本文轉(zhuǎn)載自微信公眾號「計算機世界」，作者Jaikumar Vijayan。轉(zhuǎn)載本文請聯(lián)系計算機世界公眾號。

誤報(或錯誤地指示特定環(huán)境中存在安全威脅的警報)是安全運營中心(SOC)的一個主要問題。大量研究表明，SOC 分析師會花費大量的時間和精力來追蹤錯誤報告，有些報告提示系統(tǒng)正面臨迫在眉睫的威脅，而這些警報最終被證明是良性的。

Invicti的最新研究發(fā)現(xiàn)，SOC平均每年會浪費1萬個小時和大約50萬美元在驗證不可靠和不正確的漏洞警報上。Enterprise Strategy 集團(ESG)為Fastly進行的另一項調(diào)查發(fā)現(xiàn)，企業(yè)的web應(yīng)用程序和API安全工具平均每天會發(fā)出53次警報，其中近一半(45%)是誤報。調(diào)查中有十分之九的受訪者認為誤報會對安全團隊產(chǎn)生負面影響。

Deep Instinct網(wǎng)絡(luò)安全宣傳主管Chuck Everette表示， “對于SOC團隊來說，誤報是最大的痛點之一?！? SOC工作的主要重點是監(jiān)視安全事件，并及時地響應(yīng)和調(diào)查這些事件。他說:“如果SOC團隊被成百上千個誤報淹沒，他們的注意力將會被分散，而無法對真正的威脅做出及時的反應(yīng)和有效的應(yīng)對?！?/p>

完全從環(huán)境中消除誤報幾乎是不可能的。但是，SOC可以通過一些方法最大限度地減少在誤報上浪費的時間。以下是五種方法：

關(guān)注重要的威脅

在配置和調(diào)整安全警報工具，例如入侵檢測系統(tǒng)、安全信息和事件管理(SIEM)系統(tǒng)時，請確保你定義的規(guī)則和行為只對與你的環(huán)境相關(guān)的威脅發(fā)出警報。安全工具可以聚合大量日志數(shù)據(jù)，但這些數(shù)據(jù)不一定都會在與你相關(guān)的環(huán)境中構(gòu)成威脅。

Vectra CTO團隊的技術(shù)總監(jiān)Tim Wade表示，大多數(shù)SOC管理的大量誤報是以下三種情況之一所導致的，“首先，基于相關(guān)性的規(guī)則通常缺乏表達足夠數(shù)量的特征的能力，這些特征是將檢測靈敏度和特異性提高到可操作水平所必需的?！币虼?，檢測往往會顯示為威脅行為，無法與良性行為區(qū)分開來。

他說，第二個問題是，基于行為的規(guī)則主要關(guān)注異常，擅于追溯發(fā)現(xiàn)威脅，但是它經(jīng)常無法發(fā)出行動信號。“在任何規(guī)模的企業(yè)中，‘有異常是正常的’，這意味著存在異常行為是再正常不過的事情，因此追查每一個異常無疑是浪費時間和精力的行為。

“第三，SOC自身的事件分類不夠成熟，無法區(qū)分惡意的威脅和良性的警告。”Wade說，這導致良性的警告與誤報被歸為同一類別，因此掩蓋了有助于在檢測工程工作中實現(xiàn)迭代改進的數(shù)據(jù)。

Netenrich 的首席威脅獵人John Bambenek說，誤報的主要原因是SOC未能了解其特定環(huán)境中的真正的妥協(xié)指標是什么，以及缺乏可用于測試規(guī)則的良好數(shù)據(jù)。許多安全中心經(jīng)常將妥協(xié)指標作為其研究的一部分，但有時一個有效的妥協(xié)指標本身不足以指明那些對特定環(huán)境的威脅。威脅行為者可以使用Tor。因此，要讓妥協(xié)指標發(fā)揮作用是需要條件的。但這并不意味著使用Tor的每個人都是網(wǎng)絡(luò)上的特定威脅參與者。他說:“大多數(shù)研究需要情境信息，而許多公司在創(chuàng)造情境檢測方面很落后?！?/p>

不要被“誤報率”誤導

安全從業(yè)者經(jīng)常錯誤地對供應(yīng)商關(guān)于低誤報率的聲明過于較真，僅僅因為SOC工具可能聲稱誤報率為1%。“但1%的誤報率并不意味著真警報的概率為99%?！盝upiterOne的首席信息安全官Sounil Yu說。由于合法流量通常比惡意流量高，因此真警報率通常會遠低于安全管理人員最初的預(yù)期。"真警報的實際概率要低得多，而且根據(jù)處理的總事件數(shù)量來看，這種概率還可能會進一步降低，"Yu說。

例如，他指出一個 SOC 每天可能處理 100，000 個事件，其中 100 個是真實警報，99，900 個是假警報。在這種情況下，1% 的誤報率意味著安全團隊必須追蹤 999 個誤報，而真警報的可能性僅為 Yu 所說的 9%。"如果我們將事件數(shù)增加到 1，000，000，同時將實際警報數(shù)保持 100 個不變，則概率會進一步下降到 1% 以下。

Yu指出，管理員的主要收獲是，誤報率的微小差異會顯著影響SOC團隊需要追查的誤報數(shù)量。因此，必須要不斷調(diào)整檢測規(guī)則，以降低誤報率，并盡可能做自動化警報的初始調(diào)查。安全團隊還應(yīng)該抵制向檢測引擎提供比其所需數(shù)據(jù)還多的數(shù)據(jù)趨勢。他說："與其隨意地將更多數(shù)據(jù)填充到檢測管道中，不如確保你只有處理檢測規(guī)則所需的數(shù)據(jù)，并將其他數(shù)據(jù)留給以后自動擴充。"

作者：Jaikumar Vijayan是一位自由技術(shù)作家，專門研究計算機安全和隱私主題。

原文網(wǎng)址：http://www.csoonline.com/article/3641638/5-tips-for-reducing-false-positive-security-alerts.html