误报(即在没有安全威胁的地方发出安全警报)是SOC(security operations centers)一个难题。大量研究表明,为了识别迫在眉睫的网络威胁,SOC分析师花费大量的时间和精力来跟踪安全报警,但这些报警往往被发现是误报。
安全公司Invicti最近的一项研究发现,SOC验证安全测试的可靠性和威胁警报的真实性平均每年浪费1万小时和50万美元。ESG(Enterprise Strategy Group)为Fastly公司进行的另一项调查发现,一家公司平均每天收到53条来自其web应用和API安全工具报警,但近一半(45%)报警是误报。在调查中,9%的受访者认为误报会对安全团队造成伤害。
Deep Instinct公司网络安全宣传主管Chuck Everette说,对SOC误报是最大的痛点之一。SOC主要工作是监控安全事项,及时调查响应。如果这些真实的安全警报被数百个误报淹没,那么SOC分析师对真实安全报警的响应和处理效率将大大降低。
几乎不可能完全消除误报。然而,有一些方法可以使用SOC尽量缩短处理安全警报的时间。以下是五种方法:
1. 注意重要威胁
配置和调整IDS和SIEM当系统和其他安全报警工具时,请确保定义的规则和行为只有在威胁到相关环境时才会报警。安全工具可以收集大量的日志数据,但并非所有的日志数据都与目标环境有关。
Vectra CTO团队技术总监Tim Wade表示,SOC大部分误报都是由以下三种情况中的一种引起的。
首先,基于相关性的规则通常无法描述足够数量的特征,这是将检测的灵敏度和特殊指标提高到可执行水平所必需的。因此,检测通常只能识别威胁行为,但不能判断它是否良性。
其次,基于行为的规则主要关注异常,善于追溯威胁。但它通常无法发出执行信号。对于任何规模的企业,‘异常是正常的’。这意味着有异常行为是正常的,所以追求每一个异常无疑是浪费时间和精力。
最后,SOC对自身事件的分类不够成熟,无法区分恶意威胁和良性误报。这导致良性警告和误报混淆,一些关键数据可以帮助改进检测过程,实现迭代。
Netenrich 首席威胁猎人John Bambenek表示:误报的主要原因是SOC未能理解特定环境中真正的威胁指标是什么,缺乏可用于测试规则的高质量数据。许多安全实体通常将威胁指标作为其研究的一部分,但有时仅仅依靠有效的威胁指标并不足以识别与特定环境相关的威胁。
例如,一些网络犯罪分子使用它Tor软件。Tor使用与网络威胁有关。但这并不意味着每个使用Tor人都是犯罪分子。大多数研究都需要相关的分析,但许多公司在这方面非常落后。
2. 不要被误报率误导
JupiterOne首席信息安全官Sounil Yu安全管理人员经常对供应商的低误检率声明有过于字面化的理解。SOC工具声明的1%误检率和1%漏检率并不意味着真实安全报警率为99%。由于合法流量通常远高于恶意流量,真实安全报警率通常远低于安全管理人员的初始预期值。事实上,真实安全报警率要低得多,根据处理事件的数量,可能性将进一步降低。
假如一个,他指出SOC每天处理10万起事件,其中只有100起是真实报警,其余9900起是误报。在这种情况下,1%的误检率意味着安全团队必须跟踪99个误报,而真实报警率仅为Yu所以说的9%。如果我们将事件的数量增加到100万,同时将真实警报地的数量保持在100,那么真实警报率将进一步降低到1%以下。
Yu还表示,安全管理人员的主要收获是:误报率的微小差异将显著影响SOC需要处理的误报数量。因此,不断调整检测规则以降低误报率,并尽可能自动化报警的初步调查是非常重要的。另一方面,安全团队还应抑制其将超过所需数量的数据投入检测引擎。与其在检测通道中随机输入过多数据,不如只输入处理检测规则所需的数据,并将剩余数据用于后续的自动扩展。
3. 入侵自己的网络
Data Theorem公司的COO,Doug Dooley表示:SOC分析师在处理低影响的安全报警时往往比处理误报更费力。例如,安全团队将被要求识别应用程序开发中可能存在的代码质量问题,而不是关注对业务有重大影响的问题。SecOps该团队很容易被一些非关键警报所困,被误归类为误报。
只有当安全团队与业务领导密切合作时,他们才能专注于真正重要的事情,过滤掉不重要的事情。如果是最受欢迎的APP数据泄露可能严重损害品牌效益,降低股价,使公司失去客户APP栈中可用的威胁将成为优先事项。
Dooley建议组织在自己的系统上进行威胁测试,以验证是否存在可被利用的威胁,而不是将重点放在理论攻击和脚本上。他表示:这样的测试和验证可以在安全运营团队和开发团队之间建立信任和可信度。
4. 维护良好的记录和指标
记录无用的调查是减少重蹈覆辙可能性的好方法。为了改进检测和微调报警,SOC噪声需要能够从可执行信号中过滤掉。这就要求组织有数据可以回顾和学习。
Vectra公司的Wade说:在一个时间、资源和精力有限的世界里,每次你把精力浪费在处理误报上,企业就会忽略可执行信号的风险。毫不夸张地说,SOC为了不断改进其检测项目,需要维护其调查的有效记录和指标。不幸的是,对许多人来说,SOC对于团队来说,这一改进过程所必需的长期规划往往会被当前的混乱所耽误。
Bambenek表示:安全报警工具应具有反馈机制和指标,允许安全维护人员跟踪供应商和信息源的误报率。如果您使用安全遥测数据湖,您也可以查看指标和新规则,以了解误报率。
5. 自动化是不够的
自动化的有效实施有助于现代化SOC,应对过载报警或缺乏技能带来的挑战。然而,组织仍然需要操作人员或使用MSP(managed service provider)最大限度地利用自己的技术。Invicti首席产品官。Sonali Shah说:由于手动确认每个安全威胁的时间为一小时,安全团队每年可能需要1万小时来处理误报。Invicti的调查中,超过四分之三的受访者都表示,他们通常手动验证威胁。这种情况下,将自动化技术集成到现有的工作流中便可以帮助应对误报所带来的挑战。
S&P全球市场情报公司的分析师Daniel Kennedy为了最大限度地利用技术,SOC操作人员需要调整日志记录和测试工具、开发脚本和定制工具(集成供应商工具)。随着时间的推移,这些操作人员不断了解和掌握组织技术的定制特性SOC它非常有用。他们可以通过检查日常报告中的模式、开发脚本、调整供应商工具和有效的自动响应来帮助SOC节省时间。
Deep Instinct的Everette有必要调整报警、事件和日志。主题专家(SME)必须配置系统,以确保只有高保真报警才能显示。同时,还需要设置相应的事件触发器,以确保在必要时提高相应的优先级。为了有效地做到这一点,组织必须关联和分析安全日志、事件和威胁数据等不同来源的数据。安全报警工具不是一劳永逸的机制。为了最大限度地利用报警工具,SOC在减少误报数量的同时,需要寻找机会提高各工具的性能,提高其整体安全状况的有效性。
点评
误报的产生往往是由于威胁的判断条件不够具体和清晰。对于不同的系统环境,甚至是不同的安全人员,威胁的定义是不同的,具有很强的主观性。因此,过度依赖安全检测工具是非常不可取的。检测工具只能起到辅助作用,关键是提高安全技术人员的能力,发挥检测工具的最大价值。