Invicti日前進(jìn)行的調(diào)研發(fā)現(xiàn)，安全運(yùn)營團(tuán)隊(duì)每年平均耗費(fèi)10,000小時(shí)和約500,000美元來驗(yàn)證不可靠及不正確的漏洞警報(bào)。ESG進(jìn)行的另一項(xiàng)調(diào)查發(fā)現(xiàn)，組織平均每天從其Web應(yīng)用程序和API安全工具收到53條警報(bào)，其中，近一半(45%)都是誤報(bào)。

對于安全運(yùn)營團(tuán)隊(duì)來說，誤報(bào)(或錯(cuò)誤地指示特定環(huán)境中存在安全威脅的警報(bào))已經(jīng)成為最大痛點(diǎn)之一。因?yàn)槠渲饕蝿?wù)是監(jiān)控安全事件并及時(shí)調(diào)查和響應(yīng)，如果他們被成百上千的虛假警報(bào)淹沒，無疑會分散其對真正威脅做出有效響應(yīng)的注意力。

在實(shí)際環(huán)境中，完全消除誤報(bào)幾乎不可能。不過，安全運(yùn)營團(tuán)隊(duì)可以通過下述五種方式最大限度地減少誤報(bào)。

[[440563]]

1. 更專注于重要的威脅

在配置和調(diào)整安全警報(bào)工具(例如入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng))時(shí)，請確保定義規(guī)則和行為僅就與自身環(huán)境相關(guān)的威脅發(fā)出警報(bào)。安全工具可以聚合大量日志數(shù)據(jù)，但從威脅的角度來看，并非所有日志數(shù)據(jù)都與組織自身的環(huán)境相關(guān)。

Vectra公司CTO Tim Wade表示，導(dǎo)致誤報(bào)頻發(fā)的原因有三：首先，基于相關(guān)性的規(guī)則通常缺乏表達(dá)足夠數(shù)量必要特征的能力，以將檢測靈敏度和特異性都提高到可操作的水平。這種檢測通常只能揭示威脅行為，卻無法將它們與正常行為區(qū)分開來。第二，基于行為的規(guī)則主要關(guān)注異常，善于追溯發(fā)現(xiàn)威脅。不過，在任何規(guī)模的組織中，存在異常行為都是再正常不過的事情，追查每一個(gè)異常無疑是浪費(fèi)時(shí)間和精力的行為。第三，安全運(yùn)營團(tuán)隊(duì)在分類中缺乏區(qū)分惡意和正常事件的能力，這就導(dǎo)致將正常事件與惡意事件歸為同一類別。

Netenrich公司首席威脅獵手John Bambenek表示，誤報(bào)的主要原因是安全運(yùn)營團(tuán)隊(duì)未能了解在其特定環(huán)境中真正的妥協(xié)指標(biāo)(IoC)是什么，以及缺乏用于測試規(guī)則的良好數(shù)據(jù)。許多安全實(shí)體通常會將妥協(xié)指標(biāo)作為其研究成果的一部分，但有時(shí)，有效的妥協(xié)指標(biāo)本身并不足以表明對特定環(huán)境的威脅。例如，威脅行為者可能會使用Tor，但這并不意味著Tor的每次使用都是特定威脅參與者在網(wǎng)絡(luò)上存在的信號。許多公司在創(chuàng)建上下文檢測方面明顯能力不足。

2. 不要被“誤報(bào)率”誤導(dǎo)

安全從業(yè)人員經(jīng)常犯的一個(gè)錯(cuò)誤，就是將供應(yīng)商關(guān)于低誤報(bào)率的說法理解得過于字面化。JupiterOne公司CISO Sounil Yu表示，SOC廠商可能聲稱其工具的誤報(bào)率(False Positive，簡稱FP)比例為1%，但這并不意味著其檢測真實(shí)威脅(True Positive，簡稱TP)的概率就是99%。由于合法流量往往比惡意流量高出很多，因此檢測真實(shí)威脅的比例通常會遠(yuǎn)低于安全管理人員最初的預(yù)期值。

也就是說，檢測真正威脅的實(shí)際比例要比99%低得多，并且隨著處理的事件總數(shù)增加，該比例還會進(jìn)一步降低。

例如，一個(gè)SOC工具可能每天處理100,000個(gè)事件，其中100個(gè)是真實(shí)警報(bào)，99,900個(gè)是誤報(bào)。在這種情況下，1%的誤報(bào)率意味著安全團(tuán)隊(duì)將不得不追查999個(gè)誤報(bào)，而實(shí)際上在這999個(gè)誤報(bào)中檢測到真實(shí)威脅的概率只有9%。如果我們將事件數(shù)量增加到1,000,000個(gè)，同時(shí)將真實(shí)警報(bào)數(shù)量保持在100，那么檢測真實(shí)威脅的概率會進(jìn)一步下降到不足1%。

Yu指出，誤報(bào)率的微小差異會顯著影響安全運(yùn)營團(tuán)隊(duì)需要追查的誤報(bào)數(shù)量。因此，不斷調(diào)整檢測規(guī)則以降低誤報(bào)率并盡可能自動化警報(bào)的初始調(diào)查至關(guān)重要。安全團(tuán)隊(duì)還應(yīng)避免將多余數(shù)據(jù)輸入檢測引擎，與其隨意將更多數(shù)據(jù)塞入檢測管道，不如確保組織只擁有處理檢測規(guī)則所需的數(shù)據(jù)。

3. 測試自身網(wǎng)絡(luò)

Data Theorem公司首席運(yùn)營官Doug Dooley表示，安全運(yùn)營分析師在追蹤影響較小的安全警報(bào)時(shí)往往比處理誤報(bào)更容易疲勞。例如，當(dāng)組織安全團(tuán)隊(duì)尋找可能會在應(yīng)用程序中被利用的代碼問題，而非專注于對業(yè)務(wù)產(chǎn)生重大影響的問題時(shí)，就會發(fā)生這種情況。

只有當(dāng)安全團(tuán)隊(duì)與業(yè)務(wù)領(lǐng)導(dǎo)密切合作時(shí)，才可能會專注于真正重要的事情并擺脫雜務(wù)。試想一下，如果企業(yè)最流行的移動應(yīng)用程序發(fā)生數(shù)據(jù)泄露，可能會嚴(yán)重?fù)p害企業(yè)形象、降低股價(jià)，甚至流失客戶時(shí)，那么關(guān)注應(yīng)用程序堆棧中的可利用漏洞便順利成為業(yè)務(wù)優(yōu)先級。

Dooley建議組織不要關(guān)注理論型攻擊和場景，而是對自身系統(tǒng)進(jìn)行漏洞測試，以驗(yàn)證是否存在任何可利用的漏洞，這種測試和驗(yàn)證可以在安全運(yùn)營團(tuán)隊(duì)和DevOps團(tuán)隊(duì)間建立信任和可信度。

4. 保持良好的調(diào)查記錄和指標(biāo)

在一個(gè)時(shí)間、資源和精力都有限的世界里，如果在誤報(bào)上耗費(fèi)太多，那么組織就會產(chǎn)生一些可操作信號被忽略的風(fēng)險(xiǎn)。安全運(yùn)營團(tuán)隊(duì)需要保持有效的調(diào)查記錄和指標(biāo)，并隨著時(shí)間的推移改進(jìn)其檢測工作，這一點(diǎn)再怎么強(qiáng)調(diào)也不為過。不幸的是，對于許多安全運(yùn)營團(tuán)隊(duì)來說，這種改善進(jìn)程所必需的長期規(guī)劃工作往往會被忽略。

保持調(diào)查記錄是將威脅再次發(fā)生的可能性降到最低的好方法。為了改進(jìn)檢測和微調(diào)警報(bào)，安全運(yùn)營團(tuán)隊(duì)需要能夠從可操作的信號中濾除噪聲。只有當(dāng)組織擁有可以回顧和學(xué)習(xí)的數(shù)據(jù)時(shí)，才能實(shí)現(xiàn)這一點(diǎn)。安全運(yùn)營團(tuán)隊(duì)使用的安全警報(bào)工具應(yīng)該有一個(gè)反饋機(jī)制和指標(biāo)，使防御者能夠跟蹤提供商和信息源的誤報(bào)率。如果安全團(tuán)隊(duì)正在使用安全遙測數(shù)據(jù)湖，可以根據(jù)以前的數(shù)據(jù)查看指標(biāo)和新規(guī)則，以了解誤報(bào)率。

5. 僅靠自動化還不夠

自動化如果實(shí)施得當(dāng)，可以幫助緩解新一代SOC中與警報(bào)過載和技能短缺相關(guān)的挑戰(zhàn)。但是，組織需要有技能的員工，或者通過托管服務(wù)提供商接觸到的員工，以充分利用他們的技術(shù)。

Invicti首席產(chǎn)品官Sonali Shah表示，假設(shè)手動確認(rèn)每個(gè)漏洞的時(shí)間為1小時(shí)，那么團(tuán)隊(duì)每年可能要耗費(fèi)高達(dá)10,000小時(shí)來抑制誤報(bào)。然而，在Invicti的調(diào)查中，超過75%的受訪者表示，他們總是或經(jīng)常手動驗(yàn)證漏洞。在這些情況下，集成在現(xiàn)有工作流程中的自動化可以幫助緩解與誤報(bào)相關(guān)的挑戰(zhàn)。

標(biāo)普全球市場財(cái)智(S&P Global Market Intelligence)分析師Daniel Kennedy表示，為了從自動化技術(shù)中獲取最大收益，安全運(yùn)營團(tuán)隊(duì)需要配置這樣的操作人員——既能夠調(diào)整日志記錄和檢測工具，又可以開發(fā)集成供應(yīng)商工具腳本或自定義工具。他們可以通過檢查每日模式報(bào)告、開發(fā)手冊、調(diào)整供應(yīng)商工具以及引入適當(dāng)?shù)淖詣禹憫?yīng)級別，來幫助安全運(yùn)營團(tuán)隊(duì)節(jié)省時(shí)間。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文