七種武器應對告警疲勞
摘要:現代安全團隊中存在一個太過常見的現象:來自多種工具(有時候是錯誤配置的)的告警流淹沒運營中心,迫使分析師分辨並排序哪些告警值得注意。公司內部需要調查安全事件的團隊如果因爲自己的調查而觸發安全事件告警,可能會產生很多不必要的戲劇性事件。
爲什麼安全團隊越來越疲於應付告警?該如何減輕他們的工作負擔?
現代安全團隊中存在一個太過常見的現象:來自多種工具(有時候是錯誤配置的)的告警流淹沒運營中心,迫使分析師分辨並排序哪些告警值得注意。可以說,重大問題會在錯過關鍵告警時出現,並導致安全事件。
加劇告警疲勞的一大因素就是安全團隊對自己的配置或自己擁有的資產沒信心或不確定。最終結果則是被大量警報淹沒,因爲他們不理解問題的本質,也沒有時間去理解。
很多公司被告警淹沒是因爲他們之前從不需要處理這些告警。
太多公司直到最近都還沒真正接受自己必須檢測攻擊並響應事件的事實。如今,這些從未擁有安全運營中心或安全團隊的公司企業,正在採納威脅檢測,準備不足也是肯定的。
安全工具組合也在給報警疲勞問題增加砝碼。我們如今查找威脅的範圍比以前是廣闊得多了。要監視的東西更多,告警也隨之增長。當然,告警過載最明顯的風險,就是公司企業可能會錯過最危險的攻擊。
如果安全人員不得不處理超量告警,他們最終會士氣低落,產生職業倦怠。更糟的是,不堪應付的員工還可能乾脆關閉自己的工具。
這不是技術的錯,問題不在於檢測,而缺乏排序。商業安全環境中每個人都身兼數職:解析數據、撰寫腳本、知曉雲端輸入和輸出,還要管理安排自家環境中的各種技術。
如今流經企業網絡的數據量可不是十年前能夠想象的。公司企業無不疲於應付,告警暴擊令他們陷於風險。
有問題就有解決問題的辦法,安全專家給出了他們關於告警疲勞成因與影響的思考,分享了可用於緩解告警疲勞的工具和技術。您用什麼策略對抗警報過載?哪些有效?不妨參考專家的看法。
定義自身用例
公司企業能做的最重要的事就是花時間理解自身面臨的問題。比如說,如果你使用入侵檢測系統 (IDS),覺得告警太多,你就需要調查自身環境中哪些東西可能引起太多誤報?相對於誤報,真正的告警有哪些特徵?真正的威脅是什麼?
爲減少告警流,安全團隊應有用於檢測的用例。你的最大擔憂是什麼?如果你擔心信用卡數據流出,你就可以用 IDS 設置適用於你特定憂慮的規則。
檢測用例應反映公司關心的東西。高保真用例嚴格定義你的優先考慮。沒人會想說 “我怕任何數據流出公司”。該說的是 “我關心這種數據”。
公司應花點時間仔細思考自己到底想要保護什麼。僅僅是照單劃勾嗎?對着某個說你必須這麼做的規定、規則或垂直機構給出的清單劃勾?如果真是這樣,那可真是沒檢查對地方。退回一步,考慮你所有的數據——你真的清楚它們都在哪兒嗎?
在相信某條告警之前,你必須瞭解自己的數據。安全團隊應僅在能夠信任自己自動化的數據後才利用自動化,分析的信息必須準確。
小心配置
在採購威脅檢測工具、安全信息與事件管理 (SIEM) 系統或其他平臺時,別假定這些工具從一開始就能給出有價值的信息。若對立即產生明確可行告警的系統抱有過高期待,公司企業可能會惡化告警疲勞。
不存在一部署就產生明確可行信息的系統。如果你用的工具[顯示]每條告警都是明確且可行的,那你很可能漏掉很多東西。
錯誤配置是個常見而危險的問題。有些告警系統是亂槍打鳥式的,因爲安全團隊由於過於謹慎,寧可錯殺一千不願放過一個。這就造成“狼來了”效應,安全團隊被毫無價值的告警淹沒,最終漸漸無視告警,甚至真正重要的警報出現也不響應了。
配置系統的人缺乏正確配置所需的必要培訓和專業背景是個很常見的現象。有些系統可能會爲對該特定工具而言關鍵卻難以利用的漏洞觸發緊急警報,但實際上可能不需要採取這種“重大消息立即關注”的態度。公司企業需更好地理解自己的問題。
錯誤配置是當今安全團隊面臨的最大問題,給安全團隊製造了更多工作量。
威脅工具:調整 SOAR、SIEM、EDR
安全編排、自動化與響應 (SOAR) 工具無疑很有幫助,但安全團隊需根據自身情況校準該工具確認告警的方式。運行活動目錄 (AD) 的公司與採用專有系統的公司執行的策略就會不一樣。如果正確使用,SOAR 工具可以採取人類分析師會用的步驟確認告警。
EDR 工具幫助輸送信息到分類告警的人手中,還可以提供同一系統過去的歷史告警。這比幫助人類分析師無需太多挖掘就能做出判斷還有意義。
有些公司外包告警工作給託管服務提供商 (MSP)。這種情況下,最好告訴 MSP 具體哪些需要標記而哪些不需要。外包、SOAR 和 EDR 都是解決方案的一部分。
對每家公司而言,挑戰與最佳實踐都是找到工作流自動化、外包和信息呈現之間的平衡點。
學會操作已有工具
某些情形下,公司某個工具的預算只夠採購工具本身,覆蓋不了工具使用所需的培訓費用。有些公司提供的培訓會很貴,但與購買工具卻發揮不了其價值相比,還不如多花點錢做好培訓。
與錯誤配置類似,人員缺乏培訓也是告警疲勞的一大原因。安全團隊需要從培訓和經驗中學習,還需要向同事學習。
大企業最好多個安全團隊使用同樣的工具。例如,一家金融機構曾經部署了一款產品,後來發現另一個分支機構也在用這款工具。兩家分支機構間的跨團隊協作促進了整合,節省了開支。
只要共享經驗知識,忽然之間就會發現產品好用多了。
確保資產更新
確保任一系統的資產是最新版,包括 EDR、VPN、防火牆和雲等,也可以幫助削減告警量。儘可能保證分析的數據是當前最新狀態,並經常檢查這一信息。數據是很容易過時的。
你不會想要等到必須亡羊補牢的時候再來後悔沒事先更新數據。安全團隊可能會接到告警,卻在調查後發現 IP 地址已經不存在了。有些東西可能早該關了卻仍在運行,新員工的筆記本電腦也有可能沒加入到資產註冊表中。此類信息如果沒有更新,就有可能引發不必要的告警。
技術需要維護和清理。安全團隊必須確保之前構造的規則、警報和儀表板仍適用於現在的企業環境。並且,購買新工具時也得確保沒買入自己已經擁有卻沒能恰當使用的平臺或功能。
解釋“合法”告警
有必要協調安全團隊與服務提供商,以確保告警不是因爲某人忠於職守而產生的。很多公司,尤其是安全領域內的公司,常必須調查惡意域、文件或其他可疑發現。安全團隊可能會標記此類行爲爲告警。
公司內部需要調查安全事件的團隊如果因爲自己的調查而觸發安全事件告警,可能會產生很多不必要的戲劇性事件。比如說,安全人員可能會被標記爲使用 Tor 瀏覽器,但卻是處於合法的業務需要在做研究。
從過去的錯誤中學習
如果出了錯、錯過了重要告警,或者發生了安全事件,最好記錄下所有細節。出現問題或技術挑戰的時候,團隊記錄下發生的細節會花點時間。但這是向人顯示環境中事務進行方式的簡單方法。
在配置系統和了解警報的時候,讓當前和未來員工能夠評估成功和逐步改進是很有幫助的。案例研究能夠準確描繪數據流經各業務環節的情形和團隊解決問題的辦法。
安全運營是個主動過程,解決問題的答案存在於公司的風險意識中。大多數公司在處理安全問題上都是反應式的,但其實安全運營應該成爲日常,要主動發現潛在問題。
應主動記錄、規劃和嚴肅對待安全問題。
