雷神Foreground Security的高管Carl Manion 2016年11月7日發(fā)布博文分享了他應(yīng)對虛假警報(bào)、避免時(shí)間浪費(fèi)的實(shí)用經(jīng)驗(yàn)。
虛假警報(bào)指的是那些讓你陷入擔(dān)憂,但進(jìn)一步調(diào)查后發(fā)現(xiàn)虛驚一場的警報(bào)通知。
剛開始人們覺得這些誤報(bào)好像只會(huì)帶來輕微的不便,但如果每天都有成百上千次誤報(bào)產(chǎn)生,你會(huì)發(fā)現(xiàn)它們幾乎占去了你每天四分之三甚至更多的時(shí)間!
更糟糕的是,這的確發(fā)生在全球大多數(shù)安全操作中心(SOC)網(wǎng)絡(luò)安全分析師的身上,因?yàn)樗麄円恢弊裱鴤鹘y(tǒng)的、被動(dòng)的威脅監(jiān)測方式。
在大多數(shù)SOC中,誤報(bào)是一個(gè)關(guān)鍵難題。它們不但需要花一定的時(shí)間和資源來處理,而且還會(huì)分散安全分析師處理真正安全威脅的精力。
這些分析師可能會(huì)因?yàn)槊刻焯幚碓S許多多的虛假警報(bào)而產(chǎn)生“警報(bào)疲勞癥”,對各種警報(bào)的敏感度降低,最終遺漏真正會(huì)發(fā)生網(wǎng)絡(luò)攻擊行為的跡象。
那么什么原因造成了虛假警報(bào)呢?
據(jù)懸鏡服務(wù)器衛(wèi)士的工作人員了解到:誤報(bào)最常見的成因是配置不良或調(diào)整不佳的安全工具,例如SIEM、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、終端檢測與響應(yīng)工具。
這些系統(tǒng)利用了很多基于一套預(yù)定義規(guī)則(如已知簽名、模式、預(yù)期的用戶行為等)的攻擊檢測技術(shù)。
當(dāng)這些工具中的某個(gè)規(guī)則、簽名或模式定義得太寬泛或缺少某些邏輯時(shí)通常就會(huì)產(chǎn)生誤報(bào)。根據(jù)當(dāng)前邏輯識別安全事件,就容易產(chǎn)生虛假的威脅事件報(bào)警。
下面推薦7個(gè)基本習(xí)慣可供企業(yè)或組織參考借鑒,最大程度地降低誤報(bào)率:
1)主動(dòng)出擊。
將你的威脅管理方式變得積極主動(dòng),如果你所做的就是等待警報(bào)響起和警報(bào)消失,那么你的時(shí)間都會(huì)花在誤報(bào)的處理上而不是發(fā)現(xiàn)真正的威脅。主動(dòng)發(fā)現(xiàn)威脅,這是檢測最新網(wǎng)絡(luò)威脅唯一經(jīng)過驗(yàn)證的方法。
2)目標(biāo)優(yōu)先
正確使用報(bào)警技術(shù)能夠大大提高我們識別可疑或惡意活動(dòng)的能力,這也是懸鏡服務(wù)器衛(wèi)士一直在追求的的目標(biāo)。但很多企業(yè)、組織大范圍地應(yīng)用該技術(shù),忽視了重點(diǎn)關(guān)注你計(jì)劃檢測的威脅類型這一關(guān)鍵點(diǎn)。
評估你所在企業(yè)的風(fēng)險(xiǎn)與安全需求,然后再將報(bào)警技術(shù)應(yīng)用于最高風(fēng)險(xiǎn)威脅事件。重點(diǎn)關(guān)注你的最終目標(biāo),也就是和你計(jì)劃檢測最相關(guān)的威脅類型,這會(huì)大大降低誤報(bào)率。
3)高風(fēng)險(xiǎn)警報(bào)優(yōu)先
優(yōu)先化是SOC減少因誤報(bào)而造成時(shí)間浪費(fèi)最好的工具之一??煽啃宰罡卟в袡z測高風(fēng)險(xiǎn)事件的報(bào)警無疑應(yīng)該被列為優(yōu)先處理項(xiàng)。
利用這種方法分析人員就可以根據(jù)優(yōu)先級分別處理,確保首先解決風(fēng)險(xiǎn)最高的事件。
4)雙贏思維
把人們看做是一個(gè)合作性的群體而不是競爭性的。選擇合作性的情報(bào)源,為你的安全操作中心帶來不同的真實(shí)性、相關(guān)性和價(jià)值資源。
(當(dāng)然要進(jìn)行明智地選擇;如果不夠小心,盲目地整合情報(bào)站點(diǎn)資源而不評估其真實(shí)性,這樣產(chǎn)生的誤報(bào)率會(huì)對安全操作中心帶來負(fù)面影響。)
5)注重理解
處理誤報(bào)問題首先應(yīng)該全面理解已有工具想要處理的是什么威脅以及它的運(yùn)作方式。使用某個(gè)工具時(shí),你也應(yīng)該徹底明確你部署它的原因,而不是根據(jù)“常見”情況而作出假設(shè),切忌在默認(rèn)設(shè)置的情況下安裝某個(gè)工具。
6)協(xié)同處理(利用相關(guān)性)
很多情況下,一個(gè)事件可能不足以引起重視,除非它與其它利益事件一起被觀察到。出現(xiàn)這樣的情況時(shí),你應(yīng)該使用一套定義清晰的相關(guān)性規(guī)則,若各個(gè)事件滿足所有相關(guān)性標(biāo)準(zhǔn),那么只發(fā)送一條警報(bào)至分析師的處理安排表中。
7)保持更新。
復(fù)查以前的警報(bào),不斷吸取教訓(xùn),更好地制定報(bào)警規(guī)則。警報(bào)復(fù)查能夠讓你明白如何調(diào)整、改善現(xiàn)有規(guī)則。
如今的網(wǎng)絡(luò)威脅十分復(fù)雜,降低誤報(bào)率需要智能化、有針對性的警報(bào)邏輯來提取重要事件。因此持續(xù)調(diào)整這種邏輯非常重要。
雖然虛假警報(bào)在網(wǎng)絡(luò)安全操作中總是會(huì)存在,但通過遵循以上7條好習(xí)慣,降低虛假警報(bào)的數(shù)量還是有可能的。
以下是描述這7個(gè)習(xí)慣的漢化版信息圖。
*本文原創(chuàng)作者:Carrie_spinfo,轉(zhuǎn)載來自FreeBuf(FreeBuf.COM)
懸鏡小編認(rèn)為:網(wǎng)絡(luò)安全在當(dāng)今社會(huì)也越來越重要,所以這也是為什么很多企業(yè)花很多錢專門組建相應(yīng)的團(tuán)隊(duì)的原因。