1%的误报，足以拖垮你的安全团队本文转自：计算机世界（中国

本文转自：计算机世界
（中国计算机世界出版服务公司出品）

文章图片

文章图片

导语
SOC分析师通常要花费大量的时间和精力来跟踪安全警报，而这些警报却常常会错误地指示不存在的漏洞，怎么办？

文章图片

文章图片

误报（或错误地指示特定环境中存在安全威胁的警报）是安全运营中心（SOC）的一个主要问题。大量研究表明， SOC 分析师会花费大量的时间和精力来追踪错误报告，有些报告提示系统正面临迫在眉睫的威胁，而这些警报最终被证明是良性的。
Invicti的最新研究发现， SOC平均每年会浪费1万个小时和大约50万美元在验证不可靠和不正确的漏洞警报上。Enterprise Strategy 集团(ESG)为Fastly进行的另一项调查发现，企业的web应用程序和API安全工具平均每天会发出53次警报，其中近一半(45%)是误报。调查中有十分之九的受访者认为误报会对安全团队产生负面影响。
Deep Instinct网络安全宣传主管Chuck Everette表示，“对于SOC团队来说，误报是最大的痛点之一。” SOC工作的主要重点是监视安全事件，并及时地响应和调查这些事件。他说:“如果SOC团队被成百上千个误报淹没，他们的注意力将会被分散，而无法对真正的威胁做出及时的反应和有效的应对。”
完全从环境中消除误报几乎是不可能的。但是， SOC可以通过一些方法最大限度地减少在误报上浪费的时间。以下是五种方法：
关注重要的威胁
在配置和调整安全警报工具，例如入侵检测系统、安全信息和事件管理(SIEM)系统时，请确保你定义的规则和行为只对与你的环境相关的威胁发出警报。安全工具可以聚合大量日志数据，但这些数据不一定都会在与你相关的环境中构成威胁。
Vectra CTO团队的技术总监Tim Wade表示，大多数SOC管理的大量误报是以下三种情况之一所导致的， “首先，基于相关性的规则通常缺乏表达足够数量的特征的能力，这些特征是将检测灵敏度和特异性提高到可操作水平所必需的。”因此，检测往往会显示为威胁行为，无法与良性行为区分开来。
他说，第二个问题是，基于行为的规则主要关注异常，擅于追溯发现威胁，但是它经常无法发出行动信号。“在任何规模的企业中， ‘有异常是正常的’ ，这意味着存在异常行为是再正常不过的事情，因此追查每一个异常无疑是浪费时间和精力的行为。

文章图片

文章图片

“第三， SOC自身的事件分类不够成熟，无法区分恶意的威胁和良性的警告。”Wade说，这导致良性的警告与误报被归为同一类别，因此掩盖了有助于在检测工程工作中实现迭代改进的数据。
【1%的误报，足以拖垮你的安全团队】Netenrich 的首席威胁猎人John Bambenek说，误报的主要原因是SOC未能了解其特定环境中的真正的妥协指标是什么，以及缺乏可用于测试规则的良好数据。许多安全中心经常将妥协指标作为其研究的一部分，但有时一个有效的妥协指标本身不足以指明那些对特定环境的威胁。威胁行为者可以使用Tor 。因此，要让妥协指标发挥作用是需要条件的。但这并不意味着使用Tor的每个人都是网络上的特定威胁参与者。他说:“大多数研究需要情境信息，而许多公司在创造情境检测方面很落后。”