安全運營中心減少誤報的五種方式

安全牛
自動化如果實施得當,可以幫助緩解新一代SOC中與警報過載和技能短缺相關(guān)的挑戰(zhàn)。但是,組織需要有技能的員工,或者通過托管服務提供商接觸到的員工,以充分利用他們的技術(shù)。

Invicti日前進行的調(diào)研發(fā)現(xiàn),安全運營團隊每年平均耗費10,000小時和約500,000美元來驗證不可靠及不正確的漏洞警報。ESG進行的另一項調(diào)查發(fā)現(xiàn),組織平均每天從其Web應用程序和API安全工具收到53條警報,其中,近一半(45%)都是誤報。

對于安全運營團隊來說,誤報(或錯誤地指示特定環(huán)境中存在安全威脅的警報)已經(jīng)成為最大痛點之一。因為其主要任務是監(jiān)控安全事件并及時調(diào)查和響應,如果他們被成百上千的虛假警報淹沒,無疑會分散其對真正威脅做出有效響應的注意力。

在實際環(huán)境中,完全消除誤報幾乎不可能。不過,安全運營團隊可以通過下述5種方式最大限度地減少誤報。

1.更專注于重要的威脅

在配置和調(diào)整安全警報工具(例如入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng))時,請確保定義規(guī)則和行為僅就與自身環(huán)境相關(guān)的威脅發(fā)出警報。安全工具可以聚合大量日志數(shù)據(jù),但從威脅的角度來看,并非所有日志數(shù)據(jù)都與組織自身的環(huán)境相關(guān)。

Vectra公司CTO Tim Wade表示,導致誤報頻發(fā)的原因有三:首先,基于相關(guān)性的規(guī)則通常缺乏表達足夠數(shù)量必要特征的能力,以將檢測靈敏度和特異性都提高到可操作的水平。這種檢測通常只能揭示威脅行為,卻無法將它們與正常行為區(qū)分開來。第二,基于行為的規(guī)則主要關(guān)注異常,善于追溯發(fā)現(xiàn)威脅。不過,在任何規(guī)模的組織中,存在異常行為都是再正常不過的事情,追查每一個異常無疑是浪費時間和精力的行為。第三,安全運營團隊在分類中缺乏區(qū)分惡意和正常事件的能力,這就導致將正常事件與惡意事件歸為同一類別。

Netenrich公司首席威脅獵手John Bambenek表示,誤報的主要原因是安全運營團隊未能了解在其特定環(huán)境中真正的妥協(xié)指標(IoC)是什么,以及缺乏用于測試規(guī)則的良好數(shù)據(jù)。許多安全實體通常會將妥協(xié)指標作為其研究成果的一部分,但有時,有效的妥協(xié)指標本身并不足以表明對特定環(huán)境的威脅。例如,威脅行為者可能會使用Tor,但這并不意味著Tor的每次使用都是特定威脅參與者在網(wǎng)絡上存在的信號。許多公司在創(chuàng)建上下文檢測方面明顯能力不足。

2.不要被“誤報率”誤導

安全從業(yè)人員經(jīng)常犯的一個錯誤,就是將供應商關(guān)于低誤報率的說法理解得過于字面化。JupiterOne公司CISO Sounil Yu表示,SOC廠商可能聲稱其工具的誤報率(False Positive,簡稱FP)比例為1%,但這并不意味著其檢測真實威脅(True Positive,簡稱TP)的概率就是99%。由于合法流量往往比惡意流量高出很多,因此檢測真實威脅的比例通常會遠低于安全管理人員最初的預期值。

也就是說,檢測真正威脅的實際比例要比99%低得多,并且隨著處理的事件總數(shù)增加,該比例還會進一步降低。

例如,一個SOC工具可能每天處理100,000個事件,其中100個是真實警報,99,900個是誤報。在這種情況下,1%的誤報率意味著安全團隊將不得不追查999個誤報,而實際上在這999個誤報中檢測到真實威脅的概率只有9%。如果我們將事件數(shù)量增加到1,000,000個,同時將真實警報數(shù)量保持在100,那么檢測真實威脅的概率會進一步下降到不足1%。

Yu指出,誤報率的微小差異會顯著影響安全運營團隊需要追查的誤報數(shù)量。因此,不斷調(diào)整檢測規(guī)則以降低誤報率并盡可能自動化警報的初始調(diào)查至關(guān)重要。安全團隊還應避免將多余數(shù)據(jù)輸入檢測引擎,與其隨意將更多數(shù)據(jù)塞入檢測管道,不如確保組織只擁有處理檢測規(guī)則所需的數(shù)據(jù)。

3.測試自身網(wǎng)絡

Data Theorem公司首席運營官Doug Dooley表示,安全運營分析師在追蹤影響較小的安全警報時往往比處理誤報更容易疲勞。例如,當組織安全團隊尋找可能會在應用程序中被利用的代碼問題,而非專注于對業(yè)務產(chǎn)生重大影響的問題時,就會發(fā)生這種情況。

只有當安全團隊與業(yè)務領導密切合作時,才可能會專注于真正重要的事情并擺脫雜務。試想一下,如果企業(yè)最流行的移動應用程序發(fā)生數(shù)據(jù)泄露,可能會嚴重損害企業(yè)形象、降低股價,甚至流失客戶時,那么關(guān)注應用程序堆棧中的可利用漏洞便順利成為業(yè)務優(yōu)先級。

Dooley建議組織不要關(guān)注理論型攻擊和場景,而是對自身系統(tǒng)進行漏洞測試,以驗證是否存在任何可利用的漏洞,這種測試和驗證可以在安全運營團隊和DevOps團隊間建立信任和可信度。

4.保持良好的調(diào)查記錄和指標

在一個時間、資源和精力都有限的世界里,如果在誤報上耗費太多,那么組織就會產(chǎn)生一些可操作信號被忽略的風險。安全運營團隊需要保持有效的調(diào)查記錄和指標,并隨著時間的推移改進其檢測工作,這一點再怎么強調(diào)也不為過。不幸的是,對于許多安全運營團隊來說,這種改善進程所必需的長期規(guī)劃工作往往會被忽略。

保持調(diào)查記錄是將威脅再次發(fā)生的可能性降到最低的好方法。為了改進檢測和微調(diào)警報,安全運營團隊需要能夠從可操作的信號中濾除噪聲。只有當組織擁有可以回顧和學習的數(shù)據(jù)時,才能實現(xiàn)這一點。安全運營團隊使用的安全警報工具應該有一個反饋機制和指標,使防御者能夠跟蹤提供商和信息源的誤報率。如果安全團隊正在使用安全遙測數(shù)據(jù)湖,可以根據(jù)以前的數(shù)據(jù)查看指標和新規(guī)則,以了解誤報率。

5.僅靠自動化還不夠

自動化如果實施得當,可以幫助緩解新一代SOC中與警報過載和技能短缺相關(guān)的挑戰(zhàn)。但是,組織需要有技能的員工,或者通過托管服務提供商接觸到的員工,以充分利用他們的技術(shù)。

Invicti首席產(chǎn)品官Sonali Shah表示,假設手動確認每個漏洞的時間為1小時,那么團隊每年可能要耗費高達10,000小時來抑制誤報。然而,在Invicti的調(diào)查中,超過75%的受訪者表示,他們總是或經(jīng)常手動驗證漏洞。在這些情況下,集成在現(xiàn)有工作流程中的自動化可以幫助緩解與誤報相關(guān)的挑戰(zhàn)。

標普全球市場財智(S&P Global Market Intelligence)分析師Daniel Kennedy表示,為了從自動化技術(shù)中獲取最大收益,安全運營團隊需要配置這樣的操作人員——既能夠調(diào)整日志記錄和檢測工具,又可以開發(fā)集成供應商工具腳本或自定義工具。他們可以通過檢查每日模式報告、開發(fā)手冊、調(diào)整供應商工具以及引入適當?shù)淖詣禹憫墑e,來幫助安全運營團隊節(jié)省時間。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論