本文轉載自微信公眾號「計算機世界」，作者Jaikumar Vijayan。轉載本文請聯系計算機世界公眾號。

誤報(或錯誤地指示特定環境中存在安全威脅的警報)是安全運營中心(SOC)的一個主要問題。大量研究表明，SOC 分析師會花費大量的時間和精力來追蹤錯誤報告，有些報告提示系統正面臨迫在眉睫的威脅，而這些警報最終被證明是良性的。

Invicti的最新研究發現，SOC平均每年會浪費1萬個小時和大約50萬美元在驗證不可靠和不正確的漏洞警報上。Enterprise Strategy 集團(ESG)為Fastly進行的另一項調查發現，企業的web應用程序和API安全工具平均每天會發出53次警報，其中近一半(45%)是誤報。調查中有十分之九的受訪者認為誤報會對安全團隊產生負面影響。

Deep Instinct網絡安全宣傳主管Chuck Everette表示， “對于SOC團隊來說，誤報是最大的痛點之一。” SOC工作的主要重點是監視安全事件，并及時地響應和調查這些事件。他說:“如果SOC團隊被成百上千個誤報淹沒，他們的注意力將會被分散，而無法對真正的威脅做出及時的反應和有效的應對。”

完全從環境中消除誤報幾乎是不可能的。但是，SOC可以通過一些方法最大限度地減少在誤報上浪費的時間。以下是五種方法：

關注重要的威脅

在配置和調整安全警報工具，例如入侵檢測系統、安全信息和事件管理(SIEM)系統時，請確保你定義的規則和行為只對與你的環境相關的威脅發出警報。安全工具可以聚合大量日志數據，但這些數據不一定都會在與你相關的環境中構成威脅。

Vectra CTO團隊的技術總監Tim Wade表示，大多數SOC管理的大量誤報是以下三種情況之一所導致的，“首先，基于相關性的規則通常缺乏表達足夠數量的特征的能力，這些特征是將檢測靈敏度和特異性提高到可操作水平所必需的。”因此，檢測往往會顯示為威脅行為，無法與良性行為區分開來。

他說，第二個問題是，基于行為的規則主要關注異常，擅于追溯發現威脅，但是它經常無法發出行動信號。“在任何規模的企業中，‘有異常是正常的’，這意味著存在異常行為是再正常不過的事情，因此追查每一個異常無疑是浪費時間和精力的行為。

“第三，SOC自身的事件分類不夠成熟，無法區分惡意的威脅和良性的警告。”Wade說，這導致良性的警告與誤報被歸為同一類別，因此掩蓋了有助于在檢測工程工作中實現迭代改進的數據。

Netenrich 的首席威脅獵人John Bambenek說，誤報的主要原因是SOC未能了解其特定環境中的真正的妥協指標是什么，以及缺乏可用于測試規則的良好數據。許多安全中心經常將妥協指標作為其研究的一部分，但有時一個有效的妥協指標本身不足以指明那些對特定環境的威脅。威脅行為者可以使用Tor。因此，要讓妥協指標發揮作用是需要條件的。但這并不意味著使用Tor的每個人都是網絡上的特定威脅參與者。他說:“大多數研究需要情境信息，而許多公司在創造情境檢測方面很落后。”

不要被“誤報率”誤導

安全從業者經常錯誤地對供應商關于低誤報率的聲明過于較真，僅僅因為SOC工具可能聲稱誤報率為1%。“但1%的誤報率并不意味著真警報的概率為99%。”JupiterOne的首席信息安全官Sounil Yu說。由于合法流量通常比惡意流量高，因此真警報率通常會遠低于安全管理人員最初的預期。"真警報的實際概率要低得多，而且根據處理的總事件數量來看，這種概率還可能會進一步降低，"Yu說。

例如，他指出一個 SOC 每天可能處理 100，000 個事件，其中 100 個是真實警報，99，900 個是假警報。在這種情況下，1% 的誤報率意味著安全團隊必須追蹤 999 個誤報，而真警報的可能性僅為 Yu 所說的 9%。"如果我們將事件數增加到 1，000，000，同時將實際警報數保持 100 個不變，則概率會進一步下降到 1% 以下。

Yu指出，管理員的主要收獲是，誤報率的微小差異會顯著影響SOC團隊需要追查的誤報數量。因此，必須要不斷調整檢測規則，以降低誤報率，并盡可能做自動化警報的初始調查。安全團隊還應該抵制向檢測引擎提供比其所需數據還多的數據趨勢。他說："與其隨意地將更多數據填充到檢測管道中，不如確保你只有處理檢測規則所需的數據，并將其他數據留給以后自動擴充。"

作者：Jaikumar Vijayan是一位自由技術作家，專門研究計算機安全和隱私主題。

原文網址：http://www.csoonline.com/article/3641638/5-tips-for-reducing-false-positive-security-alerts.html