本文转载自微信公众号「计算机世界」,作者Jaikumar Vijayan。转载本文请联系计算机世界公众号。
误报(或错误地指示特定环境中存在安全威胁的警报)是安全运营中心(SOC)的一个主要问题。大量研究表明,SOC 分析师会花费大量的时间和精力来追踪错误报告,有些报告提示系统正面临迫在眉睫的威胁,而这些警报最终被证明是良性的。
Invicti的最新研究发现,SOC平均每年会浪费1万个小时和大约50万美元在验证不可靠和不正确的漏洞警报上。Enterprise Strategy 集团(ESG)为Fastly进行的另一项调查发现,企业的web应用程序和API安全工具平均每天会发出53次警报,其中近一半(45%)是误报。调查中有十分之九的受访者认为误报会对安全团队产生负面影响。
Deep Instinct网络安全宣传主管Chuck Everette表示, “对于SOC团队来说,误报是最大的痛点之一。” SOC工作的主要重点是监视安全事件,并及时地响应和调查这些事件。他说:“如果SOC团队被成百上千个误报淹没,他们的注意力将会被分散,而无法对真正的威胁做出及时的反应和有效的应对。”
完全从环境中消除误报几乎是不可能的。但是,SOC可以通过一些方法最大限度地减少在误报上浪费的时间。以下是五种方法:
关注重要的威胁
在配置和调整安全警报工具,例如入侵检测系统、安全信息和事件管理(SIEM)系统时,请确保你定义的规则和行为只对与你的环境相关的威胁发出警报。安全工具可以聚合大量日志数据,但这些数据不一定都会在与你相关的环境中构成威胁。
Vectra CTO团队的技术总监Tim Wade表示,大多数SOC管理的大量误报是以下三种情况之一所导致的,“首先,基于相关性的规则通常缺乏表达足够数量的特征的能力,这些特征是将检测灵敏度和特异性提高到可操作水平所必需的。”因此,检测往往会显示为威胁行为,无法与良性行为区分开来。
他说,第二个问题是,基于行为的规则主要关注异常,擅于追溯发现威胁,但是它经常无法发出行动信号。“在任何规模的企业中,‘有异常是正常的’,这意味着存在异常行为是再正常不过的事情,因此追查每一个异常无疑是浪费时间和精力的行为。
“第三,SOC自身的事件分类不够成熟,无法区分恶意的威胁和良性的警告。”Wade说,这导致良性的警告与误报被归为同一类别,因此掩盖了有助于在检测工程工作中实现迭代改进的数据。
Netenrich 的首席威胁猎人John Bambenek说,误报的主要原因是SOC未能了解其特定环境中的真正的妥协指标是什么,以及缺乏可用于测试规则的良好数据。许多安全中心经常将妥协指标作为其研究的一部分,但有时一个有效的妥协指标本身不足以指明那些对特定环境的威胁。威胁行为者可以使用Tor。因此,要让妥协指标发挥作用是需要条件的。但这并不意味着使用Tor的每个人都是网络上的特定威胁参与者。他说:“大多数研究需要情境信息,而许多公司在创造情境检测方面很落后。”
不要被“误报率”误导
安全从业者经常错误地对供应商关于低误报率的声明过于较真,仅仅因为SOC工具可能声称误报率为1%。“但1%的误报率并不意味着真警报的概率为99%。”JupiterOne的首席信息安全官Sounil Yu说。由于合法流量通常比恶意流量高,因此真警报率通常会远低于安全管理人员最初的预期。"真警报的实际概率要低得多,而且根据处理的总事件数量来看,这种概率还可能会进一步降低,"Yu说。
例如,他指出一个 SOC 每天可能处理 100,000 个事件,其中 100 个是真实警报,99,900 个是假警报。在这种情况下,1% 的误报率意味着安全团队必须追踪 999 个误报,而真警报的可能性仅为 Yu 所说的 9%。"如果我们将事件数增加到 1,000,000,同时将实际警报数保持 100 个不变,则概率会进一步下降到 1% 以下。
Yu指出,管理员的主要收获是,误报率的微小差异会显著影响SOC团队需要追查的误报数量。因此,必须要不断调整检测规则,以降低误报率,并尽可能做自动化警报的初始调查。安全团队还应该抵制向检测引擎提供比其所需数据还多的数据趋势。他说:"与其随意地将更多数据填充到检测管道中,不如确保你只有处理检测规则所需的数据,并将其他数据留给以后自动扩充。"
作者:Jaikumar Vijayan是一位自由技术作家,专门研究计算机安全和隐私主题。
原文网址:http://www.csoonline.com/article/3641638/5-tips-for-reducing-false-positive-security-alerts.html