Invicti日前进行的调研发现,安全运营团队每年平均耗费10,000小时和约500,000美元来验证不可靠及不正确的漏洞警报。ESG进行的另一项调查发现,组织平均每天从其Web应用程序和API安全工具收到53条警报,其中,近一半(45%)都是误报。
对于安全运营团队来说,误报(或错误地指示特定环境中存在安全威胁的警报)已经成为最大痛点之一。因为其主要任务是监控安全事件并及时调查和响应,如果他们被成百上千的虚假警报淹没,无疑会分散其对真正威胁做出有效响应的注意力。
在实际环境中,完全消除误报几乎不可能。不过,安全运营团队可以通过下述五种方式最大限度地减少误报。
1. 更专注于重要的威胁
在配置和调整安全警报工具(例如入侵检测系统、安全信息和事件管理系统)时,请确保定义规则和行为仅就与自身环境相关的威胁发出警报。安全工具可以聚合大量日志数据,但从威胁的角度来看,并非所有日志数据都与组织自身的环境相关。
Vectra公司CTO Tim Wade表示,导致误报频发的原因有三:首先,基于相关性的规则通常缺乏表达足够数量必要特征的能力,以将检测灵敏度和特异性都提高到可操作的水平。这种检测通常只能揭示威胁行为,却无法将它们与正常行为区分开来。第二,基于行为的规则主要关注异常,善于追溯发现威胁。不过,在任何规模的组织中,存在异常行为都是再正常不过的事情,追查每一个异常无疑是浪费时间和精力的行为。第三,安全运营团队在分类中缺乏区分恶意和正常事件的能力,这就导致将正常事件与恶意事件归为同一类别。
Netenrich公司首席威胁猎手John Bambenek表示,误报的主要原因是安全运营团队未能了解在其特定环境中真正的妥协指标(IoC)是什么,以及缺乏用于测试规则的良好数据。许多安全实体通常会将妥协指标作为其研究成果的一部分,但有时,有效的妥协指标本身并不足以表明对特定环境的威胁。例如,威胁行为者可能会使用Tor,但这并不意味着Tor的每次使用都是特定威胁参与者在网络上存在的信号。许多公司在创建上下文检测方面明显能力不足。
2. 不要被“误报率”误导
安全从业人员经常犯的一个错误,就是将供应商关于低误报率的说法理解得过于字面化。JupiterOne公司CISO Sounil Yu表示,SOC厂商可能声称其工具的误报率(False Positive,简称FP)比例为1%,但这并不意味着其检测真实威胁(True Positive,简称TP)的概率就是99%。由于合法流量往往比恶意流量高出很多,因此检测真实威胁的比例通常会远低于安全管理人员最初的预期值。
也就是说,检测真正威胁的实际比例要比99%低得多,并且随着处理的事件总数增加,该比例还会进一步降低。
例如,一个SOC工具可能每天处理100,000个事件,其中100个是真实警报,99,900个是误报。在这种情况下,1%的误报率意味着安全团队将不得不追查999个误报,而实际上在这999个误报中检测到真实威胁的概率只有9%。如果我们将事件数量增加到1,000,000个,同时将真实警报数量保持在100,那么检测真实威胁的概率会进一步下降到不足1%。
Yu指出,误报率的微小差异会显著影响安全运营团队需要追查的误报数量。因此,不断调整检测规则以降低误报率并尽可能自动化警报的初始调查至关重要。安全团队还应避免将多余数据输入检测引擎,与其随意将更多数据塞入检测管道,不如确保组织只拥有处理检测规则所需的数据。
3. 测试自身网络
Data Theorem公司首席运营官Doug Dooley表示,安全运营分析师在追踪影响较小的安全警报时往往比处理误报更容易疲劳。例如,当组织安全团队寻找可能会在应用程序中被利用的代码问题,而非专注于对业务产生重大影响的问题时,就会发生这种情况。
只有当安全团队与业务领导密切合作时,才可能会专注于真正重要的事情并摆脱杂务。试想一下,如果企业最流行的移动应用程序发生数据泄露,可能会严重损害企业形象、降低股价,甚至流失客户时,那么关注应用程序堆栈中的可利用漏洞便顺利成为业务优先级。
Dooley建议组织不要关注理论型攻击和场景,而是对自身系统进行漏洞测试,以验证是否存在任何可利用的漏洞,这种测试和验证可以在安全运营团队和DevOps团队间建立信任和可信度。
4. 保持良好的调查记录和指标
在一个时间、资源和精力都有限的世界里,如果在误报上耗费太多,那么组织就会产生一些可操作信号被忽略的风险。安全运营团队需要保持有效的调查记录和指标,并随着时间的推移改进其检测工作,这一点再怎么强调也不为过。不幸的是,对于许多安全运营团队来说,这种改善进程所必需的长期规划工作往往会被忽略。
保持调查记录是将威胁再次发生的可能性降到最低的好方法。为了改进检测和微调警报,安全运营团队需要能够从可操作的信号中滤除噪声。只有当组织拥有可以回顾和学习的数据时,才能实现这一点。安全运营团队使用的安全警报工具应该有一个反馈机制和指标,使防御者能够跟踪提供商和信息源的误报率。如果安全团队正在使用安全遥测数据湖,可以根据以前的数据查看指标和新规则,以了解误报率。
5. 仅靠自动化还不够
自动化如果实施得当,可以帮助缓解新一代SOC中与警报过载和技能短缺相关的挑战。但是,组织需要有技能的员工,或者通过托管服务提供商接触到的员工,以充分利用他们的技术。
Invicti首席产品官Sonali Shah表示,假设手动确认每个漏洞的时间为1小时,那么团队每年可能要耗费高达10,000小时来抑制误报。然而,在Invicti的调查中,超过75%的受访者表示,他们总是或经常手动验证漏洞。在这些情况下,集成在现有工作流程中的自动化可以帮助缓解与误报相关的挑战。
标普全球市场财智(S&P Global Market Intelligence)分析师Daniel Kennedy表示,为了从自动化技术中获取最大收益,安全运营团队需要配置这样的操作人员——既能够调整日志记录和检测工具,又可以开发集成供应商工具脚本或自定义工具。他们可以通过检查每日模式报告、开发手册、调整供应商工具以及引入适当的自动响应级别,来帮助安全运营团队节省时间。