安全分析師也是人 是人就會犯錯
責編:gltian |2019-03-12 15:01:53安全運營中心(SOC)里,安全分析師承擔了絕大部分的網絡安全任務。自動化是規避不可避免的人為因素的一種方式。
是人都會犯錯,所以網絡安全過程須將人為錯誤的因素納入考慮。
安全分析師是安全團隊的一部分,在專門的安全運營中心(SOC)工作,經常輪班負責預防、檢測、評估與響應網絡安全威脅與事件。安全分析師有時也負責實踐和評估與安全有關的合規事宜。盡管有各種各樣的托管安全服務提供商可以外包SOC職能,各類組織機構——尤其是大企業,往往會發展自身的內部SOC能力,即便不能包攬全部SOC工作,至少也要能處理其中一部分。
安全分析師通常是負責審查、分類警報及事件響應的網絡安全人員。他們的專業技能包括網絡分析、取證分析、惡意軟件分析和威脅情報分析。Cybersecurity Ventures 的調查顯示,全技能的安全分析師難以尋覓,網絡安全人才短缺眾所周知,安全行業當前失業率為0%。安全分析師的直接上級通常是網絡安全經理,分析師呈報上去的SOC信息和洞見經過經理的消化吸收,再上呈給董事會和首席級高管。
常見錯誤
SOC通常每天從各層監視與檢測產品中收到1萬條警報。有些警報確實是來自各類黑客的攻擊,但有很大一部分(很多情況下高達80%)都是誤報。面對這么巨大的警報數量壓力,導致分析師錯過警報,或者由于“警報疲勞”或不正確排序而沒能識別出高優先級的警報,幾乎是不可避免的。
缺少時間、缺乏理解、培訓不足,或者欠缺工作動力的安全分析師,往往只能分類出10%以下的警報,排序那些有著現成的優先級或者自己曾經見過的事件。而且,當事件需要深入分析時,安全分析師可能也沒有足夠的時間執行完整的分析,因而上報不準確或者不完整的攻擊信息。
除了分類與響應錯誤,安全分析師可能出錯的地方還有很多,比如安全產品的錯誤配置。發生漏報或錯誤配置時,安全分析師還有可能出于對個人影響的考慮而瞞報所致損害的程度,令情況更加復雜。
影響
安全分析師沒能解決或排序警報時,事件響應就有可能被大幅拖慢甚至完全漏掉,設備和系統就有可能被侵入,并由此導致數據泄露、業務中斷、數據滲漏,或者數據破壞。這些事件被發現和響應的時間往往會慢上許多,當安全分析師發現攻擊方法和攻擊規模時,限制與緩解攻擊的復雜性和成本就會比有效排序警報的情況下大上幾倍。另外,來自安全分析師有意或無意的錯誤信息,會致使安全主管交付不準確的報告,層層傳遞之下會對重要利益相關者產生不同影響。
減少失誤
考慮到安全分析師每天收到的警報總量,我們必須專注在減少數量壓力上。想要達到減輕分析師壓力的目標,我們可以微調安全解決方案以減少誤報,去除重復監視中的冗余,以及盡可能地自動化分析師的任務。
另外,若有健壯的預防基礎,也能有效減少警報數量。這就要求協同漏洞管理團隊,共同確保設備、操作系統和應用都得到正確配置與修復。除此之外,我們還需要能夠有效分類與計算優先權值的解決方案,需要納入威脅情報,需要特定于公司的數據——如受影響系統的關鍵性。
我們還要允許安全分析師有時間進行徹底的分析,允許他們提供的進展報告與最終報告不一致。
改變范式
作為駐扎一線的資源,我們不得不承認安全分析師承擔了絕大部分的網絡安全壓力——很多情況下都是全年無休輪班處理事件檢測與響應,很多分析師的崗位需要重構。分類與審查警報的一級分析師工作,以當前的形式是無法持續的。該職位需轉化成完全自動化的過程,目前這一轉變正在進行中。通過采用新技術自動化耗時耗力的人工操作,分析師就有機會去學習更高級的技術,在真正需要深度調查的事件上應用更具批判性的思維和更高級的分析方法。但這些高級安全分析師同樣需要足夠的培訓,需要留夠可有效工作的空間和時間,無需懼怕犯錯會對自己造成影響。
另外,檢測產品提供商需對自家產品標準配置下的誤報率負責。雖然寧可錯殺一千絕不放過一個的做法或許對供應商有利,但卻給終端用戶造成了很大麻煩,讓他們最終淹沒在無用噪音里,反而發現不了真正的信號。
Cybersecurity Ventures 關于網絡安全人才短缺的文章:Cybersecurity Unemployment Rate Drops To Zero Percent