雷神Foreground Security的高管Carl Manion 2016年11月7日發(fā)布博文分享了他應(yīng)對虛假警報、避免時間浪費的實用經(jīng)驗。

虛假警報指的是那些讓你陷入擔憂，但進一步調(diào)查后發(fā)現(xiàn)虛驚一場的警報通知。

剛開始人們覺得這些誤報好像只會帶來輕微的不便，但如果每天都有成百上千次誤報產(chǎn)生，你會發(fā)現(xiàn)它們幾乎占去了你每天四分之三甚至更多的時間！

更糟糕的是，這的確發(fā)生在全球大多數(shù)安全操作中心（SOC）網(wǎng)絡(luò)安全分析師的身上，因為他們一直遵循著傳統(tǒng)的、被動的威脅監(jiān)測方式。

在大多數(shù)SOC中，誤報是一個關(guān)鍵難題。它們不但需要花一定的時間和資源來處理，而且還會分散安全分析師處理真正安全威脅的精力。

這些分析師可能會因為每天處理許許多多的虛假警報而產(chǎn)生“警報疲勞癥”，對各種警報的敏感度降低，最終遺漏真正會發(fā)生網(wǎng)絡(luò)攻擊行為的跡象。

那么什么原因造成了虛假警報呢？

據(jù)懸鏡服務(wù)器衛(wèi)士的工作人員了解到：誤報最常見的成因是配置不良或調(diào)整不佳的安全工具，例如SIEM、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、終端檢測與響應(yīng)工具。

這些系統(tǒng)利用了很多基于一套預(yù)定義規(guī)則（如已知簽名、模式、預(yù)期的用戶行為等）的攻擊檢測技術(shù)。

當這些工具中的某個規(guī)則、簽名或模式定義得太寬泛或缺少某些邏輯時通常就會產(chǎn)生誤報。根據(jù)當前邏輯識別安全事件，就容易產(chǎn)生虛假的威脅事件報警。

下面推薦7個基本習(xí)慣可供企業(yè)或組織參考借鑒，最大程度地降低誤報率：

1）主動出擊。

將你的威脅管理方式變得積極主動，如果你所做的就是等待警報響起和警報消失，那么你的時間都會花在誤報的處理上而不是發(fā)現(xiàn)真正的威脅。主動發(fā)現(xiàn)威脅，這是檢測最新網(wǎng)絡(luò)威脅唯一經(jīng)過驗證的方法。

2）目標優(yōu)先

正確使用報警技術(shù)能夠大大提高我們識別可疑或惡意活動的能力，這也是懸鏡服務(wù)器衛(wèi)士一直在追求的的目標。但很多企業(yè)、組織大范圍地應(yīng)用該技術(shù)，忽視了重點關(guān)注你計劃檢測的威脅類型這一關(guān)鍵點。

評估你所在企業(yè)的風(fēng)險與安全需求，然后再將報警技術(shù)應(yīng)用于最高風(fēng)險威脅事件。重點關(guān)注你的最終目標，也就是和你計劃檢測最相關(guān)的威脅類型，這會大大降低誤報率。

3）高風(fēng)險警報優(yōu)先

優(yōu)先化是SOC減少因誤報而造成時間浪費最好的工具之一?？煽啃宰罡卟в袡z測高風(fēng)險事件的報警無疑應(yīng)該被列為優(yōu)先處理項。

利用這種方法分析人員就可以根據(jù)優(yōu)先級分別處理，確保首先解決風(fēng)險最高的事件。

4）雙贏思維

把人們看做是一個合作性的群體而不是競爭性的。選擇合作性的情報源，為你的安全操作中心帶來不同的真實性、相關(guān)性和價值資源。

（當然要進行明智地選擇；如果不夠小心，盲目地整合情報站點資源而不評估其真實性，這樣產(chǎn)生的誤報率會對安全操作中心帶來負面影響。）

5）注重理解

處理誤報問題首先應(yīng)該全面理解已有工具想要處理的是什么威脅以及它的運作方式。使用某個工具時，你也應(yīng)該徹底明確你部署它的原因，而不是根據(jù)“常見”情況而作出假設(shè)，切忌在默認設(shè)置的情況下安裝某個工具。

6）協(xié)同處理（利用相關(guān)性）

很多情況下，一個事件可能不足以引起重視，除非它與其它利益事件一起被觀察到。出現(xiàn)這樣的情況時，你應(yīng)該使用一套定義清晰的相關(guān)性規(guī)則，若各個事件滿足所有相關(guān)性標準，那么只發(fā)送一條警報至分析師的處理安排表中。

7）保持更新。

復(fù)查以前的警報，不斷吸取教訓(xùn)，更好地制定報警規(guī)則。警報復(fù)查能夠讓你明白如何調(diào)整、改善現(xiàn)有規(guī)則。

如今的網(wǎng)絡(luò)威脅十分復(fù)雜，降低誤報率需要智能化、有針對性的警報邏輯來提取重要事件。因此持續(xù)調(diào)整這種邏輯非常重要。

雖然虛假警報在網(wǎng)絡(luò)安全操作中總是會存在，但通過遵循以上7條好習(xí)慣，降低虛假警報的數(shù)量還是有可能的。

以下是描述這7個習(xí)慣的漢化版信息圖。

*本文原創(chuàng)作者：Carrie_spinfo，轉(zhuǎn)載來自FreeBuf（FreeBuf.COM）

 懸鏡小編認為：網(wǎng)絡(luò)安全在當今社會也越來越重要，所以這也是為什么很多企業(yè)花很多錢專門組建相應(yīng)的團隊的原因。