降低安全误报的九条建议

几乎所有安全运营人员最头痛的问题就是海量的告警，最艰难的挑战就是去除告警里的噪音（误报）。

首先，当安全人员围绕中心化的工作队列，如从分类和事件处理到分析、调查、取证和恢复等，来构建工作流时，意味着需要对队列中的所有事件进行优先级排序和回顾检查。但分析人员被迫在噪音的海洋里捞针，真正的安全事件被淹没。

其次，噪音也会带来基础设施成本的增长，有限的安全预算被低价值占用。如，必须尽可能的留存流量、日志、警报、事件，无论其是否具备分析价值。

最后，误报往往会扭曲指标。如，安全事件花费时间百分比、真阳性与假阳性比率、处理的事件数量和事件平均分析时间等指标，将受到噪声的极大影响。误报率越低，这些指标的结果就越准确和有效。

对风险管理的深度理解和践行是建立强大安全计划的最坚实的基础。评估企业面临的风险和威胁，了解它们对企业内部的影响，并了解与每种风险和威胁相关的潜在成本、潜在破坏和损失。

对安全团队能够做出的最重要战略决策，安排解决时间。对上一步(1.)中列举的风险和威胁进行优先排序，并制定短期和长期目标和优先事项。

识别关键资产、关键资源和重要数据存储等，帮助团队了解事件的潜在影响。了解最敏感和最重要的资产、资源和数据在哪里，有助于团队关注遥测中存在的差距。

了解现有的遥测收集，并评估每个数据源是否有助于改进安全团队的检测。如果没有，那么收集它只会增加基础设施成本，而不会增加价值。找到遥测中存在哪些差距会导致团队忽略潜在安全事件，并制定解决这些差距的计划。

仔细研究现有技术，明确哪些技术有帮助，例如生成高度可靠的安全警报、收集有价值的遥测数据，或使流程和工作流更高效。密切关注技术难以解决的问题，而不是技术带来的帮助，以及遥测和检测方面存在的差距。

规则、签名和其他产生大量噪声的检测技术不仅无法提升安全项目的价值。相反，这些默认规则将团队淹埋在误报中，极大的妨碍了及时准确地检测安全事件。也许听起来可能有些激进，但抛弃默认规则集的好处远大于坏处。

“少即是多”，如精准查询，以产生高真实度、高可靠性的警报和事件。虽然实施更高端复杂的检测方法需要大量的前期时间积累，但它带来的回报是巨大的。警报和事件处理的越好，有价值的数据就越多，噪音也越小。

当流程中断或不存在时，世界上最高质量的工作队列也无济于事。世界级的安全团队拥有成熟、高效和有效的流程，指导和控制他们的工作方式。

没有处于理想状态的安全项目，好的安全团队要能够敏锐地意识到安全项目的弱点和改进机会。从上述每一点工作中吸取经验，并利用这些经验不断改进安全项目，这种持续改进才是长期成功的关键。

传统的观念认为，更多的数据、更多的事件和更多的警报有助于更好的检测，但这种观念不仅是过时，而且是扭曲的。正确的做法是，通过基于风险的战略，并贯彻实施降低噪音的方法机制，最终得以提高检测能力和安全项目的成熟度。在更快、更准确地检测安全事件的同时，降低误报，减少噪音带来的资源浪费。

文章来源网络，作者：运维，如若转载，请注明出处：https://shuyeidc.com/wp/144250.html<