减少安全误报的几个窍门
发布时间:2022-03-18 07:45:44 所属栏目:安全 来源:互联网
导读:误报(即不存在安全威胁的地方发出安全警报)是SOC(security operations centers)所面对的一个难题。大量研究表明,为了识别那些迫在眉睫的网络威胁,SOC分析师花费大量时间和精力来追踪安全警报,然而这些警报最后往往会被发现是误报。 完全消除误报几乎是
误报(即不存在安全威胁的地方发出安全警报)是SOC(security operations centers)所面对的一个难题。大量研究表明,为了识别那些迫在眉睫的网络威胁,SOC分析师花费大量时间和精力来追踪安全警报,然而这些警报最后往往会被发现是误报。 完全消除误报几乎是不可能的。但是,有一些方法可以让SOC尽可能地缩短处理安全警报的时间。下面是其中的五种方法: 1. 关注重要的威胁 在配置和调整IDS和SIEM系统等安全警报工具时,请确保定义的规则和行为仅在威胁到相关环境时才会发出警报。安全工具可以聚合大量日志数据,但从威胁的角度来看,并非所有日志数据都与目标环境相关。 第一,基于相关性的规则通常无法描述足够数量的特征,而这些特征正是将检测的灵敏度和专指度提高到可执行水平所必需的东西。因此,检测往往只能识别威胁行为,但无法判断其是否为良性。 2. 不要被“误报率”所误导 JupiterOne的首席信息安全官Sounil Yu说:“安全管理人员经常对供应商的低误检率声明有着过于字面化的理解。比如SOC工具所声明的1%误检率和1%漏检率并不意味着真实安全警报率是99%。由于合法流量通常比恶意流量要高得多,所以真实安全警报率通常会远低于安全管理人员最初的预期值。”真实安全警报率实际上要低很多,而且根据所处理事件的数量,这个概率还会进一步降低。 3. 入侵自身网络 Data Theorem公司的COO,Doug Dooley表示:SOC分析师在处理低影响的安全警报时往往比处理误报更加费力。比如,安全团队会被要求去识别应用开发中可能存在的或可能永远不会被利用的代码质量问题,而不是关注对业务有重大影响的问题时。SecOps团队很容易受困于一些被错误地归类为“误报”的非关键警报。 只有当安全团队与商务领导密切合作时,他们才能专注于真正重要的事,并过滤掉那些无关紧要的事情。如果最受欢迎的APP数据泄露可能会严重损害品牌效益,降低股价,并使该公司失去客户,那么关注APP栈中可利用的威胁就会成为更为优先的事项。 Dooley建议组织在自己的系统上进行威胁测试,以验证是否存在可被利用的威胁,而不是将重点放在理论攻击和脚本上。他表示:这样的测试和验证可以在安全运营团队和开发团队之间建立信任和可信度。 (编辑:源码门户网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |