降低告警誤報的9條建議
責編:gltian |2022-07-21 10:21:32幾乎所有安全運營人員最頭痛的問題就是海量的告警,最艱難的挑戰就是去除告警里的噪音(誤報)。
首先,當安全人員圍繞中心化的工作隊列,如從分類和事件處理到分析、調查、取證和恢復等,來構建工作流時,意味著需要對隊列中的所有事件進行優先級排序和回顧檢查。但分析人員被迫在噪音的海洋里撈針,真正的安全事件被淹沒。
其次,噪音也會帶來基礎設施成本的增長,有限的安全預算被低價值占用。如,必須盡可能的留存流量、日志、警報、事件,無論其是否具備分析價值。
最后,誤報往往會扭曲指標。如,安全事件花費時間百分比、真陽性與假陽性比率、處理的事件數量和事件平均分析時間等指標,將受到噪聲的極大影響。誤報率越低,這些指標的結果就越準確和有效。
降低誤報的9條建議
1. 風險開始
對風險管理的深度理解和踐行是建立強大安全計劃的最堅實的基礎。評估企業面臨的風險和威脅,了解它們對企業內部的影響,并了解與每種風險和威脅相關的潛在成本、潛在破壞和損失。
2. 制定目標和優先級
對安全團隊能夠做出的最重要戰略決策,安排解決時間。對上一步(1.)中列舉的風險和威脅進行優先排序,并制定短期和長期目標和優先事項。
3. 評估影響
識別關鍵資產、關鍵資源和重要數據存儲等,幫助團隊了解事件的潛在影響。了解最敏感和最重要的資產、資源和數據在哪里,有助于團隊關注遙測中存在的差距。
4. 明確數據過度與差距
了解現有的遙測收集,并評估每個數據源是否有助于改進安全團隊的檢測。如果沒有,那么收集它只會增加基礎設施成本,而不會增加價值。找到遙測中存在哪些差距會導致團隊忽略潛在安全事件,并制定解決這些差距的計劃。
5. 明確技術過度與差距
仔細研究現有技術,明確哪些技術有幫助,例如生成高度可靠的安全警報、收集有價值的遙測數據,或使流程和工作流更高效。密切關注技術難以解決的問題,而不是技術帶來的幫助,以及遙測和檢測方面存在的差距。
6. 拋棄默認規則集
規則、簽名和其他產生大量噪聲的檢測技術不僅無法提升安全項目的價值。相反,這些默認規則將團隊淹埋在誤報中,極大的妨礙了及時準確地檢測安全事件。也許聽起來可能有些激進,但拋棄默認規則集的好處遠大于壞處。
7. 實施精準檢測
“少即是多”,如精準查詢,以產生高真實度、高可靠性的警報和事件。雖然實施更高端復雜的檢測方法需要大量的前期時間積累,但它帶來的回報是巨大的。警報和事件處理的越好,有價值的數據就越多,噪音也越小。
8. 聚焦流程
當流程中斷或不存在時,世界上最高質量的工作隊列也無濟于事。世界級的安全團隊擁有成熟、高效和有效的流程,指導和控制他們的工作方式。
9. 持續改進
沒有處于理想狀態的安全項目,好的安全團隊要能夠敏銳地意識到安全項目的弱點和改進機會。從上述每一點工作中吸取經驗,并利用這些經驗不斷改進安全項目,這種持續改進才是長期成功的關鍵。
結論
傳統的觀念認為,更多的數據、更多的事件和更多的警報有助于更好的檢測,但這種觀念不僅是過時,而且是扭曲的。正確的做法是,通過基于風險的戰略,并貫徹實施降低噪音的方法機制,最終得以提高檢測能力和安全項目的成熟度。在更快、更準確地檢測安全事件的同時,降低誤報,減少噪音帶來的資源浪費。
來源:數世咨詢