誤報(即不存在安全威脅的地方發(fā)出安全警報)是SOC(security operations centers)所面對的一個難題。大量研究表明，為了識別那些迫在眉睫的網(wǎng)絡威脅，SOC分析師花費大量時間和精力來追蹤安全警報，然而這些警報最后往往會被發(fā)現(xiàn)是誤報。

安全公司Invicti最近一項研究發(fā)現(xiàn)，SOC每年平均要浪費1萬個小時以及50萬美元來驗證安全測試的可靠性以及威脅警報的真實性。同時，ESG(Enterprise Strategy Group)為Fastly公司進行的另一項調(diào)查發(fā)現(xiàn)，一家企業(yè)平均每天會收到53條來自其web應用和API安全工具的警報，但其中近一半(45%)的警報都是誤報。在該調(diào)查中，十分之九的受訪者都認為誤報會對安全團隊造成危害。

Deep Instinct公司的網(wǎng)絡安全宣傳主管Chuck Everette表示， “對于SOC來說，誤報是最大的痛點之一。SOC的主要工作是監(jiān)控安全事項，并及時地進行調(diào)查和響應。如果這些真實的安全警報被成百上千的誤報淹沒，那么SOC分析師對真實安全警報響應和處理的效率將會大打折扣。

完全消除誤報幾乎是不可能的。但是，有一些方法可以讓SOC盡可能地縮短處理安全警報的時間。下面是其中的五種方法：

1. 關注重要的威脅

在配置和調(diào)整IDS和SIEM系統(tǒng)等安全警報工具時，請確保定義的規(guī)則和行為僅在威脅到相關環(huán)境時才會發(fā)出警報。安全工具可以聚合大量日志數(shù)據(jù)，但從威脅的角度來看，并非所有日志數(shù)據(jù)都與目標環(huán)境相關。

Vectra CTO團隊的技術總監(jiān)Tim Wade表示，SOC處理的大部分誤報都是由以下三種情況中的其中一種導致的。

第一，基于相關性的規(guī)則通常無法描述足夠數(shù)量的特征，而這些特征正是將檢測的靈敏度和專指度提高到可執(zhí)行水平所必需的東西。因此，檢測往往只能識別威脅行為，但無法判斷其是否為良性。

其次，基于行為的規(guī)則主要關注異常，擅長以追溯的方式發(fā)現(xiàn)威脅。但它往往無法發(fā)出執(zhí)行信號。對于任何規(guī)模的企業(yè)來說，‘有異常是正常的’。這意味著存在異常行為是再正常不過的事，所以追查每一個異常無疑是在浪費時間和精力。

最后，SOC在對自身事件的分類上不夠成熟，無法區(qū)分惡意的威脅和良性的誤報。這導致良性警告與誤報被混為一談，很大程度上隱藏了一些關鍵數(shù)據(jù)，這些數(shù)據(jù)能夠幫助改進檢測流程，實現(xiàn)迭代。

Netenrich 的首席威脅獵人John Bambenek表示：誤報產(chǎn)生的主要原因是SOC未能理解在其特定環(huán)境中真正的威脅指標是什么，并缺乏可用于測試規(guī)則的優(yōu)質(zhì)數(shù)據(jù)。許多安全實體通常會將威脅指標作為其研究的一部分，但有時僅靠有效的威脅指標并不足以識別那些與特定環(huán)境相關的威脅。

例如，一些網(wǎng)絡不法分子使用Tor軟件。所以，Tor的使用與網(wǎng)絡威脅相關。但這并不意味著每個使用Tor的人都是不法分子。大多數(shù)研究都需要關聯(lián)分析，但許多公司在這方面都很落后。”

2. 不要被“誤報率”所誤導

JupiterOne的首席信息安全官Sounil Yu說：“安全管理人員經(jīng)常對供應商的低誤檢率聲明有著過于字面化的理解。比如SOC工具所聲明的1%誤檢率和1%漏檢率并不意味著真實安全警報率是99%。由于合法流量通常比惡意流量要高得多，所以真實安全警報率通常會遠低于安全管理人員最初的預期值。”真實安全警報率實際上要低很多，而且根據(jù)所處理事件的數(shù)量，這個概率還會進一步降低。

他指出：假如一個SOC每天處理10萬個事件，其中只有100個是真實警報，剩下的99900個均為誤報。在這種情況下，1%的誤檢率意味著安全團隊必須追蹤999個誤報，而真實警報率僅為Yu所以說的9%。如果我們將事件的數(shù)量增加到100萬，同時將真實警報地的數(shù)量保持在100，那么真實警報率將進一步降低到1%以下。

Yu還表示，安全管理人員的主要收獲是：誤報率的微小差異會顯著影響SOC所需要處理的誤報數(shù)量。因此，不斷調(diào)整檢測規(guī)則以降低誤報率，并盡可能使警報的初始調(diào)查以自動化的方式進行非常重要。另一方面，安全團隊還應抑制其向檢測引擎投入超過所需數(shù)量的數(shù)據(jù)。與其武斷地在檢測通道中輸入過多數(shù)據(jù)，不如只輸入處理檢測規(guī)則所需的數(shù)據(jù)，并將剩余數(shù)據(jù)用于之后的自動化擴充。

3. 入侵自身網(wǎng)絡

Data Theorem公司的COO，Doug Dooley表示：SOC分析師在處理低影響的安全警報時往往比處理誤報更加費力。比如，安全團隊會被要求去識別應用開發(fā)中可能存在的或可能永遠不會被利用的代碼質(zhì)量問題，而不是關注對業(yè)務有重大影響的問題時。SecOps團隊很容易受困于一些被錯誤地歸類為“誤報”的非關鍵警報。

只有當安全團隊與商務領導密切合作時，他們才能專注于真正重要的事，并過濾掉那些無關緊要的事情。如果最受歡迎的APP數(shù)據(jù)泄露可能會嚴重損害品牌效益，降低股價，并使該公司失去客戶，那么關注APP棧中可利用的威脅就會成為更為優(yōu)先的事項。

Dooley建議組織在自己的系統(tǒng)上進行威脅測試，以驗證是否存在可被利用的威脅，而不是將重點放在理論攻擊和腳本上。他表示：這樣的測試和驗證可以在安全運營團隊和開發(fā)團隊之間建立信任和可信度。

4. 維護良好的記錄和指標

記錄無用的調(diào)查是一個用來最大限度地降低重蹈覆轍可能性的好方法。為了改進檢測和微調(diào)警報，SOC需要能夠從可執(zhí)行信號中過濾掉噪音。這要求組織擁有可以回顧和學習的數(shù)據(jù)。

Vectra公司的Wade表示：在一個時間、資源和精力都有限的世界里，每一次把精力浪費在處理誤報上，企業(yè)就會多一分忽略可執(zhí)行信號的風險。毫不夸張地說，SOC非常需要維護好其調(diào)查的有效記錄和指標，用于不斷改進其檢測工程。不幸的是，對于許多SOC團隊來說，這種改善進程所必需的長期規(guī)劃工作往往會被當下的混亂問題所耽誤。

Bambenek表示：安全警報工具應具備反饋機制和指標，允許安全維護人員追溯供應商和信息源的誤報率。如果你使用的是一個安全遙測數(shù)據(jù)湖，那么你還可以對照以前的數(shù)據(jù)來查看指標和新規(guī)則，從而了解誤報率。

5. 僅靠自動化是不夠的

有效地實行自動化，可以幫助現(xiàn)代SOC，應對警報過載或技能欠缺所帶來的挑戰(zhàn)。但是，組織仍需要操作人員，或者利用MSP(managed service provider)來最大限度地使用自己的技術。Invicti的首席產(chǎn)品官。Sonali Shah表示：由于手動確認每個安全威脅的時間為一小時，所以安全團隊每年可能要花費高達1萬小時的時間來處理誤報。并且在Invicti的調(diào)查中，超過四分之三的受訪者都表示，他們通常手動驗證威脅。這種情況下，將自動化技術集成到現(xiàn)有的工作流中便可以幫助應對誤報所帶來的挑戰(zhàn)。

S&P全球市場情報公司的分析師Daniel Kennedy表示，為了最大限度地利用技術，SOC需要操作人員來調(diào)整日志記錄和檢測工具、開發(fā)腳本以及定制工具(將供應商工具集成到一起)。這些操作人員隨著時間的推移，不斷地了解掌握組織技術的定制特性，這對SOC來說是非常有用的。他們可以通過檢查日常報告中的模式、開發(fā)腳本、調(diào)整供應商工具以及為有效的自動響應劃分級別來幫助SOC節(jié)省時間。

Deep Instinct的Everette表示，調(diào)整警報、事件和日志是必要的。主題專家(SME)必須對系統(tǒng)進行配置，以確保只有高保真的警報才會被呈現(xiàn)出來。同時，還需要設置相應的事件觸發(fā)器，以確保在需要時提高相應的優(yōu)先級。為了有效地做到這一點，組織必須關聯(lián)和分析不同來源的數(shù)據(jù)，如安全日志、事件和威脅數(shù)據(jù)。安全警報工具“不是一種一勞永逸的機制”。為了最大限度地利用警報工具，SOC需要尋找機會來增強每個工具的性能，在減少誤報數(shù)量的同時，提高其整體安全態(tài)勢的有效性。

點評

“誤報”的產(chǎn)生，往往是由于威脅的判定條件不夠具體明確。對于不用的系統(tǒng)環(huán)境，甚至不同的安全工作人員來說，威脅的定義都是不同的，帶有很強的主觀性。因此，對安全檢測工具的過分依賴是非常不可取的。檢測工具僅能起到協(xié)助作用，關鍵還是在于安全技術人員能力的提升，發(fā)揮出檢測工具的最大價值。