幾乎所有安全運(yùn)營人員最頭痛的問題就是海量的告警，最艱難的挑戰(zhàn)就是去除告警里的噪音（誤報(bào)）。

首先，當(dāng)安全人員圍繞中心化的工作隊(duì)列，如從分類和事件處理到分析、調(diào)查、取證和恢復(fù)等，來構(gòu)建工作流時(shí)，意味著需要對隊(duì)列中的所有事件進(jìn)行優(yōu)先級排序和回顧檢查。但分析人員被迫在噪音的海洋里撈針，真正的安全事件被淹沒。

其次，噪音也會帶來基礎(chǔ)設(shè)施成本的增長，有限的安全預(yù)算被低價(jià)值占用。如，必須盡可能的留存流量、日志、警報(bào)、事件，無論其是否具備分析價(jià)值。

最后，誤報(bào)往往會扭曲指標(biāo)。如，安全事件花費(fèi)時(shí)間百分比、真陽性與假陽性比率、處理的事件數(shù)量和事件平均分析時(shí)間等指標(biāo)，將受到噪聲的極大影響。誤報(bào)率越低，這些指標(biāo)的結(jié)果就越準(zhǔn)確和有效。

降低誤報(bào)的九條建議

1. 風(fēng)險(xiǎn)開始

對風(fēng)險(xiǎn)管理的深度理解和踐行是建立強(qiáng)大安全計(jì)劃的最堅(jiān)實(shí)的基礎(chǔ)。評估企業(yè)面臨的風(fēng)險(xiǎn)和威脅，了解它們對企業(yè)內(nèi)部的影響，并了解與每種風(fēng)險(xiǎn)和威脅相關(guān)的潛在成本、潛在破壞和損失。

2. 制定目標(biāo)和優(yōu)先級

對安全團(tuán)隊(duì)能夠做出的最重要戰(zhàn)略決策，安排解決時(shí)間。對上一步(1.)中列舉的風(fēng)險(xiǎn)和威脅進(jìn)行優(yōu)先排序，并制定短期和長期目標(biāo)和優(yōu)先事項(xiàng)。

3. 評估影響

識別關(guān)鍵資產(chǎn)、關(guān)鍵資源和重要數(shù)據(jù)存儲等，幫助團(tuán)隊(duì)了解事件的潛在影響。了解最敏感和最重要的資產(chǎn)、資源和數(shù)據(jù)在哪里，有助于團(tuán)隊(duì)關(guān)注遙測中存在的差距。

4. 明確數(shù)據(jù)過度與差距

了解現(xiàn)有的遙測收集，并評估每個(gè)數(shù)據(jù)源是否有助于改進(jìn)安全團(tuán)隊(duì)的檢測。如果沒有，那么收集它只會增加基礎(chǔ)設(shè)施成本，而不會增加價(jià)值。找到遙測中存在哪些差距會導(dǎo)致團(tuán)隊(duì)忽略潛在安全事件，并制定解決這些差距的計(jì)劃。

5. 明確技術(shù)過度與差距

仔細(xì)研究現(xiàn)有技術(shù)，明確哪些技術(shù)有幫助，例如生成高度可靠的安全警報(bào)、收集有價(jià)值的遙測數(shù)據(jù)，或使流程和工作流更高效。密切關(guān)注技術(shù)難以解決的問題，而不是技術(shù)帶來的幫助，以及遙測和檢測方面存在的差距。

6. 拋棄默認(rèn)規(guī)則集

規(guī)則、簽名和其他產(chǎn)生大量噪聲的檢測技術(shù)不僅無法提升安全項(xiàng)目的價(jià)值。相反，這些默認(rèn)規(guī)則將團(tuán)隊(duì)淹埋在誤報(bào)中，極大的妨礙了及時(shí)準(zhǔn)確地檢測安全事件。也許聽起來可能有些激進(jìn)，但拋棄默認(rèn)規(guī)則集的好處遠(yuǎn)大于壞處。

7. 實(shí)施精準(zhǔn)檢測

“少即是多”，如精準(zhǔn)查詢，以產(chǎn)生高真實(shí)度、高可靠性的警報(bào)和事件。雖然實(shí)施更高端復(fù)雜的檢測方法需要大量的前期時(shí)間積累，但它帶來的回報(bào)是巨大的。警報(bào)和事件處理的越好，有價(jià)值的數(shù)據(jù)就越多，噪音也越小。

8. 聚焦流程

當(dāng)流程中斷或不存在時(shí)，世界上最高質(zhì)量的工作隊(duì)列也無濟(jì)于事。世界級的安全團(tuán)隊(duì)擁有成熟、高效和有效的流程，指導(dǎo)和控制他們的工作方式。

9. 持續(xù)改進(jìn)

沒有處于理想狀態(tài)的安全項(xiàng)目，好的安全團(tuán)隊(duì)要能夠敏銳地意識到安全項(xiàng)目的弱點(diǎn)和改進(jìn)機(jī)會。從上述每一點(diǎn)工作中吸取經(jīng)驗(yàn)，并利用這些經(jīng)驗(yàn)不斷改進(jìn)安全項(xiàng)目，這種持續(xù)改進(jìn)才是長期成功的關(guān)鍵。

結(jié)論

傳統(tǒng)的觀念認(rèn)為，更多的數(shù)據(jù)、更多的事件和更多的警報(bào)有助于更好的檢測，但這種觀念不僅是過時(shí)，而且是扭曲的。正確的做法是，通過基于風(fēng)險(xiǎn)的戰(zhàn)略，并貫徹實(shí)施降低噪音的方法機(jī)制，最終得以提高檢測能力和安全項(xiàng)目的成熟度。在更快、更準(zhǔn)確地檢測安全事件的同時(shí)，降低誤報(bào)，減少噪音帶來的資源浪費(fèi)。