h
2020-12-28 11:09:43 阅读(151)
雷神Foregroundroun Security高管Carl Manion 2016年11月7日,他发表了一篇博客文章,分享了他应对虚假警报、避免浪费时间的实践经验。虚假警报是指那些让你担心,但在进一步调查后发现虚假警报的通知。起初,人们认为这些误解似乎只会带来轻微的不便,但如果每天有数百个误解,你会发现它们几乎占了你每天的四分之三或更多的时间!更糟糕的是,这确实发生在世界上大多数安全操作中心(SOC)由于网络安全分析师一直遵循传统的、被动的威胁监测方法。误报是大多数SOC中的一个关键问题。它们不仅需要一定的时间和资源来处理,还需要分散安全分析师处理真正安全威胁的能量。这些分析师可能会因为每天处理许多虚假警报而产生“警报疲劳”,降低对各种警报的敏感性,最终错过网络攻击的真正迹象。那是什么原因导致了虚假警报呢?据悬镜服务器卫士工作人员介绍,误报最常见的原因是安全工具配置不良或调整不良,如SIEM、入侵检测系统,入侵防御系统,终端检测和响应工具。这些系统使用了许多攻击检测技术,基于一套预定义规则(如已知签名、模式、预期用户行为等)。当这些工具中的某些规则、签名或模式被广泛定义或缺乏某些逻辑时,通常会产生误报。根据当前的逻辑识别安全事件,很容易发生虚假的威胁事件报警。以下是企业或组织参考的7个基本习惯,以最大限度地降低误报率:1)主动出击。积极管理你的威胁。如果你所做的是等待警报响起并消失,你的时间将花在处理误报上,而不是发现真正的威胁上。主动发现威胁是检测最新网络威胁的唯一验证方法。2)正确使用报警技术可以大大提高我们识别可疑或恶意活动的能力,这也是悬镜服务器卫士一直在追求的目标。然而,许多企业和组织广泛应用该技术,忽略了关注您计划检测的威胁类型的关键点。评估您所在企业的风险和安全需求,然后将报警技术应用于最高风险威胁事件。关注你的最终目标,即与你计划检测最相关的威胁类型,这将大大降低误报率。3)高风险警报优先是SOC减少误报造成时间浪费的最佳工具之一。具有最高可靠性和检测高风险事件的报警无疑应被列为优先事项。通过这种方法,分析人员可以根据优先级进行处理,以确保首先解决风险最高的事件。4)双赢思维把人视为合作群体,而不是竞争群体。选择合作的情报源,为您的安全操作中心带来不同的真实性、相关性和价值资源。(当然,要做出明智的选择;如果您不够小心,盲目整合情报网站资源而不评估其真实性,误报率将对安全操作中心产生负面影响。)5)注意理解和处理误报问题。首先,我们应该充分了解现有工具想要处理的威胁及其运行模式。当使用一个工具时,你也应该完全澄清你部署它的原因,而不是根据“常见”的情况来假设,避免在默认情况下安装一个工具。6)在许多情况下,除非它与其他利益事件一起被观察到,否则一个事件可能不足以引起重视。在这种情况下,您应该使用一套明确定义的相关规则。如果每个事件都符合所有相关标准,则只向分析师的处理安排表发送一个警告。7)保持更新。回顾以前的报警,不断吸取教训,更好地制定报警规则。警报复查可以让你了解如何调整和改进现有规则。今天的网络威胁非常复杂,需要智能化、有针对性的警报逻辑来提取重要事件来降低误报率。因此,持续调整这一逻辑是非常重要的。虽然虚假警报总是存在于网络安全操作中,但仍有可能通过遵循上述7个好习惯来减少虚假警报的数量。以下是描述这七种习惯的汉化版信息图。小编认为,网络安全在当今社会越来越重要,所以这就是为什么很多企业花很多钱组建相应的团队。
以上就是关于分享企业应对虚假警报、避免时间浪费的实用经验的相关介绍,更多分享企业应对虚假警报、避免时间浪费的实用经验相关内容可以咨询我们或者浏览页面上的推荐内容。我们将让你对分享企业应对虚假警报、避免时间浪费的实用经验有更深的了解和认识。
推荐阅读
最新文章
猜你喜欢以下内容:
一 客户顾问-张三 一
