Invicti日前進行的調研發現,安全運營團隊每年平均耗費10,000小時和約500,000美元來驗證不可靠及不正確的漏洞警報。ESG進行的另一項調查發現,組織平均每天從其Web應用程序和API安全工具收到53條警報,其中,近一半(45%)都是誤報。
對于安全運營團隊來說,誤報(或錯誤地指示特定環境中存在安全威脅的警報)已經成為最大痛點之一。因為其主要任務是監控安全事件并及時調查和響應,如果他們被成百上千的虛假警報淹沒,無疑會分散其對真正威脅做出有效響應的注意力。
在實際環境中,完全消除誤報幾乎不可能。不過,安全運營團隊可以通過下述五種方式最大限度地減少誤報。
在配置和調整安全警報工具(例如入侵檢測系統、安全信息和事件管理系統)時,請確保定義規則和行為僅就與自身環境相關的威脅發出警報。安全工具可以聚合大量日志數據,但從威脅的角度來看,并非所有日志數據都與組織自身的環境相關。
Vectra公司CTOTimWade表示,導致誤報頻發的原因有三:首先,基于相關性的規則通常缺乏表達足夠數量必要特征的能力,以將檢測靈敏度和特異性都提高到可操作的水平。這種檢測通常只能揭示威脅行為,卻無法將它們與正常行為區分開來。第二,基于行為的規則主要關注異常,善于追溯發現威脅。不過,在任何規模的組織中,存在異常行為都是再正常不過的事情,追查每一個異常無疑是浪費時間和精力的行為。第三,安全運營團隊在分類中缺乏區分惡意和正常事件的能力,這就導致將正常事件與惡意事件歸為同一類別。
Netenrich公司首席威脅獵手JohnBambenek表示,誤報的主要原因是安全運營團隊未能了解在其特定環境中真正的妥協指標(IoC)是什么,以及缺乏用于測試規則的良好數據。許多安全實體通常會將妥協指標作為其研究成果的一部分,但有時,有效的妥協指標本身并不足以表明對特定環境的威脅。例如,威脅行為者可能會使用Tor,但這并不意味著Tor的每次使用都是特定威脅參與者在網絡上存在的信號。許多公司在創建上下文檢測方面明顯能力不足。
2.不要被“誤報率”誤導
安全從業人員經常犯的一個錯誤,就是將供應商關于低誤報率的說法理解得過于字面化。JupiterOne公司CISOSounilYu表示,SOC廠商可能聲稱其工具的誤報率(FalsePositive,簡稱FP)比例為1%,但這并不意味著其檢測真實威脅(TruePositive,簡稱TP)的概率就是99%。由于合法流量往往比惡意流量高出很多,因此檢測真實威脅的比例通常會遠低于安全管理人員最初的預期值。
也就是說,檢測真正威脅的實際比例要比99%低得多,并且隨著處理的事件總數增加,該比例還會進一步降低。
例如,一個SOC工具可能每天處理100,000個事件,其中100個是真實警報,99,900個是誤報。在這種情況下,1%的誤報率意味著安全團隊將不得不追查999個誤報,而實際上在這999個誤報中檢測到真實威脅的概率只有9%。如果我們將事件數量增加到1,000,000個,同時將真實警報數量保持在100,那么檢測真實威脅的概率會進一步下降到不足1%。
Yu指出,誤報率的微小差異會顯著影響安全運營團隊需要追查的誤報數量。因此,不斷調整檢測規則以降低誤報率并盡可能自動化警報的初始調查至關重要。安全團隊還應避免將多余數據輸入檢測引擎,與其隨意將更多數據塞入檢測管道,不如確保組織只擁有處理檢測規則所需的數據。
3.測試自身網絡
DataTheorem公司首席運營官DougDooley表示,安全運營分析師在追蹤影響較小的安全警報時往往比處理誤報更容易疲勞。例如,當組織安全團隊尋找可能會在應用程序中被利用的代碼問題,而非專注于對業務產生重大影響的問題時,就會發生這種情況。
只有當安全團隊與業務領導密切合作時,才可能會專注于真正重要的事情并擺脫雜務。試想一下,如果企業最流行的移動應用程序發生數據泄露,可能會嚴重損害企業形象、降低股價,甚至流失客戶時,那么關注應用程序堆棧中的可利用漏洞便順利成為業務優先級。
Dooley建議組織不要關注理論型攻擊和場景,而是對自身系統進行漏洞測試,以驗證是否存在任何可利用的漏洞,這種測試和驗證可以在安全運營團隊和DevOps團隊間建立信任和可信度。
4.保持良好的調查記錄和指標
在一個時間、資源和精力都有限的世界里,如果在誤報上耗費太多,那么組織就會產生一些可操作信號被忽略的風險。安全運營團隊需要保持有效的調查記錄和指標,并隨著時間的推移改進其檢測工作,這一點再怎么強調也不為過。不幸的是,對于許多安全運營團隊來說,這種改善進程所必需的長期規劃工作往往會被忽略。
保持調查記錄是將威脅再次發生的可能性降到最低的好方法。為了改進檢測和微調警報,安全運營團隊需要能夠從可操作的信號中濾除噪聲。只有當組織擁有可以回顧和學習的數據時,才能實現這一點。安全運營團隊使用的安全警報工具應該有一個反饋機制和指標,使防御者能夠跟蹤提供商和信息源的誤報率。如果安全團隊正在使用安全遙測數據湖,可以根據以前的數據查看指標和新規則,以了解誤報率。
5.僅靠自動化還不夠
自動化如果實施得當,可以幫助緩解新一代SOC中與警報過載和技能短缺相關的挑戰。但是,組織需要有技能的員工,或者通過托管服務提供商接觸到的員工,以充分利用他們的技術。
Invicti首席產品官SonaliShah表示,假設手動確認每個漏洞的時間為1小時,那么團隊每年可能要耗費高達10,000小時來抑制誤報。然而,在Invicti的調查中,超過75%的受訪者表示,他們總是或經常手動驗證漏洞。在這些情況下,集成在現有工作流程中的自動化可以幫助緩解與誤報相關的挑戰。
標普全球市場財智(S&PGlobalMarketIntelligence)分析師DanielKennedy表示,為了從自動化技術中獲取最大收益,安全運營團隊需要配置這樣的操作人員——既能夠調整日志記錄和檢測工具,又可以開發集成供應商工具腳本或自定義工具。他們可以通過檢查每日模式報告、開發手冊、調整供應商工具以及引入適當的自動響應級別,來幫助安全運營團隊節省時間。
