本文轉(zhuǎn)載自微信公眾號(hào)「計(jì)算機(jī)世界」，作者Jaikumar Vijayan。轉(zhuǎn)載本文請(qǐng)聯(lián)系計(jì)算機(jī)世界公眾號(hào)。

測(cè)試自身網(wǎng)絡(luò)

Data Theorem的COO Doug Dooley表示，比起處理誤報(bào)，SOC分析師通常更厭倦于追蹤影響力較低的安全警報(bào)。這種情況可能會(huì)出現(xiàn)在，例如當(dāng)安全團(tuán)隊(duì)沒(méi)法專注于處理那些對(duì)業(yè)務(wù)有重大影響的問(wèn)題，而是被組織起來(lái)尋找在生產(chǎn)應(yīng)用程序中可能都不會(huì)被用到的代碼的質(zhì)量問(wèn)題時(shí)。"secops團(tuán)隊(duì)很容易被非關(guān)鍵任務(wù)警報(bào)所困擾，而這些警報(bào)被不公平地歸類為'誤報(bào)'。"Dooley說(shuō)。

只有當(dāng)安全團(tuán)隊(duì)與業(yè)務(wù)領(lǐng)導(dǎo)密切合作時(shí)，他們才能過(guò)濾掉干擾因素，專注到真正重要的事情上。“如果你流行最廣的移動(dòng)應(yīng)用的數(shù)據(jù)泄露可能會(huì)嚴(yán)重?fù)p害你的品牌，降低你的股價(jià)，并讓你失去客戶，那么你就該把關(guān)注應(yīng)用程序堆棧中的可利用漏洞設(shè)為高業(yè)務(wù)優(yōu)先級(jí)。”

Dooley建議企業(yè)不要把注意力放在理論攻擊和情景上，而是在自己的系統(tǒng)上進(jìn)行漏洞測(cè)試，以驗(yàn)證是否存在任何可以被破壞的、可利用的漏洞。他說(shuō)，這種測(cè)試和驗(yàn)證可以在安全運(yùn)營(yíng)團(tuán)隊(duì)和DevOps團(tuán)隊(duì)之間建立信任和可靠性。

保持良好的記錄和指標(biāo)

保留白費(fèi)力氣的搜索調(diào)查記錄是減少這種情況再次發(fā)生的好方法。為了改進(jìn)檢測(cè)和調(diào)整警報(bào)，SOC 需要從可操作信號(hào)中濾除干擾信號(hào)，這就需要企業(yè)擁有可以回顧和學(xué)習(xí)的數(shù)據(jù)。

Vectra的Wade說(shuō):“在一個(gè)時(shí)間、資源和注意力都有限的世界里，每當(dāng)我們把精力花在一個(gè)誤報(bào)上時(shí)，企業(yè)就會(huì)產(chǎn)生一個(gè)可操作的信號(hào)被忽視的風(fēng)險(xiǎn)。SOC需要保持有效的調(diào)查記錄和指標(biāo)，以不斷提高檢測(cè)工程的工作效率，這一點(diǎn)再怎么強(qiáng)調(diào)也不為過(guò)。” 不幸的是，對(duì)于許多SOC團(tuán)隊(duì)來(lái)說(shuō)，這種改善進(jìn)程所必需的長(zhǎng)期規(guī)劃工作往往會(huì)被當(dāng)下的混亂問(wèn)題所耽誤。

Bambenek說(shuō)，安全警報(bào)工具應(yīng)該有一個(gè)反饋機(jī)制和指標(biāo)，允許防御者跟蹤提供商和信息來(lái)源的誤報(bào)率。如果你使用的是安全遙測(cè)數(shù)據(jù)湖，你還可以查看針對(duì)以前數(shù)據(jù)的指標(biāo)和新規(guī)則，以了解誤報(bào)率。

僅靠自動(dòng)化是不夠的

自動(dòng)化如果實(shí)施得當(dāng)，可以幫助解決現(xiàn)代 SOC 中的警報(bào)過(guò)載和技能短缺的問(wèn)題。但是，企業(yè)需要技術(shù)熟練的員工，或者能從例如托管服務(wù)提供商那里得到人才幫助，才能充分利用自動(dòng)化技術(shù)。

Invicti首席產(chǎn)品官Sonali Shah表示，團(tuán)隊(duì)人工確認(rèn)每個(gè)漏洞需要一小時(shí)，于是他們每年可能需要花費(fèi)高達(dá)10000個(gè)小時(shí)來(lái)處理誤報(bào)。然而，在Invicti的調(diào)查中，超過(guò)四分之三的受訪者表示他們總是或經(jīng)常手動(dòng)驗(yàn)證漏洞。在這種情況下，集成在現(xiàn)有工作流中的自動(dòng)化可以幫助解決與誤報(bào)相關(guān)的困難。

S&P全球市場(chǎng)情報(bào)分析師Daniel Kennedy表示，為了充分利用這項(xiàng)技術(shù)，SOC需要能夠調(diào)整日志和檢測(cè)工具，并開(kāi)發(fā)能將供應(yīng)商的工具整合在一起的腳本或定制工具。Kennedy說(shuō):“那些能隨著時(shí)間的推移，掌握企業(yè)技術(shù)特性中的自定義特性的操作人員尤其有用。他們可以通過(guò)檢查每日?qǐng)?bào)告的模式、開(kāi)發(fā)劇本、調(diào)整供應(yīng)商工具和引入適當(dāng)級(jí)別的自動(dòng)響應(yīng)來(lái)幫助SOC節(jié)省時(shí)間。”

Deep Instinct的Everette表示，必須調(diào)整警報(bào)、事件和日志。主題專家必須對(duì)系統(tǒng)進(jìn)行配置，以確保只有高保真警報(bào)能被呈現(xiàn)出來(lái)，并設(shè)置相應(yīng)的事件觸發(fā)器，以確保在需要時(shí)提高響應(yīng)的優(yōu)先級(jí)。為了有效地做到這一點(diǎn)，企業(yè)必須關(guān)聯(lián)和分析來(lái)自如安全日志、事件和威脅數(shù)據(jù)等多個(gè)來(lái)源的數(shù)據(jù)。Everette說(shuō)，安全警報(bào)工具“不是一成不變的機(jī)制”。為了最大限度地利用警報(bào)工具，SOC需要伺機(jī)而動(dòng)，擴(kuò)大和增強(qiáng)每個(gè)工具的功能，以減少誤報(bào)的數(shù)量并提高其整體安全態(tài)勢(shì)的有效性。

作者：Jaikumar Vijayan是一位自由技術(shù)作家，專門研究計(jì)算機(jī)安全和隱私主題。

原文網(wǎng)址：http://www.csoonline.com/article/3641638/5-tips-for-reducing-false-positive-security-alerts.html