几乎所有安全运营人员最头痛的问题就是海量的告警,最艰难的挑战就是去除告警里的噪音(误报)。
首先,当安全人员围绕中心化的工作队列,如从分类和事件处理到分析、调查、取证和恢复等,来构建工作流时,意味着需要对队列中的所有事件进行优先级排序和回顾检查。但分析人员被迫在噪音的海洋里捞针,真正的安全事件被淹没。
其次,噪音也会带来基础设施成本的增长,有限的安全预算被低价值占用。如,必须尽可能的留存流量、日志、警报、事件,无论其是否具备分析价值。
最后,误报往往会扭曲指标。如,安全事件花费时间百分比、真阳性与假阳性比率、处理的事件数量和事件平均分析时间等指标,将受到噪声的极大影响。误报率越低,这些指标的结果就越准确和有效。
降低误报的九条建议
1. 风险开始
对风险管理的深度理解和践行是建立强大安全计划的最坚实的基础。评估企业面临的风险和威胁,了解它们对企业内部的影响,并了解与每种风险和威胁相关的潜在成本、潜在破坏和损失。
2. 制定目标和优先级
对安全团队能够做出的最重要战略决策,安排解决时间。对上一步(1.)中列举的风险和威胁进行优先排序,并制定短期和长期目标和优先事项。
3. 评估影响
识别关键资产、关键资源和重要数据存储等,帮助团队了解事件的潜在影响。了解最敏感和最重要的资产、资源和数据在哪里,有助于团队关注遥测中存在的差距。
4. 明确数据过度与差距
了解现有的遥测收集,并评估每个数据源是否有助于改进安全团队的检测。如果没有,那么收集它只会增加基础设施成本,而不会增加价值。找到遥测中存在哪些差距会导致团队忽略潜在安全事件,并制定解决这些差距的计划。
5. 明确技术过度与差距
仔细研究现有技术,明确哪些技术有帮助,例如生成高度可靠的安全警报、收集有价值的遥测数据,或使流程和工作流更高效。密切关注技术难以解决的问题,而不是技术带来的帮助,以及遥测和检测方面存在的差距。
6. 抛弃默认规则集
规则、签名和其他产生大量噪声的检测技术不仅无法提升安全项目的价值。相反,这些默认规则将团队淹埋在误报中,极大的妨碍了及时准确地检测安全事件。也许听起来可能有些激进,但抛弃默认规则集的好处远大于坏处。
7. 实施精准检测
“少即是多”,如精准查询,以产生高真实度、高可靠性的警报和事件。虽然实施更高端复杂的检测方法需要大量的前期时间积累,但它带来的回报是巨大的。警报和事件处理的越好,有价值的数据就越多,噪音也越小。
8. 聚焦流程
当流程中断或不存在时,世界上最高质量的工作队列也无济于事。世界级的安全团队拥有成熟、高效和有效的流程,指导和控制他们的工作方式。
9. 持续改进
没有处于理想状态的安全项目,好的安全团队要能够敏锐地意识到安全项目的弱点和改进机会。从上述每一点工作中吸取经验,并利用这些经验不断改进安全项目,这种持续改进才是长期成功的关键。
结论
传统的观念认为,更多的数据、更多的事件和更多的警报有助于更好的检测,但这种观念不仅是过时,而且是扭曲的。正确的做法是,通过基于风险的战略,并贯彻实施降低噪音的方法机制,最终得以提高检测能力和安全项目的成熟度。在更快、更准确地检测安全事件的同时,降低误报,减少噪音带来的资源浪费。