1%的误报,足以拖垮你的安全团队
本文转自:计算机世界
(中国计算机世界出版服务公司出品)
文章图片
文章图片
导语
SOC分析师通常要花费大量的时间和精力来跟踪安全警报 , 而这些警报却常常会错误地指示不存在的漏洞 , 怎么办?
文章图片
文章图片
误报(或错误地指示特定环境中存在安全威胁的警报)是安全运营中心(SOC)的一个主要问题 。大量研究表明 , SOC 分析师会花费大量的时间和精力来追踪错误报告 , 有些报告提示系统正面临迫在眉睫的威胁 , 而这些警报最终被证明是良性的 。
Invicti的最新研究发现 , SOC平均每年会浪费1万个小时和大约50万美元在验证不可靠和不正确的漏洞警报上 。Enterprise Strategy 集团(ESG)为Fastly进行的另一项调查发现 , 企业的web应用程序和API安全工具平均每天会发出53次警报 , 其中近一半(45%)是误报 。调查中有十分之九的受访者认为误报会对安全团队产生负面影响 。
Deep Instinct网络安全宣传主管Chuck Everette表示 ,“对于SOC团队来说 , 误报是最大的痛点之一 。” SOC工作的主要重点是监视安全事件 , 并及时地响应和调查这些事件 。他说:“如果SOC团队被成百上千个误报淹没 , 他们的注意力将会被分散 , 而无法对真正的威胁做出及时的反应和有效的应对 。”
完全从环境中消除误报几乎是不可能的 。但是 , SOC可以通过一些方法最大限度地减少在误报上浪费的时间 。以下是五种方法:
关注重要的威胁
在配置和调整安全警报工具 , 例如入侵检测系统、安全信息和事件管理(SIEM)系统时 , 请确保你定义的规则和行为只对与你的环境相关的威胁发出警报 。安全工具可以聚合大量日志数据 , 但这些数据不一定都会在与你相关的环境中构成威胁 。
Vectra CTO团队的技术总监Tim Wade表示 , 大多数SOC管理的大量误报是以下三种情况之一所导致的 , “首先 , 基于相关性的规则通常缺乏表达足够数量的特征的能力 , 这些特征是将检测灵敏度和特异性提高到可操作水平所必需的 。”因此 , 检测往往会显示为威胁行为 , 无法与良性行为区分开来 。
他说 , 第二个问题是 , 基于行为的规则主要关注异常 , 擅于追溯发现威胁 , 但是它经常无法发出行动信号 。“在任何规模的企业中 , ‘有异常是正常的’ , 这意味着存在异常行为是再正常不过的事情 , 因此追查每一个异常无疑是浪费时间和精力的行为 。
文章图片
文章图片
“第三 , SOC自身的事件分类不够成熟 , 无法区分恶意的威胁和良性的警告 。”Wade说 , 这导致良性的警告与误报被归为同一类别 , 因此掩盖了有助于在检测工程工作中实现迭代改进的数据 。
【1%的误报,足以拖垮你的安全团队】Netenrich 的首席威胁猎人John Bambenek说 , 误报的主要原因是SOC未能了解其特定环境中的真正的妥协指标是什么 , 以及缺乏可用于测试规则的良好数据 。许多安全中心经常将妥协指标作为其研究的一部分 , 但有时一个有效的妥协指标本身不足以指明那些对特定环境的威胁 。威胁行为者可以使用Tor 。因此 , 要让妥协指标发挥作用是需要条件的 。但这并不意味着使用Tor的每个人都是网络上的特定威胁参与者 。他说:“大多数研究需要情境信息 , 而许多公司在创造情境检测方面很落后 。”
- 消逝的光芒2|消逝的光芒2哪些地点适合刷装备(新人刷装备地点推荐)
- 互联网快报|一墩难求!预售秒光,33950元的金墩墩已被买走
- 一文读懂!北京冬奥会开幕式背后的“黑科技”
- 消逝的光芒2|《消逝的光芒2》好结局关键选择是什么(好结局关键选择一览)
- 下列哪项是传统正月初八的习俗|下列哪项是传统正月初八的习俗?蚂蚁庄园2022年2月8日答案最新
- 消逝的光芒2|消逝的光芒2市中心发电站卡住怎么办(市中心发电站bug解决方法)
- 你戴的眼镜合格吗?市场监管总局公布最新抽查结果
- 消逝的光芒2|消逝的光芒2彩蛋滑板位置分享(滑板彩蛋怎么获得)
- 消逝的光芒2刷夜魔|消逝的光芒2刷夜魔最佳位置(刷夜魔地点位置推荐)
- 消逝的光芒2|消逝的光芒2彩蛋武器空气手枪在哪(彩蛋武器空气手枪位置分享)