日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

誤報(bào)(即不存在安全威脅的地方發(fā)出安全警報(bào))是SOC(security operations centers)所面對(duì)的一個(gè)難題。大量研究表明，為了識(shí)別那些迫在眉睫的網(wǎng)絡(luò)威脅，SOC分析師花費(fèi)大量時(shí)間和精力來(lái)追蹤安全警報(bào)，然而這些警報(bào)最后往往會(huì)被發(fā)現(xiàn)是誤報(bào)。

創(chuàng)新互聯(lián)專業(yè)IDC數(shù)據(jù)服務(wù)器托管提供商，專業(yè)提供成都服務(wù)器托管，服務(wù)器租用，成都移動(dòng)服務(wù)器托管，成都移動(dòng)服務(wù)器托管，成都多線服務(wù)器托管等服務(wù)器托管服務(wù)。

安全公司Invicti最近一項(xiàng)研究發(fā)現(xiàn)，SOC每年平均要浪費(fèi)1萬(wàn)個(gè)小時(shí)以及50萬(wàn)美元來(lái)驗(yàn)證安全測(cè)試的可靠性以及威脅警報(bào)的真實(shí)性。同時(shí)，ESG(Enterprise Strategy Group)為Fastly公司進(jìn)行的另一項(xiàng)調(diào)查發(fā)現(xiàn)，一家企業(yè)平均每天會(huì)收到53條來(lái)自其web應(yīng)用和API安全工具的警報(bào)，但其中近一半(45%)的警報(bào)都是誤報(bào)。在該調(diào)查中，十分之九的受訪者都認(rèn)為誤報(bào)會(huì)對(duì)安全團(tuán)隊(duì)造成危害。

Deep Instinct公司的網(wǎng)絡(luò)安全宣傳主管Chuck Everette表示， “對(duì)于SOC來(lái)說(shuō)，誤報(bào)是最大的痛點(diǎn)之一。SOC的主要工作是監(jiān)控安全事項(xiàng)，并及時(shí)地進(jìn)行調(diào)查和響應(yīng)。如果這些真實(shí)的安全警報(bào)被成百上千的誤報(bào)淹沒(méi)，那么SOC分析師對(duì)真實(shí)安全警報(bào)響應(yīng)和處理的效率將會(huì)大打折扣。

完全消除誤報(bào)幾乎是不可能的。但是，有一些方法可以讓SOC盡可能地縮短處理安全警報(bào)的時(shí)間。下面是其中的五種方法：

1. 關(guān)注重要的威脅

在配置和調(diào)整IDS和SIEM系統(tǒng)等安全警報(bào)工具時(shí)，請(qǐng)確保定義的規(guī)則和行為僅在威脅到相關(guān)環(huán)境時(shí)才會(huì)發(fā)出警報(bào)。安全工具可以聚合大量日志數(shù)據(jù)，但從威脅的角度來(lái)看，并非所有日志數(shù)據(jù)都與目標(biāo)環(huán)境相關(guān)。

Vectra CTO團(tuán)隊(duì)的技術(shù)總監(jiān)Tim Wade表示，SOC處理的大部分誤報(bào)都是由以下三種情況中的其中一種導(dǎo)致的。

第一，基于相關(guān)性的規(guī)則通常無(wú)法描述足夠數(shù)量的特征，而這些特征正是將檢測(cè)的靈敏度和專指度提高到可執(zhí)行水平所必需的東西。因此，檢測(cè)往往只能識(shí)別威脅行為，但無(wú)法判斷其是否為良性。

其次，基于行為的規(guī)則主要關(guān)注異常，擅長(zhǎng)以追溯的方式發(fā)現(xiàn)威脅。但它往往無(wú)法發(fā)出執(zhí)行信號(hào)。對(duì)于任何規(guī)模的企業(yè)來(lái)說(shuō)，‘有異常是正常的’。這意味著存在異常行為是再正常不過(guò)的事，所以追查每一個(gè)異常無(wú)疑是在浪費(fèi)時(shí)間和精力。

最后，SOC在對(duì)自身事件的分類上不夠成熟，無(wú)法區(qū)分惡意的威脅和良性的誤報(bào)。這導(dǎo)致良性警告與誤報(bào)被混為一談，很大程度上隱藏了一些關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)能夠幫助改進(jìn)檢測(cè)流程，實(shí)現(xiàn)迭代。

Netenrich 的首席威脅獵人John Bambenek表示：誤報(bào)產(chǎn)生的主要原因是SOC未能理解在其特定環(huán)境中真正的威脅指標(biāo)是什么，并缺乏可用于測(cè)試規(guī)則的優(yōu)質(zhì)數(shù)據(jù)。許多安全實(shí)體通常會(huì)將威脅指標(biāo)作為其研究的一部分，但有時(shí)僅靠有效的威脅指標(biāo)并不足以識(shí)別那些與特定環(huán)境相關(guān)的威脅。

例如，一些網(wǎng)絡(luò)不法分子使用Tor軟件。所以，Tor的使用與網(wǎng)絡(luò)威脅相關(guān)。但這并不意味著每個(gè)使用Tor的人都是不法分子。大多數(shù)研究都需要關(guān)聯(lián)分析，但許多公司在這方面都很落后。”

2. 不要被“誤報(bào)率”所誤導(dǎo)

JupiterOne的首席信息安全官Sounil Yu說(shuō)：“安全管理人員經(jīng)常對(duì)供應(yīng)商的低誤檢率聲明有著過(guò)于字面化的理解。比如SOC工具所聲明的1%誤檢率和1%漏檢率并不意味著真實(shí)安全警報(bào)率是99%。由于合法流量通常比惡意流量要高得多，所以真實(shí)安全警報(bào)率通常會(huì)遠(yuǎn)低于安全管理人員最初的預(yù)期值?！闭鎸?shí)安全警報(bào)率實(shí)際上要低很多，而且根據(jù)所處理事件的數(shù)量，這個(gè)概率還會(huì)進(jìn)一步降低。

他指出：假如一個(gè)SOC每天處理10萬(wàn)個(gè)事件，其中只有100個(gè)是真實(shí)警報(bào)，剩下的99900個(gè)均為誤報(bào)。在這種情況下，1%的誤檢率意味著安全團(tuán)隊(duì)必須追蹤999個(gè)誤報(bào)，而真實(shí)警報(bào)率僅為Yu所以說(shuō)的9%。如果我們將事件的數(shù)量增加到100萬(wàn)，同時(shí)將真實(shí)警報(bào)地的數(shù)量保持在100，那么真實(shí)警報(bào)率將進(jìn)一步降低到1%以下。

Yu還表示，安全管理人員的主要收獲是：誤報(bào)率的微小差異會(huì)顯著影響SOC所需要處理的誤報(bào)數(shù)量。因此，不斷調(diào)整檢測(cè)規(guī)則以降低誤報(bào)率，并盡可能使警報(bào)的初始調(diào)查以自動(dòng)化的方式進(jìn)行非常重要。另一方面，安全團(tuán)隊(duì)還應(yīng)抑制其向檢測(cè)引擎投入超過(guò)所需數(shù)量的數(shù)據(jù)。與其武斷地在檢測(cè)通道中輸入過(guò)多數(shù)據(jù)，不如只輸入處理檢測(cè)規(guī)則所需的數(shù)據(jù)，并將剩余數(shù)據(jù)用于之后的自動(dòng)化擴(kuò)充。

3. 入侵自身網(wǎng)絡(luò)

Data Theorem公司的COO，Doug Dooley表示：SOC分析師在處理低影響的安全警報(bào)時(shí)往往比處理誤報(bào)更加費(fèi)力。比如，安全團(tuán)隊(duì)會(huì)被要求去識(shí)別應(yīng)用開發(fā)中可能存在的或可能永遠(yuǎn)不會(huì)被利用的代碼質(zhì)量問(wèn)題，而不是關(guān)注對(duì)業(yè)務(wù)有重大影響的問(wèn)題時(shí)。SecOps團(tuán)隊(duì)很容易受困于一些被錯(cuò)誤地歸類為“誤報(bào)”的非關(guān)鍵警報(bào)。

只有當(dāng)安全團(tuán)隊(duì)與商務(wù)領(lǐng)導(dǎo)密切合作時(shí)，他們才能專注于真正重要的事，并過(guò)濾掉那些無(wú)關(guān)緊要的事情。如果最受歡迎的APP數(shù)據(jù)泄露可能會(huì)嚴(yán)重?fù)p害品牌效益，降低股價(jià)，并使該公司失去客戶，那么關(guān)注APP棧中可利用的威脅就會(huì)成為更為優(yōu)先的事項(xiàng)。

Dooley建議組織在自己的系統(tǒng)上進(jìn)行威脅測(cè)試，以驗(yàn)證是否存在可被利用的威脅，而不是將重點(diǎn)放在理論攻擊和腳本上。他表示：這樣的測(cè)試和驗(yàn)證可以在安全運(yùn)營(yíng)團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)之間建立信任和可信度。

4. 維護(hù)良好的記錄和指標(biāo)

記錄無(wú)用的調(diào)查是一個(gè)用來(lái)最大限度地降低重蹈覆轍可能性的好方法。為了改進(jìn)檢測(cè)和微調(diào)警報(bào)，SOC需要能夠從可執(zhí)行信號(hào)中過(guò)濾掉噪音。這要求組織擁有可以回顧和學(xué)習(xí)的數(shù)據(jù)。

Vectra公司的Wade表示：在一個(gè)時(shí)間、資源和精力都有限的世界里，每一次把精力浪費(fèi)在處理誤報(bào)上，企業(yè)就會(huì)多一分忽略可執(zhí)行信號(hào)的風(fēng)險(xiǎn)。毫不夸張地說(shuō)，SOC非常需要維護(hù)好其調(diào)查的有效記錄和指標(biāo)，用于不斷改進(jìn)其檢測(cè)工程。不幸的是，對(duì)于許多SOC團(tuán)隊(duì)來(lái)說(shuō)，這種改善進(jìn)程所必需的長(zhǎng)期規(guī)劃工作往往會(huì)被當(dāng)下的混亂問(wèn)題所耽誤。

Bambenek表示：安全警報(bào)工具應(yīng)具備反饋機(jī)制和指標(biāo)，允許安全維護(hù)人員追溯供應(yīng)商和信息源的誤報(bào)率。如果你使用的是一個(gè)安全遙測(cè)數(shù)據(jù)湖，那么你還可以對(duì)照以前的數(shù)據(jù)來(lái)查看指標(biāo)和新規(guī)則，從而了解誤報(bào)率。

5. 僅靠自動(dòng)化是不夠的

有效地實(shí)行自動(dòng)化，可以幫助現(xiàn)代SOC，應(yīng)對(duì)警報(bào)過(guò)載或技能欠缺所帶來(lái)的挑戰(zhàn)。但是，組織仍需要操作人員，或者利用MSP(managed service provider)來(lái)最大限度地使用自己的技術(shù)。Invicti的首席產(chǎn)品官。Sonali Shah表示：由于手動(dòng)確認(rèn)每個(gè)安全威脅的時(shí)間為一小時(shí)，所以安全團(tuán)隊(duì)每年可能要花費(fèi)高達(dá)1萬(wàn)小時(shí)的時(shí)間來(lái)處理誤報(bào)。并且在Invicti的調(diào)查中，超過(guò)四分之三的受訪者都表示，他們通常手動(dòng)驗(yàn)證威脅。這種情況下，將自動(dòng)化技術(shù)集成到現(xiàn)有的工作流中便可以幫助應(yīng)對(duì)誤報(bào)所帶來(lái)的挑戰(zhàn)。

S&P全球市場(chǎng)情報(bào)公司的分析師Daniel Kennedy表示，為了最大限度地利用技術(shù)，SOC需要操作人員來(lái)調(diào)整日志記錄和檢測(cè)工具、開發(fā)腳本以及定制工具(將供應(yīng)商工具集成到一起)。這些操作人員隨著時(shí)間的推移，不斷地了解掌握組織技術(shù)的定制特性，這對(duì)SOC來(lái)說(shuō)是非常有用的。他們可以通過(guò)檢查日常報(bào)告中的模式、開發(fā)腳本、調(diào)整供應(yīng)商工具以及為有效的自動(dòng)響應(yīng)劃分級(jí)別來(lái)幫助SOC節(jié)省時(shí)間。

Deep Instinct的Everette表示，調(diào)整警報(bào)、事件和日志是必要的。主題專家(SME)必須對(duì)系統(tǒng)進(jìn)行配置，以確保只有高保真的警報(bào)才會(huì)被呈現(xiàn)出來(lái)。同時(shí)，還需要設(shè)置相應(yīng)的事件觸發(fā)器，以確保在需要時(shí)提高相應(yīng)的優(yōu)先級(jí)。為了有效地做到這一點(diǎn)，組織必須關(guān)聯(lián)和分析不同來(lái)源的數(shù)據(jù)，如安全日志、事件和威脅數(shù)據(jù)。安全警報(bào)工具“不是一種一勞永逸的機(jī)制”。為了最大限度地利用警報(bào)工具，SOC需要尋找機(jī)會(huì)來(lái)增強(qiáng)每個(gè)工具的性能，在減少誤報(bào)數(shù)量的同時(shí)，提高其整體安全態(tài)勢(shì)的有效性。

點(diǎn)評(píng)

“誤報(bào)”的產(chǎn)生，往往是由于威脅的判定條件不夠具體明確。對(duì)于不用的系統(tǒng)環(huán)境，甚至不同的安全工作人員來(lái)說(shuō)，威脅的定義都是不同的，帶有很強(qiáng)的主觀性。因此，對(duì)安全檢測(cè)工具的過(guò)分依賴是非常不可取的。檢測(cè)工具僅能起到協(xié)助作用，關(guān)鍵還是在于安全技術(shù)人員能力的提升，發(fā)揮出檢測(cè)工具的最大價(jià)值。

網(wǎng)頁(yè)題目：減少安全誤報(bào)的五個(gè)技巧
網(wǎng)站URL：http://www.5511xx.com/article/ccdjsgp.html