如何應對網絡安全中的警報疲勞
什么是網絡安全和DevOps環境中警報疲勞的主要原因?
警報疲勞是由幾個相關因素導致的。
首先,當今的安全工具生成了大量的事件數據,這使得安全從業人員難以區分背景噪音和嚴重威脅。
其次,許多系統容易產生虛假警報,這些警報要么是由無害活動觸發,要么是由過于敏感的異常閾值觸發的,這可能會使防御者失去敏感性,最終錯過重要的攻擊信號。
第三個導致警報疲勞的因素是缺乏明確的優先級,這些系統生成的警報往往沒有機制來分流和優先處理事件,這可能導致癱瘓性的無所作為,因為從業人員不知道從哪里開始。
最后,當警報記錄或日志沒有包含足夠的證據和響應指導時,防御者不確定下一步的可操作步驟,這種混亂浪費了寶貴的時間,并導致挫折和疲勞。
減少警報疲勞對企業來說是一個重大挑戰,如何優化他們的安全技術堆棧來克服這一挑戰?
這確實是一個挑戰,我們看到一些企業不幸地選擇記錄所有警報,只有在更可信的系統檢測到事件時才進行檢查。雖然這種記錄的警報數據通常包含對事件調查至關重要的大量證據,但這種“存儲和忽略”的方法并不是理想的解決方案。
現代安全運營中心(SOC)的三個最重要的組成部分是網絡檢測和響應(NDR)系統、端點檢測和響應(EDR)系統和中央分析引擎(通常是安全信息和事件管理(SIEM)系統),這些所謂的“SOC可視性三合一”中的每一個元素在減少警報疲勞方面都起著重要作用。
您的NDR和EDR系統必須具有識別各自領域內嚴重和緊迫威脅的可靠機制,且精度極高,即幾乎沒有誤報,這增加了對工具集的信心,并可以為安全分析師提供一個調查的起點。此外,它們還應提供某種形式的自動事件分流或優先級處理,這可以突出SOC團隊必須調查的下一級事件。
最后,NDR和EDR必須收集與給定安全事件相關的所有相關工件,并盡可能將它們關聯和組織成事件時間線,以加快調查速度,使防御者能夠在威脅造成任何損害之前將其消除。
NDR和EDR是向你的SIEM提供安全遙測數據的重要來源,因此這是減少警報疲勞的下一個層次。每個NDR和EDR發送到SIEM的事件記錄或日志都應附加豐富的元數據,為SIEM分析引擎及其用戶提供所有相關證據和相關信息,以通知事件響應工作。此外,這些詳細的事件記錄可以為SIEM本身的另一個層次的相關威脅檢測提供數據。
企業如何使用上下文信息豐富警報并使其更具可操作性?
這是至關重要的。有幾種類型的上下文可以在這里提供幫助。企業特定的信息——例如主機名和熟悉的網絡名稱——可以使識別受攻擊的資產或用于傳播惡意軟件的資產變得更加容易。例如,如果沒有將這些上下文包含在警報記錄或日志中,分析師需要切換到不同的系統來查找這些信息。
另一種形式的上下文是相關的元數據和工件,這里指的是協議事務日志、文件附件,甚至是警報發生期間的完整數據包捕獲(PCAP)。
這些附加信息已被證明可以幫助SOC人員更快地評估事件的嚴重性、來源和原因,使這些警報更具可操作性。
企業如何在透明度需求與暴露敏感信息的潛在風險之間取得平衡?
這個話題對我來說非常重要。在Stamus Networks,我們非常致力于極端透明度和數據主權——這兩個因素都涉及到這個問題。盡管如此,在透明度和信息安全之間取得平衡對組織來說是一項艱難的工作。企業可以采用多種策略,以下是一些在成功的安全領導者實踐中常見的策略:
首先,他們基于公認的安全框架(如NIST或ISO 27001)構建控制程序,這不僅創建了一個可辯護的程序,還確保他們在考慮大局時不會忽略重要的控制措施。
其次,他們非常重視對系統和網絡進行廣泛的安全監控,這使他們能夠在攻擊鏈的早期發現嚴重威脅和未經授權的活動。
此外,這些企業還制定了明確透明的溝通計劃,概述了哪些信息可以共享,哪些不能共享,這建立了信任,并避免了組織內部和與利益相關者之間的混亂。
最后,這些企業特別關注數據的存儲和處理位置,并實行我所稱的“極端數據主權”,即對數據駐留和處理保持嚴格控制。
監管要求和行業標準在促進網絡安全透明度和問責制方面扮演什么角色?
監管要求和行業標準通過推動泄露披露和實施強有力的網絡安全控制,在促進透明度和問責制方面發揮重要作用。美國證券交易委員會(SEC)的8-K表格備案要求和歐盟的GDPR等法規要求向當局和某些情況下的受影響個人報告數據泄露,這迫使企業公開安全事件,促進公眾意識并防止潛在的掩蓋行為。
SEC的10-K表格備案要求上市公司披露其網絡安全計劃的詳細信息。同樣,歐盟的NIS指令專注于關鍵服務提供商,迫使他們實施風險管理措施。通過使這些控制措施可見,利益相關者(和股東)可以評估組織的網絡安全狀況,并要求他們維護強有力的防御。
企業如何利用新技術和框架來提高透明度和問責制?
我之前提到的“SOC可視性三合一”——NDR、EDR和SIEM是可以幫助的新技術之一,這些系統不斷監控網絡中的可疑活動,允許更快地識別和緩解威脅。實時威脅檢測促進了透明度,因為企業可以就正在進行的威脅和采取的行動進行溝通。
我已經提到過網絡安全框架的重要性——這些框架幫助企業識別、保護、檢測、響應和從網絡攻擊中恢復。通過公開闡明基于這些框架的方法,企業展示了對網絡安全的承諾,并可以被要求遵循其既定的流程。
