雷神Foreground Security的高管Carl Manion 2016年11月7日發(fā)布博文分享了他應(yīng)對(duì)虛假警報(bào)、避免時(shí)間浪費(fèi)的實(shí)用經(jīng)驗(yàn)。

虛假警報(bào)指的是那些讓你陷入擔(dān)憂，但進(jìn)一步調(diào)查后發(fā)現(xiàn)虛驚一場(chǎng)的警報(bào)通知。

剛開始人們覺得這些誤報(bào)好像只會(huì)帶來輕微的不便，但如果每天都有成百上千次誤報(bào)產(chǎn)生，你會(huì)發(fā)現(xiàn)它們幾乎占去了你每天四分之三甚至更多的時(shí)間！

更糟糕的是，這的確發(fā)生在全球大多數(shù)安全操作中心（SOC）網(wǎng)絡(luò)安全分析師的身上，因?yàn)樗麄円恢弊裱鴤鹘y(tǒng)的、被動(dòng)的威脅監(jiān)測(cè)方式。

在大多數(shù)SOC中，誤報(bào)是一個(gè)關(guān)鍵難題。它們不但需要花一定的時(shí)間和資源來處理，而且還會(huì)分散安全分析師處理真正安全威脅的精力。

這些分析師可能會(huì)因?yàn)槊刻焯幚碓S許多多的虛假警報(bào)而產(chǎn)生“警報(bào)疲勞癥”，對(duì)各種警報(bào)的敏感度降低，最終遺漏真正會(huì)發(fā)生網(wǎng)絡(luò)攻擊行為的跡象。

那么什么原因造成了虛假警報(bào)呢？

據(jù)懸鏡服務(wù)器衛(wèi)士的工作人員了解到：誤報(bào)最常見的成因是配置不良或調(diào)整不佳的安全工具，例如SIEM、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、終端檢測(cè)與響應(yīng)工具。

這些系統(tǒng)利用了很多基于一套預(yù)定義規(guī)則（如已知簽名、模式、預(yù)期的用戶行為等）的攻擊檢測(cè)技術(shù)。

當(dāng)這些工具中的某個(gè)規(guī)則、簽名或模式定義得太寬泛或缺少某些邏輯時(shí)通常就會(huì)產(chǎn)生誤報(bào)。根據(jù)當(dāng)前邏輯識(shí)別安全事件，就容易產(chǎn)生虛假的威脅事件報(bào)警。

下面推薦7個(gè)基本習(xí)慣可供企業(yè)或組織參考借鑒，最大程度地降低誤報(bào)率：

1）主動(dòng)出擊。

將你的威脅管理方式變得積極主動(dòng)，如果你所做的就是等待警報(bào)響起和警報(bào)消失，那么你的時(shí)間都會(huì)花在誤報(bào)的處理上而不是發(fā)現(xiàn)真正的威脅。主動(dòng)發(fā)現(xiàn)威脅，這是檢測(cè)最新網(wǎng)絡(luò)威脅唯一經(jīng)過驗(yàn)證的方法。

2）目標(biāo)優(yōu)先

正確使用報(bào)警技術(shù)能夠大大提高我們識(shí)別可疑或惡意活動(dòng)的能力，這也是懸鏡服務(wù)器衛(wèi)士一直在追求的的目標(biāo)。但很多企業(yè)、組織大范圍地應(yīng)用該技術(shù)，忽視了重點(diǎn)關(guān)注你計(jì)劃檢測(cè)的威脅類型這一關(guān)鍵點(diǎn)。

評(píng)估你所在企業(yè)的風(fēng)險(xiǎn)與安全需求，然后再將報(bào)警技術(shù)應(yīng)用于最高風(fēng)險(xiǎn)威脅事件。重點(diǎn)關(guān)注你的最終目標(biāo)，也就是和你計(jì)劃檢測(cè)最相關(guān)的威脅類型，這會(huì)大大降低誤報(bào)率。

3）高風(fēng)險(xiǎn)警報(bào)優(yōu)先

優(yōu)先化是SOC減少因誤報(bào)而造成時(shí)間浪費(fèi)最好的工具之一?？煽啃宰罡卟в袡z測(cè)高風(fēng)險(xiǎn)事件的報(bào)警無疑應(yīng)該被列為優(yōu)先處理項(xiàng)。

利用這種方法分析人員就可以根據(jù)優(yōu)先級(jí)分別處理，確保首先解決風(fēng)險(xiǎn)最高的事件。

4）雙贏思維

把人們看做是一個(gè)合作性的群體而不是競(jìng)爭(zhēng)性的。選擇合作性的情報(bào)源，為你的安全操作中心帶來不同的真實(shí)性、相關(guān)性和價(jià)值資源。

（當(dāng)然要進(jìn)行明智地選擇；如果不夠小心，盲目地整合情報(bào)站點(diǎn)資源而不評(píng)估其真實(shí)性，這樣產(chǎn)生的誤報(bào)率會(huì)對(duì)安全操作中心帶來負(fù)面影響。）

5）注重理解

處理誤報(bào)問題首先應(yīng)該全面理解已有工具想要處理的是什么威脅以及它的運(yùn)作方式。使用某個(gè)工具時(shí)，你也應(yīng)該徹底明確你部署它的原因，而不是根據(jù)“常見”情況而作出假設(shè)，切忌在默認(rèn)設(shè)置的情況下安裝某個(gè)工具。

6）協(xié)同處理（利用相關(guān)性）

很多情況下，一個(gè)事件可能不足以引起重視，除非它與其它利益事件一起被觀察到。出現(xiàn)這樣的情況時(shí)，你應(yīng)該使用一套定義清晰的相關(guān)性規(guī)則，若各個(gè)事件滿足所有相關(guān)性標(biāo)準(zhǔn)，那么只發(fā)送一條警報(bào)至分析師的處理安排表中。

7）保持更新。

復(fù)查以前的警報(bào)，不斷吸取教訓(xùn)，更好地制定報(bào)警規(guī)則。警報(bào)復(fù)查能夠讓你明白如何調(diào)整、改善現(xiàn)有規(guī)則。

如今的網(wǎng)絡(luò)威脅十分復(fù)雜，降低誤報(bào)率需要智能化、有針對(duì)性的警報(bào)邏輯來提取重要事件。因此持續(xù)調(diào)整這種邏輯非常重要。

雖然虛假警報(bào)在網(wǎng)絡(luò)安全操作中總是會(huì)存在，但通過遵循以上7條好習(xí)慣，降低虛假警報(bào)的數(shù)量還是有可能的。

以下是描述這7個(gè)習(xí)慣的漢化版信息圖。

*本文原創(chuàng)作者：Carrie_spinfo，轉(zhuǎn)載來自FreeBuf（FreeBuf.COM）

 懸鏡小編認(rèn)為：網(wǎng)絡(luò)安全在當(dāng)今社會(huì)也越來越重要，所以這也是為什么很多企業(yè)花很多錢專門組建相應(yīng)的團(tuán)隊(duì)的原因。

最新評(píng)論