师无需太多挖掘就可以做出判断更有意义。一些公司将警报外包给托管服务提供商(MSP)。在这种情况下,最好准确地告诉MSP哪些需要标记,哪些不需要。外包、SOAR和EDR都是解决方案的一部分。对于每家公司而言,挑战和最佳实践是在工作流程自动化、外包和信息呈现之间找到平衡。4.学会操作现有工具在某些情况下,公司对某种工具的预算仅够购买该工具本身,而无法覆盖使用该工具所需的培训费用。一些公司提供昂贵的培训,但最好花更多的钱在培训上,而不是购买不能发挥其价值的工具。与配置错误类似,人员缺乏培训也是导致警报疲劳的一大原因。安全团队需要从培训和经验中以及他们的同行那里学习。较大的组织最好有多个安全团队使用相同的工具。例如,一家金融机构曾经部署了一款产品,后来发现另一家分支机构正在使用该工具。两个办公室之间的跨团队协作促进了整合并节省了资金。只要分享经验和知识,就会突然发现产品好用多了。5.确保资产更新确保任何系统的资产都是最新的,包括EDR、VPN、防火墙和云,也有助于减少警报量。尽可能保持最新的分析数据,并经常检查此信息。数据很容易过时。您不想等到必须修复它时才后悔没有先更新数据。安全团队可能会收到警报,只是为了调查并发现IP地址不再存在。有些东西可能很久以前就关闭了,但仍在运行,新员工的笔记本电脑可能还没有添加到资产注册表中。如果不更新此类信息,可能会引起不必要的警报。技术需要维护和清洁。安全团队必须确保以前构建的规则、警报和仪表板仍然适用于当今的企业环境。此外,在购买新工具时,请确保您购买的不是您已经拥有但未正确使用的平台或功能。6.解释“合法”警报。有必要协调安全团队和服务提供商,以确保警报不是由执行其工作的人生成的。许多公司,尤其是安全领域的公司,经常需要调查恶意域、文件或其他可疑结果。安全团队可能会将此类行为标记为警报。公司内需要调查安全事件的团队如果因为他们自己的调查而触发安全事件警报,可能会制造很多不必要的戏剧性事件。例如,安全人员可能会被标记为使用Tor浏览器,但正在为合法的业务需求进行研究。7.从过去的错误中吸取教训。如果犯了错误,错过了重要警报,或者发生了安全事件,最好记录所有细节。当出现问题或技术挑战时,团队需要时间来详细记录发生的事情。但这是一种向人类展示环境中事物进展情况的简单方法。在配置系统和了解警报时,允许当前和未来的员工评估成功和增量改进是有帮助的。案例研究准确描述了数据如何在业务中流动以及团队如何解决问题。安全运营是一个主动的过程,问题的答案在于企业的风险意识。大多数企业在处理安全问题时都是被动的,但实际上,安全操作应该成为日常工作,需要主动发现潜在问题。应主动记录、计划和认真对待安全问题。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
