為什么安全團(tuán)隊(duì)越來(lái)越疲于應(yīng)付告警?該如何減輕他們的工作負(fù)擔(dān)?

[[280543]]

現(xiàn)代安全團(tuán)隊(duì)中存在一個(gè)太過(guò)常見(jiàn)的現(xiàn)象：來(lái)自多種工具(有時(shí)候是錯(cuò)誤配置的)的告警流淹沒(méi)運(yùn)營(yíng)中心，迫使分析師分辨并排序哪些告警值得注意?？梢哉f(shuō)，重大問(wèn)題會(huì)在錯(cuò)過(guò)關(guān)鍵告警時(shí)出現(xiàn)，并導(dǎo)致安全事件。

加劇告警疲勞的一大因素就是安全團(tuán)隊(duì)對(duì)自己的配置或自己擁有的資產(chǎn)沒(méi)信心或不確定。最終結(jié)果則是被大量警報(bào)淹沒(méi)，因?yàn)樗麄儾焕斫鈫?wèn)題的本質(zhì)，也沒(méi)有時(shí)間去理解。

很多公司被告警淹沒(méi)是因?yàn)樗麄冎皬牟恍枰幚磉@些告警。

太多公司直到最近都還沒(méi)真正接受自己必須檢測(cè)攻擊并響應(yīng)事件的事實(shí)。如今，這些從未擁有安全運(yùn)營(yíng)中心或安全團(tuán)隊(duì)的公司企業(yè)，正在采納威脅檢測(cè)，準(zhǔn)備不足也是肯定的。

安全工具組合也在給報(bào)警疲勞問(wèn)題增加砝碼。我們?nèi)缃癫檎彝{的范圍比以前是廣闊得多了。要監(jiān)視的東西更多，告警也隨之增長(zhǎng)。當(dāng)然，告警過(guò)載最明顯的風(fēng)險(xiǎn)，就是公司企業(yè)可能會(huì)錯(cuò)過(guò)最危險(xiǎn)的攻擊。

如果安全人員不得不處理超量告警，他們最終會(huì)士氣低落，產(chǎn)生職業(yè)倦怠。更糟的是，不堪應(yīng)付的員工還可能干脆關(guān)閉自己的工具。

這不是技術(shù)的錯(cuò)，問(wèn)題不在于檢測(cè)，而缺乏排序。商業(yè)安全環(huán)境中每個(gè)人都身兼數(shù)職：解析數(shù)據(jù)、撰寫(xiě)腳本、知曉云端輸入和輸出，還要管理安排自家環(huán)境中的各種技術(shù)。

如今流經(jīng)企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)量可不是十年前能夠想象的。公司企業(yè)無(wú)不疲于應(yīng)付，告警暴擊令他們陷于風(fēng)險(xiǎn)。

有問(wèn)題就有解決問(wèn)題的辦法，安全專(zhuān)家給出了他們關(guān)于告警疲勞成因與影響的思考，分享了可用于緩解告警疲勞的工具和技術(shù)。您用什么策略對(duì)抗警報(bào)過(guò)載?哪些有效?不妨參考專(zhuān)家的看法。

1. 自身用例

公司企業(yè)能做的最重要的事就是花時(shí)間理解自身面臨的問(wèn)題。比如說(shuō)，如果你使用入侵檢測(cè)系統(tǒng) (IDS)，覺(jué)得告警太多，你就需要調(diào)查自身環(huán)境中哪些東西可能引起太多誤報(bào)?相對(duì)于誤報(bào)，真正的告警有哪些特征?真正的威脅是什么?

為減少告警流，安全團(tuán)隊(duì)?wèi)?yīng)有用于檢測(cè)的用例。你的最大擔(dān)憂(yōu)是什么?如果你擔(dān)心信用卡數(shù)據(jù)流出，你就可以用 IDS 設(shè)置適用于你特定憂(yōu)慮的規(guī)則。

檢測(cè)用例應(yīng)反映公司關(guān)心的東西。高保真用例嚴(yán)格定義你的優(yōu)先考慮。沒(méi)人會(huì)想說(shuō) “我怕任何數(shù)據(jù)流出公司”。該說(shuō)的是 “我關(guān)心這種數(shù)據(jù)”。

公司應(yīng)花點(diǎn)時(shí)間仔細(xì)思考自己到底想要保護(hù)什么。僅僅是照單劃勾嗎?對(duì)著某個(gè)說(shuō)你必須這么做的規(guī)定、規(guī)則或垂直機(jī)構(gòu)給出的清單劃勾?如果真是這樣，那可真是沒(méi)檢查對(duì)地方。退回一步，考慮你所有的數(shù)據(jù)——你真的清楚它們都在哪兒?jiǎn)?

在相信某條告警之前，你必須了解自己的數(shù)據(jù)。安全團(tuán)隊(duì)?wèi)?yīng)僅在能夠信任自己自動(dòng)化的數(shù)據(jù)后才利用自動(dòng)化，分析的信息必須準(zhǔn)確。

2. 小心配置

在采購(gòu)?fù){檢測(cè)工具、安全信息與事件管理 (SIEM) 系統(tǒng)或其他平臺(tái)時(shí)，別假定這些工具從一開(kāi)始就能給出有價(jià)值的信息。若對(duì)立即產(chǎn)生明確可行告警的系統(tǒng)抱有過(guò)高期待，公司企業(yè)可能會(huì)惡化告警疲勞。

不存在一部署就產(chǎn)生明確可行信息的系統(tǒng)。如果你用的工具[顯示]每條告警都是明確且可行的，那你很可能漏掉很多東西。

錯(cuò)誤配置是個(gè)常見(jiàn)而危險(xiǎn)的問(wèn)題。有些告警系統(tǒng)是亂槍打鳥(niǎo)式的，因?yàn)榘踩珗F(tuán)隊(duì)由于過(guò)于謹(jǐn)慎，寧可錯(cuò)殺一千不愿放過(guò)一個(gè)。這就造成“狼來(lái)了”效應(yīng)，安全團(tuán)隊(duì)被毫無(wú)價(jià)值的告警淹沒(méi)，最終漸漸無(wú)視告警，甚至真正重要的警報(bào)出現(xiàn)也不響應(yīng)了。

配置系統(tǒng)的人缺乏正確配置所需的必要培訓(xùn)和專(zhuān)業(yè)背景是個(gè)很常見(jiàn)的現(xiàn)象。有些系統(tǒng)可能會(huì)為對(duì)該特定工具而言關(guān)鍵卻難以利用的漏洞觸發(fā)緊急警報(bào)，但實(shí)際上可能不需要采取這種“重大消息立即關(guān)注”的態(tài)度。公司企業(yè)需更好地理解自己的問(wèn)題。

錯(cuò)誤配置是當(dāng)今安全團(tuán)隊(duì)面臨的最大問(wèn)題，給安全團(tuán)隊(duì)制造了更多工作量。

3. 威脅工具：調(diào)整 SOAR、SIEM、EDR

安全編排、自動(dòng)化與響應(yīng) (SOAR) 工具無(wú)疑很有幫助，但安全團(tuán)隊(duì)需根據(jù)自身情況校準(zhǔn)該工具確認(rèn)告警的方式。運(yùn)行活動(dòng)目錄 (AD) 的公司與采用專(zhuān)有系統(tǒng)的公司執(zhí)行的策略就會(huì)不一樣。如果正確使用，SOAR 工具可以采取人類(lèi)分析師會(huì)用的步驟確認(rèn)告警。

EDR 工具幫助輸送信息到分類(lèi)告警的人手中，還可以提供同一系統(tǒng)過(guò)去的歷史告警。這比幫助人類(lèi)分析師無(wú)需太多挖掘就能做出判斷還有意義。

有些公司外包告警工作給托管服務(wù)提供商 (MSP)。這種情況下，最好告訴 MSP 具體哪些需要標(biāo)記而哪些不需要。外包、SOAR 和 EDR 都是解決方案的一部分。

對(duì)每家公司而言，挑戰(zhàn)與最佳實(shí)踐都是找到工作流自動(dòng)化、外包和信息呈現(xiàn)之間的平衡點(diǎn)。

4. 學(xué)會(huì)操作已有工具

某些情形下，公司某個(gè)工具的預(yù)算只夠采購(gòu)工具本身，覆蓋不了工具使用所需的培訓(xùn)費(fèi)用。有些公司提供的培訓(xùn)會(huì)很貴，但與購(gòu)買(mǎi)工具卻發(fā)揮不了其價(jià)值相比，還不如多花點(diǎn)錢(qián)做好培訓(xùn)。

與錯(cuò)誤配置類(lèi)似，人員缺乏培訓(xùn)也是告警疲勞的一大原因。安全團(tuán)隊(duì)需要從培訓(xùn)和經(jīng)驗(yàn)中學(xué)習(xí)，還需要向同事學(xué)習(xí)。

大企業(yè)最好多個(gè)安全團(tuán)隊(duì)使用同樣的工具。例如，一家金融機(jī)構(gòu)曾經(jīng)部署了一款產(chǎn)品，后來(lái)發(fā)現(xiàn)另一個(gè)分支機(jī)構(gòu)也在用這款工具。兩家分支機(jī)構(gòu)間的跨團(tuán)隊(duì)協(xié)作促進(jìn)了整合，節(jié)省了開(kāi)支。

只要共享經(jīng)驗(yàn)知識(shí)，忽然之間就會(huì)發(fā)現(xiàn)產(chǎn)品好用多了。

5. 確保資產(chǎn)更新

確保任一系統(tǒng)的資產(chǎn)是最新版，包括 EDR、VPN、防火墻和云等，也可以幫助削減告警量。盡可能保證分析的數(shù)據(jù)是當(dāng)前最新?tīng)顟B(tài)，并經(jīng)常檢查這一信息。數(shù)據(jù)是很容易過(guò)時(shí)的。

你不會(huì)想要等到必須亡羊補(bǔ)牢的時(shí)候再來(lái)后悔沒(méi)事先更新數(shù)據(jù)。安全團(tuán)隊(duì)可能會(huì)接到告警，卻在調(diào)查后發(fā)現(xiàn) IP 地址已經(jīng)不存在了。有些東西可能早該關(guān)了卻仍在運(yùn)行，新員工的筆記本電腦也有可能沒(méi)加入到資產(chǎn)注冊(cè)表中。此類(lèi)信息如果沒(méi)有更新，就有可能引發(fā)不必要的告警。

技術(shù)需要維護(hù)和清理。安全團(tuán)隊(duì)必須確保之前構(gòu)造的規(guī)則、警報(bào)和儀表板仍適用于現(xiàn)在的企業(yè)環(huán)境。并且，購(gòu)買(mǎi)新工具時(shí)也得確保沒(méi)買(mǎi)入自己已經(jīng)擁有卻沒(méi)能恰當(dāng)使用的平臺(tái)或功能。

6. 解釋“合法”告警

有必要協(xié)調(diào)安全團(tuán)隊(duì)與服務(wù)提供商，以確保告警不是因?yàn)槟橙酥矣诼毷囟a(chǎn)生的。很多公司，尤其是安全領(lǐng)域內(nèi)的公司，常必須調(diào)查惡意域、文件或其他可疑發(fā)現(xiàn)。安全團(tuán)隊(duì)可能會(huì)標(biāo)記此類(lèi)行為為告警。

公司內(nèi)部需要調(diào)查安全事件的團(tuán)隊(duì)如果因?yàn)樽约旱恼{(diào)查而觸發(fā)安全事件告警，可能會(huì)產(chǎn)生很多不必要的戲劇性事件。比如說(shuō)，安全人員可能會(huì)被標(biāo)記為使用 Tor 瀏覽器，但卻是處于合法的業(yè)務(wù)需要在做研究。

7. 從過(guò)去的錯(cuò)誤中學(xué)習(xí)

如果出了錯(cuò)、錯(cuò)過(guò)了重要告警，或者發(fā)生了安全事件，最好記錄下所有細(xì)節(jié)。出現(xiàn)問(wèn)題或技術(shù)挑戰(zhàn)的時(shí)候，團(tuán)隊(duì)記錄下發(fā)生的細(xì)節(jié)會(huì)花點(diǎn)時(shí)間。但這是向人顯示環(huán)境中事務(wù)進(jìn)行方式的簡(jiǎn)單方法。

在配置系統(tǒng)和了解警報(bào)的時(shí)候，讓當(dāng)前和未來(lái)員工能夠評(píng)估成功和逐步改進(jìn)是很有幫助的。案例研究能夠準(zhǔn)確描繪數(shù)據(jù)流經(jīng)各業(yè)務(wù)環(huán)節(jié)的情形和團(tuán)隊(duì)解決問(wèn)題的辦法。

安全運(yùn)營(yíng)是個(gè)主動(dòng)過(guò)程，解決問(wèn)題的答案存在于公司的風(fēng)險(xiǎn)意識(shí)中。大多數(shù)公司在處理安全問(wèn)題上都是反應(yīng)式的，但其實(shí)安全運(yùn)營(yíng)應(yīng)該成為日常，要主動(dòng)發(fā)現(xiàn)潛在問(wèn)題。

應(yīng)主動(dòng)記錄、規(guī)劃和嚴(yán)肅對(duì)待安全問(wèn)題。

【本文是51CTO專(zhuān)欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文