為什么安全團(tuán)隊(duì)越來越疲于應(yīng)付告警?該如何減輕他們的工作負(fù)擔(dān)?

[[280543]]

現(xiàn)代安全團(tuán)隊(duì)中存在一個(gè)太過常見的現(xiàn)象：來自多種工具(有時(shí)候是錯(cuò)誤配置的)的告警流淹沒運(yùn)營中心，迫使分析師分辨并排序哪些告警值得注意?？梢哉f，重大問題會在錯(cuò)過關(guān)鍵告警時(shí)出現(xiàn)，并導(dǎo)致安全事件。

加劇告警疲勞的一大因素就是安全團(tuán)隊(duì)對自己的配置或自己擁有的資產(chǎn)沒信心或不確定。最終結(jié)果則是被大量警報(bào)淹沒，因?yàn)樗麄儾焕斫鈫栴}的本質(zhì)，也沒有時(shí)間去理解。

很多公司被告警淹沒是因?yàn)樗麄冎皬牟恍枰幚磉@些告警。

太多公司直到最近都還沒真正接受自己必須檢測攻擊并響應(yīng)事件的事實(shí)。如今，這些從未擁有安全運(yùn)營中心或安全團(tuán)隊(duì)的公司企業(yè)，正在采納威脅檢測，準(zhǔn)備不足也是肯定的。

安全工具組合也在給報(bào)警疲勞問題增加砝碼。我們?nèi)缃癫檎彝{的范圍比以前是廣闊得多了。要監(jiān)視的東西更多，告警也隨之增長。當(dāng)然，告警過載最明顯的風(fēng)險(xiǎn)，就是公司企業(yè)可能會錯(cuò)過最危險(xiǎn)的攻擊。

如果安全人員不得不處理超量告警，他們最終會士氣低落，產(chǎn)生職業(yè)倦怠。更糟的是，不堪應(yīng)付的員工還可能干脆關(guān)閉自己的工具。

這不是技術(shù)的錯(cuò)，問題不在于檢測，而缺乏排序。商業(yè)安全環(huán)境中每個(gè)人都身兼數(shù)職：解析數(shù)據(jù)、撰寫腳本、知曉云端輸入和輸出，還要管理安排自家環(huán)境中的各種技術(shù)。

如今流經(jīng)企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)量可不是十年前能夠想象的。公司企業(yè)無不疲于應(yīng)付，告警暴擊令他們陷于風(fēng)險(xiǎn)。

有問題就有解決問題的辦法，安全專家給出了他們關(guān)于告警疲勞成因與影響的思考，分享了可用于緩解告警疲勞的工具和技術(shù)。您用什么策略對抗警報(bào)過載?哪些有效?不妨參考專家的看法。

1. 自身用例

公司企業(yè)能做的最重要的事就是花時(shí)間理解自身面臨的問題。比如說，如果你使用入侵檢測系統(tǒng) (IDS)，覺得告警太多，你就需要調(diào)查自身環(huán)境中哪些東西可能引起太多誤報(bào)?相對于誤報(bào)，真正的告警有哪些特征?真正的威脅是什么?

為減少告警流，安全團(tuán)隊(duì)?wèi)?yīng)有用于檢測的用例。你的最大擔(dān)憂是什么?如果你擔(dān)心信用卡數(shù)據(jù)流出，你就可以用 IDS 設(shè)置適用于你特定憂慮的規(guī)則。

檢測用例應(yīng)反映公司關(guān)心的東西。高保真用例嚴(yán)格定義你的優(yōu)先考慮。沒人會想說 “我怕任何數(shù)據(jù)流出公司”。該說的是 “我關(guān)心這種數(shù)據(jù)”。

公司應(yīng)花點(diǎn)時(shí)間仔細(xì)思考自己到底想要保護(hù)什么。僅僅是照單劃勾嗎?對著某個(gè)說你必須這么做的規(guī)定、規(guī)則或垂直機(jī)構(gòu)給出的清單劃勾?如果真是這樣，那可真是沒檢查對地方。退回一步，考慮你所有的數(shù)據(jù)——你真的清楚它們都在哪兒嗎?

在相信某條告警之前，你必須了解自己的數(shù)據(jù)。安全團(tuán)隊(duì)?wèi)?yīng)僅在能夠信任自己自動化的數(shù)據(jù)后才利用自動化，分析的信息必須準(zhǔn)確。

2. 小心配置

在采購?fù){檢測工具、安全信息與事件管理 (SIEM) 系統(tǒng)或其他平臺時(shí)，別假定這些工具從一開始就能給出有價(jià)值的信息。若對立即產(chǎn)生明確可行告警的系統(tǒng)抱有過高期待，公司企業(yè)可能會惡化告警疲勞。

不存在一部署就產(chǎn)生明確可行信息的系統(tǒng)。如果你用的工具[顯示]每條告警都是明確且可行的，那你很可能漏掉很多東西。

錯(cuò)誤配置是個(gè)常見而危險(xiǎn)的問題。有些告警系統(tǒng)是亂槍打鳥式的，因?yàn)榘踩珗F(tuán)隊(duì)由于過于謹(jǐn)慎，寧可錯(cuò)殺一千不愿放過一個(gè)。這就造成“狼來了”效應(yīng)，安全團(tuán)隊(duì)被毫無價(jià)值的告警淹沒，最終漸漸無視告警，甚至真正重要的警報(bào)出現(xiàn)也不響應(yīng)了。

配置系統(tǒng)的人缺乏正確配置所需的必要培訓(xùn)和專業(yè)背景是個(gè)很常見的現(xiàn)象。有些系統(tǒng)可能會為對該特定工具而言關(guān)鍵卻難以利用的漏洞觸發(fā)緊急警報(bào)，但實(shí)際上可能不需要采取這種“重大消息立即關(guān)注”的態(tài)度。公司企業(yè)需更好地理解自己的問題。

錯(cuò)誤配置是當(dāng)今安全團(tuán)隊(duì)面臨的最大問題，給安全團(tuán)隊(duì)制造了更多工作量。

3. 威脅工具：調(diào)整 SOAR、SIEM、EDR

安全編排、自動化與響應(yīng) (SOAR) 工具無疑很有幫助，但安全團(tuán)隊(duì)需根據(jù)自身情況校準(zhǔn)該工具確認(rèn)告警的方式。運(yùn)行活動目錄 (AD) 的公司與采用專有系統(tǒng)的公司執(zhí)行的策略就會不一樣。如果正確使用，SOAR 工具可以采取人類分析師會用的步驟確認(rèn)告警。

EDR 工具幫助輸送信息到分類告警的人手中，還可以提供同一系統(tǒng)過去的歷史告警。這比幫助人類分析師無需太多挖掘就能做出判斷還有意義。

有些公司外包告警工作給托管服務(wù)提供商 (MSP)。這種情況下，最好告訴 MSP 具體哪些需要標(biāo)記而哪些不需要。外包、SOAR 和 EDR 都是解決方案的一部分。

對每家公司而言，挑戰(zhàn)與最佳實(shí)踐都是找到工作流自動化、外包和信息呈現(xiàn)之間的平衡點(diǎn)。

4. 學(xué)會操作已有工具

某些情形下，公司某個(gè)工具的預(yù)算只夠采購工具本身，覆蓋不了工具使用所需的培訓(xùn)費(fèi)用。有些公司提供的培訓(xùn)會很貴，但與購買工具卻發(fā)揮不了其價(jià)值相比，還不如多花點(diǎn)錢做好培訓(xùn)。

與錯(cuò)誤配置類似，人員缺乏培訓(xùn)也是告警疲勞的一大原因。安全團(tuán)隊(duì)需要從培訓(xùn)和經(jīng)驗(yàn)中學(xué)習(xí)，還需要向同事學(xué)習(xí)。

大企業(yè)最好多個(gè)安全團(tuán)隊(duì)使用同樣的工具。例如，一家金融機(jī)構(gòu)曾經(jīng)部署了一款產(chǎn)品，后來發(fā)現(xiàn)另一個(gè)分支機(jī)構(gòu)也在用這款工具。兩家分支機(jī)構(gòu)間的跨團(tuán)隊(duì)協(xié)作促進(jìn)了整合，節(jié)省了開支。

只要共享經(jīng)驗(yàn)知識，忽然之間就會發(fā)現(xiàn)產(chǎn)品好用多了。

5. 確保資產(chǎn)更新

確保任一系統(tǒng)的資產(chǎn)是最新版，包括 EDR、VPN、防火墻和云等，也可以幫助削減告警量。盡可能保證分析的數(shù)據(jù)是當(dāng)前最新狀態(tài)，并經(jīng)常檢查這一信息。數(shù)據(jù)是很容易過時(shí)的。

你不會想要等到必須亡羊補(bǔ)牢的時(shí)候再來后悔沒事先更新數(shù)據(jù)。安全團(tuán)隊(duì)可能會接到告警，卻在調(diào)查后發(fā)現(xiàn) IP 地址已經(jīng)不存在了。有些東西可能早該關(guān)了卻仍在運(yùn)行，新員工的筆記本電腦也有可能沒加入到資產(chǎn)注冊表中。此類信息如果沒有更新，就有可能引發(fā)不必要的告警。

技術(shù)需要維護(hù)和清理。安全團(tuán)隊(duì)必須確保之前構(gòu)造的規(guī)則、警報(bào)和儀表板仍適用于現(xiàn)在的企業(yè)環(huán)境。并且，購買新工具時(shí)也得確保沒買入自己已經(jīng)擁有卻沒能恰當(dāng)使用的平臺或功能。

6. 解釋“合法”告警

有必要協(xié)調(diào)安全團(tuán)隊(duì)與服務(wù)提供商，以確保告警不是因?yàn)槟橙酥矣诼毷囟a(chǎn)生的。很多公司，尤其是安全領(lǐng)域內(nèi)的公司，常必須調(diào)查惡意域、文件或其他可疑發(fā)現(xiàn)。安全團(tuán)隊(duì)可能會標(biāo)記此類行為為告警。

公司內(nèi)部需要調(diào)查安全事件的團(tuán)隊(duì)如果因?yàn)樽约旱恼{(diào)查而觸發(fā)安全事件告警，可能會產(chǎn)生很多不必要的戲劇性事件。比如說，安全人員可能會被標(biāo)記為使用 Tor 瀏覽器，但卻是處于合法的業(yè)務(wù)需要在做研究。

7. 從過去的錯(cuò)誤中學(xué)習(xí)

如果出了錯(cuò)、錯(cuò)過了重要告警，或者發(fā)生了安全事件，最好記錄下所有細(xì)節(jié)。出現(xiàn)問題或技術(shù)挑戰(zhàn)的時(shí)候，團(tuán)隊(duì)記錄下發(fā)生的細(xì)節(jié)會花點(diǎn)時(shí)間。但這是向人顯示環(huán)境中事務(wù)進(jìn)行方式的簡單方法。

在配置系統(tǒng)和了解警報(bào)的時(shí)候，讓當(dāng)前和未來員工能夠評估成功和逐步改進(jìn)是很有幫助的。案例研究能夠準(zhǔn)確描繪數(shù)據(jù)流經(jīng)各業(yè)務(wù)環(huán)節(jié)的情形和團(tuán)隊(duì)解決問題的辦法。

安全運(yùn)營是個(gè)主動過程，解決問題的答案存在于公司的風(fēng)險(xiǎn)意識中。大多數(shù)公司在處理安全問題上都是反應(yīng)式的，但其實(shí)安全運(yùn)營應(yīng)該成為日常，要主動發(fā)現(xiàn)潛在問題。

應(yīng)主動記錄、規(guī)劃和嚴(yán)肅對待安全問題。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文