什么是網(wǎng)絡(luò)安全和DevOps環(huán)境中警報(bào)疲勞的主要原因?

警報(bào)疲勞是由幾個(gè)相關(guān)因素導(dǎo)致的。

首先，當(dāng)今的安全工具生成了大量的事件數(shù)據(jù)，這使得安全從業(yè)人員難以區(qū)分背景噪音和嚴(yán)重威脅。

其次，許多系統(tǒng)容易產(chǎn)生虛假警報(bào)，這些警報(bào)要么是由無害活動(dòng)觸發(fā)，要么是由過于敏感的異常閾值觸發(fā)的，這可能會(huì)使防御者失去敏感性，最終錯(cuò)過重要的攻擊信號(hào)。

第三個(gè)導(dǎo)致警報(bào)疲勞的因素是缺乏明確的優(yōu)先級(jí)，這些系統(tǒng)生成的警報(bào)往往沒有機(jī)制來分流和優(yōu)先處理事件，這可能導(dǎo)致癱瘓性的無所作為，因?yàn)閺臉I(yè)人員不知道從哪里開始。

最后，當(dāng)警報(bào)記錄或日志沒有包含足夠的證據(jù)和響應(yīng)指導(dǎo)時(shí)，防御者不確定下一步的可操作步驟，這種混亂浪費(fèi)了寶貴的時(shí)間，并導(dǎo)致挫折和疲勞。

減少警報(bào)疲勞對(duì)企業(yè)來說是一個(gè)重大挑戰(zhàn)，如何優(yōu)化他們的安全技術(shù)堆棧來克服這一挑戰(zhàn)?

這確實(shí)是一個(gè)挑戰(zhàn)，我們看到一些企業(yè)不幸地選擇記錄所有警報(bào)，只有在更可信的系統(tǒng)檢測到事件時(shí)才進(jìn)行檢查。雖然這種記錄的警報(bào)數(shù)據(jù)通常包含對(duì)事件調(diào)查至關(guān)重要的大量證據(jù)，但這種“存儲(chǔ)和忽略”的方法并不是理想的解決方案。

現(xiàn)代安全運(yùn)營中心(SOC)的三個(gè)最重要的組成部分是網(wǎng)絡(luò)檢測和響應(yīng)(NDR)系統(tǒng)、端點(diǎn)檢測和響應(yīng)(EDR)系統(tǒng)和中央分析引擎(通常是安全信息和事件管理(SIEM)系統(tǒng))，這些所謂的“SOC可視性三合一”中的每一個(gè)元素在減少警報(bào)疲勞方面都起著重要作用。

您的NDR和EDR系統(tǒng)必須具有識(shí)別各自領(lǐng)域內(nèi)嚴(yán)重和緊迫威脅的可靠機(jī)制，且精度極高，即幾乎沒有誤報(bào)，這增加了對(duì)工具集的信心，并可以為安全分析師提供一個(gè)調(diào)查的起點(diǎn)。此外，它們還應(yīng)提供某種形式的自動(dòng)事件分流或優(yōu)先級(jí)處理，這可以突出SOC團(tuán)隊(duì)必須調(diào)查的下一級(jí)事件。

最后，NDR和EDR必須收集與給定安全事件相關(guān)的所有相關(guān)工件，并盡可能將它們關(guān)聯(lián)和組織成事件時(shí)間線，以加快調(diào)查速度，使防御者能夠在威脅造成任何損害之前將其消除。

NDR和EDR是向你的SIEM提供安全遙測數(shù)據(jù)的重要來源，因此這是減少警報(bào)疲勞的下一個(gè)層次。每個(gè)NDR和EDR發(fā)送到SIEM的事件記錄或日志都應(yīng)附加豐富的元數(shù)據(jù)，為SIEM分析引擎及其用戶提供所有相關(guān)證據(jù)和相關(guān)信息，以通知事件響應(yīng)工作。此外，這些詳細(xì)的事件記錄可以為SIEM本身的另一個(gè)層次的相關(guān)威脅檢測提供數(shù)據(jù)。

企業(yè)如何使用上下文信息豐富警報(bào)并使其更具可操作性?

這是至關(guān)重要的。有幾種類型的上下文可以在這里提供幫助。企業(yè)特定的信息——例如主機(jī)名和熟悉的網(wǎng)絡(luò)名稱——可以使識(shí)別受攻擊的資產(chǎn)或用于傳播惡意軟件的資產(chǎn)變得更加容易。例如，如果沒有將這些上下文包含在警報(bào)記錄或日志中，分析師需要切換到不同的系統(tǒng)來查找這些信息。

另一種形式的上下文是相關(guān)的元數(shù)據(jù)和工件，這里指的是協(xié)議事務(wù)日志、文件附件，甚至是警報(bào)發(fā)生期間的完整數(shù)據(jù)包捕獲(PCAP)。

這些附加信息已被證明可以幫助SOC人員更快地評(píng)估事件的嚴(yán)重性、來源和原因，使這些警報(bào)更具可操作性。

企業(yè)如何在透明度需求與暴露敏感信息的潛在風(fēng)險(xiǎn)之間取得平衡?

這個(gè)話題對(duì)我來說非常重要。在Stamus Networks，我們非常致力于極端透明度和數(shù)據(jù)主權(quán)——這兩個(gè)因素都涉及到這個(gè)問題。盡管如此，在透明度和信息安全之間取得平衡對(duì)組織來說是一項(xiàng)艱難的工作。企業(yè)可以采用多種策略，以下是一些在成功的安全領(lǐng)導(dǎo)者實(shí)踐中常見的策略：

首先，他們基于公認(rèn)的安全框架(如NIST或ISO 27001)構(gòu)建控制程序，這不僅創(chuàng)建了一個(gè)可辯護(hù)的程序，還確保他們?cè)诳紤]大局時(shí)不會(huì)忽略重要的控制措施。

其次，他們非常重視對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行廣泛的安全監(jiān)控，這使他們能夠在攻擊鏈的早期發(fā)現(xiàn)嚴(yán)重威脅和未經(jīng)授權(quán)的活動(dòng)。

此外，這些企業(yè)還制定了明確透明的溝通計(jì)劃，概述了哪些信息可以共享，哪些不能共享，這建立了信任，并避免了組織內(nèi)部和與利益相關(guān)者之間的混亂。

最后，這些企業(yè)特別關(guān)注數(shù)據(jù)的存儲(chǔ)和處理位置，并實(shí)行我所稱的“極端數(shù)據(jù)主權(quán)”，即對(duì)數(shù)據(jù)駐留和處理保持嚴(yán)格控制。

監(jiān)管要求和行業(yè)標(biāo)準(zhǔn)在促進(jìn)網(wǎng)絡(luò)安全透明度和問責(zé)制方面扮演什么角色?

監(jiān)管要求和行業(yè)標(biāo)準(zhǔn)通過推動(dòng)泄露披露和實(shí)施強(qiáng)有力的網(wǎng)絡(luò)安全控制，在促進(jìn)透明度和問責(zé)制方面發(fā)揮重要作用。美國證券交易委員會(huì)(SEC)的8-K表格備案要求和歐盟的GDPR等法規(guī)要求向當(dāng)局和某些情況下的受影響個(gè)人報(bào)告數(shù)據(jù)泄露，這迫使企業(yè)公開安全事件，促進(jìn)公眾意識(shí)并防止?jié)撛诘难谏w行為。

SEC的10-K表格備案要求上市公司披露其網(wǎng)絡(luò)安全計(jì)劃的詳細(xì)信息。同樣，歐盟的NIS指令專注于關(guān)鍵服務(wù)提供商，迫使他們實(shí)施風(fēng)險(xiǎn)管理措施。通過使這些控制措施可見，利益相關(guān)者(和股東)可以評(píng)估組織的網(wǎng)絡(luò)安全狀況，并要求他們維護(hù)強(qiáng)有力的防御。

企業(yè)如何利用新技術(shù)和框架來提高透明度和問責(zé)制?

我之前提到的“SOC可視性三合一”——NDR、EDR和SIEM是可以幫助的新技術(shù)之一，這些系統(tǒng)不斷監(jiān)控網(wǎng)絡(luò)中的可疑活動(dòng)，允許更快地識(shí)別和緩解威脅。實(shí)時(shí)威脅檢測促進(jìn)了透明度，因?yàn)槠髽I(yè)可以就正在進(jìn)行的威脅和采取的行動(dòng)進(jìn)行溝通。

我已經(jīng)提到過網(wǎng)絡(luò)安全框架的重要性——這些框架幫助企業(yè)識(shí)別、保護(hù)、檢測、響應(yīng)和從網(wǎng)絡(luò)攻擊中恢復(fù)。通過公開闡明基于這些框架的方法，企業(yè)展示了對(duì)網(wǎng)絡(luò)安全的承諾，并可以被要求遵循其既定的流程。