分享企业应对虚假警报、避免时间浪费的实用经验

雷神Foregroundroun Security高管Carl Manion 2016年11月7日，他发表了一篇博客文章，分享了他应对虚假警报、避免浪费时间的实践经验。虚假警报是指那些让你担心，但在进一步调查后发现虚假警报的通知。起初，人们认为这些误解似乎只会带来轻微的不便，但如果每天有数百个误解，你会发现它们几乎占了你每天的四分之三或更多的时间！更糟糕的是，这确实发生在世界上大多数安全操作中心（SOC）由于网络安全分析师一直遵循传统的、被动的威胁监测方法。误报是大多数SOC中的一个关键问题。它们不仅需要一定的时间和资源来处理，还需要分散安全分析师处理真正安全威胁的能量。这些分析师可能会因为每天处理许多虚假警报而产生“警报疲劳”，降低对各种警报的敏感性，最终错过网络攻击的真正迹象。那是什么原因导致了虚假警报呢？据悬镜服务器卫士工作人员介绍，误报最常见的原因是安全工具配置不良或调整不良，如SIEM、入侵检测系统，入侵防御系统，终端检测和响应工具。这些系统使用了许多攻击检测技术，基于一套预定义规则（如已知签名、模式、预期用户行为等）。当这些工具中的某些规则、签名或模式被广泛定义或缺乏某些逻辑时，通常会产生误报。根据当前的逻辑识别安全事件，很容易发生虚假的威胁事件报警。以下是企业或组织参考的7个基本习惯，以最大限度地降低误报率：1）主动出击。积极管理你的威胁。如果你所做的是等待警报响起并消失，你的时间将花在处理误报上，而不是发现真正的威胁上。主动发现威胁是检测最新网络威胁的唯一验证方法。2)正确使用报警技术可以大大提高我们识别可疑或恶意活动的能力，这也是悬镜服务器卫士一直在追求的目标。然而，许多企业和组织广泛应用该技术，忽略了关注您计划检测的威胁类型的关键点。评估您所在企业的风险和安全需求，然后将报警技术应用于最高风险威胁事件。关注你的最终目标，即与你计划检测最相关的威胁类型，这将大大降低误报率。3)高风险警报优先是SOC减少误报造成时间浪费的最佳工具之一。具有最高可靠性和检测高风险事件的报警无疑应被列为优先事项。通过这种方法，分析人员可以根据优先级进行处理，以确保首先解决风险最高的事件。4)双赢思维把人视为合作群体，而不是竞争群体。选择合作的情报源，为您的安全操作中心带来不同的真实性、相关性和价值资源。（当然，要做出明智的选择；如果您不够小心，盲目整合情报网站资源而不评估其真实性，误报率将对安全操作中心产生负面影响。）5)注意理解和处理误报问题。首先，我们应该充分了解现有工具想要处理的威胁及其运行模式。当使用一个工具时，你也应该完全澄清你部署它的原因，而不是根据“常见”的情况来假设，避免在默认情况下安装一个工具。6)在许多情况下，除非它与其他利益事件一起被观察到，否则一个事件可能不足以引起重视。在这种情况下，您应该使用一套明确定义的相关规则。如果每个事件都符合所有相关标准，则只向分析师的处理安排表发送一个警告。7)保持更新。回顾以前的报警，不断吸取教训，更好地制定报警规则。警报复查可以让你了解如何调整和改进现有规则。今天的网络威胁非常复杂，需要智能化、有针对性的警报逻辑来提取重要事件来降低误报率。因此，持续调整这一逻辑是非常重要的。虽然虚假警报总是存在于网络安全操作中，但仍有可能通过遵循上述7个好习惯来减少虚假警报的数量。以下是描述这七种习惯的汉化版信息图。小编认为，网络安全在当今社会越来越重要，所以这就是为什么很多企业花很多钱组建相应的团队。