本文转载自微信公众号「计算机世界」,作者Jaikumar Vijayan。转载本文请联系计算机世界公众号。
测试自身网络
Data Theorem的COO Doug Dooley表示,比起处理误报,SOC分析师通常更厌倦于追踪影响力较低的安全警报。这种情况可能会出现在,例如当安全团队没法专注于处理那些对业务有重大影响的问题,而是被组织起来寻找在生产应用程序中可能都不会被用到的代码的质量问题时。”secops团队很容易被非关键任务警报所困扰,而这些警报被不公平地归类为’误报’。”Dooley说。
只有当安全团队与业务领导密切合作时,他们才能过滤掉干扰因素,专注到真正重要的事情上。“如果你流行最广的移动应用的数据泄露可能会严重损害你的品牌,降低你的股价,并让你失去客户,那么你就该把关注应用程序堆栈中的可利用漏洞设为高业务优先级。”
Dooley建议企业不要把注意力放在理论攻击和情景上,而是在自己的系统上进行漏洞测试,以验证是否存在任何可以被破坏的、可利用的漏洞。他说,这种测试和验证可以在安全运营团队和DevOps团队之间建立信任和可靠性。
保持良好的记录和指标
保留白费力气的搜索调查记录是减少这种情况再次发生的好方法。为了改进检测和调整警报,SOC 需要从可操作信号中滤除干扰信号,这就需要企业拥有可以回顾和学习的数据。
Vectra的Wade说:“在一个时间、资源和注意力都有限的世界里,每当我们把精力花在一个误报上时,企业就会产生一个可操作的信号被忽视的风险。SOC需要保持有效的调查记录和指标,以不断提高检测工程的工作效率,这一点再怎么强调也不为过。” 不幸的是,对于许多SOC团队来说,这种改善进程所必需的长期规划工作往往会被当下的混乱问题所耽误。
Bambenek说,安全警报工具应该有一个反馈机制和指标,允许防御者跟踪提供商和信息来源的误报率。如果你使用的是安全遥测数据湖,你还可以查看针对以前数据的指标和新规则,以了解误报率。
仅靠自动化是不够的
自动化如果实施得当,可以帮助解决现代 SOC 中的警报过载和技能短缺的问题。但是,企业需要技术熟练的员工,或者能从例如托管服务提供商那里得到人才帮助,才能充分利用自动化技术。
Invicti首席产品官Sonali Shah表示,团队人工确认每个漏洞需要一小时,于是他们每年可能需要花费高达10000个小时来处理误报。然而,在Invicti的调查中,超过四分之三的受访者表示他们总是或经常手动验证漏洞。在这种情况下,集成在现有工作流中的自动化可以帮助解决与误报相关的困难。
S&P全球市场情报分析师Daniel Kennedy表示,为了充分利用这项技术,SOC需要能够调整日志和检测工具,并开发能将供应商的工具整合在一起的脚本或定制工具。Kennedy说:“那些能随着时间的推移,掌握企业技术特性中的自定义特性的操作人员尤其有用。他们可以通过检查每日报告的模式、开发剧本、调整供应商工具和引入适当级别的自动响应来帮助SOC节省时间。”
Deep Instinct的Everette表示,必须调整警报、事件和日志。主题专家必须对系统进行配置,以确保只有高保真警报能被呈现出来,并设置相应的事件触发器,以确保在需要时提高响应的优先级。为了有效地做到这一点,企业必须关联和分析来自如安全日志、事件和威胁数据等多个来源的数据。Everette说,安全警报工具“不是一成不变的机制”。为了最大限度地利用警报工具,SOC需要伺机而动,扩大和增强每个工具的功能,以减少误报的数量并提高其整体安全态势的有效性。
作者:Jaikumar Vijayan是一位自由技术作家,专门研究计算机安全和隐私主题。
原文网址:http://www.csoonline.com/article/3641638/5-tips-for-reducing-false-positive-security-alerts.html
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/137060.html<
