誤報(即不存在安全威脅的地方發出安全警報)是SOC(security operations centers)所面對的一個難題。大量研究表明，為了識別那些迫在眉睫的網絡威脅，SOC分析師花費大量時間和精力來追蹤安全警報，然而這些警報最后往往會被發現是誤報。

安全公司Invicti最近一項研究發現，SOC每年平均要浪費1萬個小時以及50萬美元來驗證安全測試的可靠性以及威脅警報的真實性。同時，ESG(Enterprise Strategy Group)為Fastly公司進行的另一項調查發現，一家企業平均每天會收到53條來自其web應用和API安全工具的警報，但其中近一半(45%)的警報都是誤報。在該調查中，十分之九的受訪者都認為誤報會對安全團隊造成危害。

Deep Instinct公司的網絡安全宣傳主管Chuck Everette表示， “對于SOC來說，誤報是最大的痛點之一。SOC的主要工作是監控安全事項，并及時地進行調查和響應。如果這些真實的安全警報被成百上千的誤報淹沒，那么SOC分析師對真實安全警報響應和處理的效率將會大打折扣。

完全消除誤報幾乎是不可能的。但是，有一些方法可以讓SOC盡可能地縮短處理安全警報的時間。下面是其中的五種方法：

1. 關注重要的威脅

在配置和調整IDS和SIEM系統等安全警報工具時，請確保定義的規則和行為僅在威脅到相關環境時才會發出警報。安全工具可以聚合大量日志數據，但從威脅的角度來看，并非所有日志數據都與目標環境相關。

Vectra CTO團隊的技術總監Tim Wade表示，SOC處理的大部分誤報都是由以下三種情況中的其中一種導致的。

第一，基于相關性的規則通常無法描述足夠數量的特征，而這些特征正是將檢測的靈敏度和專指度提高到可執行水平所必需的東西。因此，檢測往往只能識別威脅行為，但無法判斷其是否為良性。

其次，基于行為的規則主要關注異常，擅長以追溯的方式發現威脅。但它往往無法發出執行信號。對于任何規模的企業來說，‘有異常是正常的’。這意味著存在異常行為是再正常不過的事，所以追查每一個異常無疑是在浪費時間和精力。

最后，SOC在對自身事件的分類上不夠成熟，無法區分惡意的威脅和良性的誤報。這導致良性警告與誤報被混為一談，很大程度上隱藏了一些關鍵數據，這些數據能夠幫助改進檢測流程，實現迭代。

Netenrich 的首席威脅獵人John Bambenek表示：誤報產生的主要原因是SOC未能理解在其特定環境中真正的威脅指標是什么，并缺乏可用于測試規則的優質數據。許多安全實體通常會將威脅指標作為其研究的一部分，但有時僅靠有效的威脅指標并不足以識別那些與特定環境相關的威脅。

例如，一些網絡不法分子使用Tor軟件。所以，Tor的使用與網絡威脅相關。但這并不意味著每個使用Tor的人都是不法分子。大多數研究都需要關聯分析，但許多公司在這方面都很落后。”

2. 不要被“誤報率”所誤導

JupiterOne的首席信息安全官Sounil Yu說：“安全管理人員經常對供應商的低誤檢率聲明有著過于字面化的理解。比如SOC工具所聲明的1%誤檢率和1%漏檢率并不意味著真實安全警報率是99%。由于合法流量通常比惡意流量要高得多，所以真實安全警報率通常會遠低于安全管理人員最初的預期值。”真實安全警報率實際上要低很多，而且根據所處理事件的數量，這個概率還會進一步降低。

他指出：假如一個SOC每天處理10萬個事件，其中只有100個是真實警報，剩下的99900個均為誤報。在這種情況下，1%的誤檢率意味著安全團隊必須追蹤999個誤報，而真實警報率僅為Yu所以說的9%。如果我們將事件的數量增加到100萬，同時將真實警報地的數量保持在100，那么真實警報率將進一步降低到1%以下。

Yu還表示，安全管理人員的主要收獲是：誤報率的微小差異會顯著影響SOC所需要處理的誤報數量。因此，不斷調整檢測規則以降低誤報率，并盡可能使警報的初始調查以自動化的方式進行非常重要。另一方面，安全團隊還應抑制其向檢測引擎投入超過所需數量的數據。與其武斷地在檢測通道中輸入過多數據，不如只輸入處理檢測規則所需的數據，并將剩余數據用于之后的自動化擴充。

3. 入侵自身網絡

Data Theorem公司的COO，Doug Dooley表示：SOC分析師在處理低影響的安全警報時往往比處理誤報更加費力。比如，安全團隊會被要求去識別應用開發中可能存在的或可能永遠不會被利用的代碼質量問題，而不是關注對業務有重大影響的問題時。SecOps團隊很容易受困于一些被錯誤地歸類為“誤報”的非關鍵警報。

只有當安全團隊與商務領導密切合作時，他們才能專注于真正重要的事，并過濾掉那些無關緊要的事情。如果最受歡迎的APP數據泄露可能會嚴重損害品牌效益，降低股價，并使該公司失去客戶，那么關注APP棧中可利用的威脅就會成為更為優先的事項。

Dooley建議組織在自己的系統上進行威脅測試，以驗證是否存在可被利用的威脅，而不是將重點放在理論攻擊和腳本上。他表示：這樣的測試和驗證可以在安全運營團隊和開發團隊之間建立信任和可信度。

4. 維護良好的記錄和指標

記錄無用的調查是一個用來最大限度地降低重蹈覆轍可能性的好方法。為了改進檢測和微調警報，SOC需要能夠從可執行信號中過濾掉噪音。這要求組織擁有可以回顧和學習的數據。

Vectra公司的Wade表示：在一個時間、資源和精力都有限的世界里，每一次把精力浪費在處理誤報上，企業就會多一分忽略可執行信號的風險。毫不夸張地說，SOC非常需要維護好其調查的有效記錄和指標，用于不斷改進其檢測工程。不幸的是，對于許多SOC團隊來說，這種改善進程所必需的長期規劃工作往往會被當下的混亂問題所耽誤。

Bambenek表示：安全警報工具應具備反饋機制和指標，允許安全維護人員追溯供應商和信息源的誤報率。如果你使用的是一個安全遙測數據湖，那么你還可以對照以前的數據來查看指標和新規則，從而了解誤報率。

5. 僅靠自動化是不夠的

有效地實行自動化，可以幫助現代SOC，應對警報過載或技能欠缺所帶來的挑戰。但是，組織仍需要操作人員，或者利用MSP(managed service provider)來最大限度地使用自己的技術。Invicti的首席產品官。Sonali Shah表示：由于手動確認每個安全威脅的時間為一小時，所以安全團隊每年可能要花費高達1萬小時的時間來處理誤報。并且在Invicti的調查中，超過四分之三的受訪者都表示，他們通常手動驗證威脅。這種情況下，將自動化技術集成到現有的工作流中便可以幫助應對誤報所帶來的挑戰。

S&P全球市場情報公司的分析師Daniel Kennedy表示，為了最大限度地利用技術，SOC需要操作人員來調整日志記錄和檢測工具、開發腳本以及定制工具(將供應商工具集成到一起)。這些操作人員隨著時間的推移，不斷地了解掌握組織技術的定制特性，這對SOC來說是非常有用的。他們可以通過檢查日常報告中的模式、開發腳本、調整供應商工具以及為有效的自動響應劃分級別來幫助SOC節省時間。

Deep Instinct的Everette表示，調整警報、事件和日志是必要的。主題專家(SME)必須對系統進行配置，以確保只有高保真的警報才會被呈現出來。同時，還需要設置相應的事件觸發器，以確保在需要時提高相應的優先級。為了有效地做到這一點，組織必須關聯和分析不同來源的數據，如安全日志、事件和威脅數據。安全警報工具“不是一種一勞永逸的機制”。為了最大限度地利用警報工具，SOC需要尋找機會來增強每個工具的性能，在減少誤報數量的同時，提高其整體安全態勢的有效性。

點評

“誤報”的產生，往往是由于威脅的判定條件不夠具體明確。對于不用的系統環境，甚至不同的安全工作人員來說，威脅的定義都是不同的，帶有很強的主觀性。因此，對安全檢測工具的過分依賴是非常不可取的。檢測工具僅能起到協助作用，關鍵還是在于安全技術人員能力的提升，發揮出檢測工具的最大價值。