现代网络安全团队对于来自各种安全系统(例如 SIEM、SaaS 、网络、端点、XDR、EDR、ASM、IDS等)的告警早已不堪重负。小企业安全团队的运营每天随便都可以收到几百几千条警报,大型企业每天可以收到数百万条告警。
安全运营人员对于重复的误报感到恼火,同时也对由于缺乏资源而无法进行深入调查的误报和漏报感到极为担忧。目前业界只会怼各种复杂技术和概念进入安全产品,而并没有什么人关心到底如何处理安全运营中嘈杂的安全告警,去解决这些泥沼般的安全运营难题。笔者这里列举出一些思路供同行参考...
**嘈杂告警的问题
**
重复告警
关于同一个安全事件不断发出重复的告警,它们可能是误报也可能是准确的。
明显误报的告警
可以马上通过与内部环境上下文相关联来确定的误报。
****需要外部数据辅助研判的告警
需要与外部威胁情报相关联对告警进行研判。
需要上下文关联来研判的告警
告警附带的信息无法确定风险,需要更多的上下文信息和数据。
从未见过的告警
大部分告警看起来确实像黑客攻击,但安全运营人员以前从未见过。
历史遗留的告警
历史记录中多次出现的告警,但是始终无法确定是误报还是准确的。
安全告警降噪的思路
#1 消重是数据科学家的必经之路,棘手的部分是在于如何定义“重复”。例如,重复项可能是完全相同的警报或在同一台机器上具有相同检测类型的告警。
#2 安全告警的研判会需要详细的资产、网路环境、软硬件、系统、账号等信息作为基础数据。如果地基都没有,如何谈安全运营?
#3 威胁情报是两个不同体系安全视野的碰撞,在体系内无法分辨的安全威胁肯定需要外部威胁情报来帮助做出决策。
#4 单条安全告警只是复杂真相拼图的一角,安全事件往往都不是孤立的,安全运营人员需要把安全告警聚合串联起来。
#5 嘈杂的数据需要聚合进行优先级排序,问题多了也只能排队。例如账号权限是否已经分级,资产是否已经分级,安全运营人员需要优先解决关键核心资产的安全问题。
#6 安全运营人员的趟坑经验何其重要,重复1到5持续趟坑才是真正的安全运营。
任何降噪的操作,无论是调整检测逻辑还是修改规则,都会增加漏报的风险。
漏报风险可能会比误报的风险更大。
尽管误报很烦人且浪费资源,但漏报和误报本身就是安全检测一直难以调和的特性。
不要盲目过滤噪点,持续监控和关联告警,即使告警被标记为误报,也要确保它们在新的告警出现后可以重新关联。
感悟
安全问题从来都不是非黑即白的简单问题,而是条件熵、相对熵和交差熵的复杂问题,要用数据科学家解决复杂问题的思路对待它们。