文中摘自微信公众平台「计算机世界」,创作者Jaikumar Vijayan。转截文中请联络计算机世界微信公众号。
检测本身互联网
Data Theorem的COO Doug Dooley表明,相比解决误报,SOC投资分析师通常更厌烦于跟踪知名度较低的安全性警报。这种情况很有可能会产生在,例如当安全性团队无法致力于解决这些对业务流程有重要危害的问题,反而是被机构起來找寻在生产制造应用软件中很有可能都不可能被使用的编码的产品质量问题时。"secops团队非常容易被非关键每日任务警报所困惑,而这种警报被不公平地分类为'误报'。"Dooley说。
仅有当安全性团队与业务流程领导干部紧密配合时,她们才可以过虑掉影响要素,潜心到真真正正关键的事儿上。“假如你时兴很广的移动智能终端的数据泄漏很有可能会明显危害你的知名品牌,减少你的股票价格,并使你丧失顾客,那麼你也就该把关心应用软件局部变量中的可利用漏洞设成高业务流程优先。”
Dooley提议公司不必把关注放到基础理论进攻和场景上,反而是在自身的系統上开展漏洞检测,以认证是不是具有一切可以被损坏的、可利用的漏洞。他说道,这类检测和认证可以在安全运营团队和DevOps团队中间创建信任感和稳定性。
保持稳定的纪录和指标值
保存白费力气的检索调研纪录是降低这种情况再次出现的好方法。为了更好地改善检验和调节警报,SOC 必须从可实际操作数据信号中滤掉电磁干扰,这就须要公司有着可以回望和培训的数据信息。
Vectra的Wade说:“在一个時间、資源和专注力都比较有限的全世界里,每每大家把活力花在一个误报处时,公司便会造成一个可使用的数据信号被忽略的风险性。SOC必须维持合理的调研统计和指标值,以不断提升检验工程项目的工作效能,这一点再如何注重也不为过。” 遗憾的是,针对很多SOC团队而言,这类改进过程所必不可少的长期性整体规划工作中通常会被时下的错乱问题所耽搁。
Bambenek说,安全性警报专用工具应当有一个信息反馈和指标值,容许防御者追踪服务提供商和数据源头的误报率。假如你采用的是安全性监测数据湖,你还是可以查询对于之前数据信息的技术指标和新标准,以掌握误报率。
只靠自动化技术是远远不够的
自动化技术假如执行恰当,可以协助处理当代 SOC 中的警报负载和专业技能紧缺的问题。可是,公司必须技术性娴熟的职工,或是能从例如代管服务提供商那边获得优秀人才协助,才可以充足利用自动化控制。
Invicti总裁商品官Sonali Shah表明,团队人力确定每一个漏洞必须一小时,因此她们每一年很有可能要耗费达到10000个钟头来解决误报。殊不知,在Invicti的调研中,超出四分之三的被访者表明她们一直或常常手动式认证漏洞。在这种情况下,集成化在目前工作流引擎中的智能化可以协助处理与误报有关的艰难。
S&P全世界销售市场情报信息投资分析师Daniel Kennedy表明,为了更好地充足利用此项技术性,SOC必须可以调节日志和测试工具,并开发设计能将经销商的专用工具融合在一起的脚本制作或订制专用工具。Kennedy说:“这些能伴随着時间的变化,把握公司技术性特点中的自定特点的使用工作人员特别是在有效。她们可以根据查验每日汇报的方式、开发设计台本、调节经销商专用工具和引进适度等级的全自动回应来协助SOC省时省力。”
Deep Instinct的Everette表明,务必调节警报、事情和日志。主题风格权威专家务必对系统配置开展配备,以保证仅有高保真音响警报能被展现出去,并设定对应的事情触发器原理,以保证 在须要时提升反应的优先。为了更好地合理地保证这一点,公司务必关系和剖析来源于如安全性日志、事情和危害数据信息等好几个来源于的数据信息。Everette说,安全性警报专用工具“并不是一成不变的体制”。为了更好地最大限度地利用警报专用工具,SOC必须伺机而动,扩张和提高每一个专用工具的作用,以降低误报的总数并提升其总体安全性形势的实效性。
创作者:Jaikumar Vijayan是一位随意技术性文学家,专业科学研究网络信息安全和个人隐私主题风格。
全文网站地址:http://www.csoonline.com/article/3641638/5-tips-for-reducing-false-positive-security-alerts.html