雷神Foreground Security的高管Carl Manion 2016年11月7日发布博文分享了他应对虚假警报、避免时间浪费的实用经验。
虚假警报指的是那些让你陷入担忧,但进一步调查后发现虚惊一场的警报通知。
刚开始人们觉得这些误报好像只会带来轻微的不便,但如果每天都有成百上千次误报产生,你会发现它们几乎占去了你每天四分之三甚至更多的时间!
更糟糕的是,这的确发生在全球大多数安全操作中心(SOC)网络安全分析师的身上,因为他们一直遵循着传统的、被动的威胁监测方式。
在大多数SOC中,误报是一个关键难题。它们不但需要花一定的时间和资源来处理,而且还会分散安全分析师处理真正安全威胁的精力。
这些分析师可能会因为每天处理许许多多的虚假警报而产生“警报疲劳症”,对各种警报的敏感度降低,最终遗漏真正会发生网络攻击行为的迹象。
那么什么原因造成了虚假警报呢?
据悬镜服务器卫士的工作人员了解到:误报最常见的成因是配置不良或调整不佳的安全工具,例如SIEM、入侵检测系统、入侵防御系统、终端检测与响应工具。
这些系统利用了很多基于一套预定义规则(如已知签名、模式、预期的用户行为等)的攻击检测技术。
当这些工具中的某个规则、签名或模式定义得太宽泛或缺少某些逻辑时通常就会产生误报。根据当前逻辑识别安全事件,就容易产生虚假的威胁事件报警。
下面推荐7个基本习惯可供企业或组织参考借鉴,最大程度地降低误报率:
1)主动出击。
将你的威胁管理方式变得积极主动,如果你所做的就是等待警报响起和警报消失,那么你的时间都会花在误报的处理上而不是发现真正的威胁。主动发现威胁,这是检测最新网络威胁唯一经过验证的方法。
2)目标优先
正确使用报警技术能够大大提高我们识别可疑或恶意活动的能力,这也是悬镜服务器卫士一直在追求的的目标。但很多企业、组织大范围地应用该技术,忽视了重点关注你计划检测的威胁类型这一关键点。
评估你所在企业的风险与安全需求,然后再将报警技术应用于最高风险威胁事件。重点关注你的最终目标,也就是和你计划检测最相关的威胁类型,这会大大降低误报率。
3)高风险警报优先
优先化是SOC减少因误报而造成时间浪费最好的工具之一。可靠性最高并带有检测高风险事件的报警无疑应该被列为优先处理项。
利用这种方法分析人员就可以根据优先级分别处理,确保首先解决风险最高的事件。
4)双赢思维
把人们看做是一个合作性的群体而不是竞争性的。选择合作性的情报源,为你的安全操作中心带来不同的真实性、相关性和价值资源。
(当然要进行明智地选择;如果不够小心,盲目地整合情报站点资源而不评估其真实性,这样产生的误报率会对安全操作中心带来负面影响。)
5)注重理解
处理误报问题首先应该全面理解已有工具想要处理的是什么威胁以及它的运作方式。使用某个工具时,你也应该彻底明确你部署它的原因,而不是根据“常见”情况而作出假设,切忌在默认设置的情况下安装某个工具。
6)协同处理(利用相关性)
很多情况下,一个事件可能不足以引起重视,除非它与其它利益事件一起被观察到。出现这样的情况时,你应该使用一套定义清晰的相关性规则,若各个事件满足所有相关性标准,那么只发送一条警报至分析师的处理安排表中。
7)保持更新。
复查以前的警报,不断吸取教训,更好地制定报警规则。警报复查能够让你明白如何调整、改善现有规则。
如今的网络威胁十分复杂,降低误报率需要智能化、有针对性的警报逻辑来提取重要事件。因此持续调整这种逻辑非常重要。
虽然虚假警报在网络安全操作中总是会存在,但通过遵循以上7条好习惯,降低虚假警报的数量还是有可能的。