雷神Foreground Security的高管Carl Manion 2016年11月7日發(fā)布博文分享了他應對虛假警報、避免時間浪費的實用經(jīng)驗。

虛假警報指的是那些讓你陷入擔憂，但進一步調(diào)查后發(fā)現(xiàn)虛驚一場的警報通知。

剛開始人們覺得這些誤報好像只會帶來輕微的不便，但如果每天都有成百上千次誤報產(chǎn)生，你會發(fā)現(xiàn)它們幾乎占去了你每天四分之三甚至更多的時間！

更糟糕的是，這的確發(fā)生在全球大多數(shù)安全操作中心（SOC）網(wǎng)絡安全分析師的身上，因為他們一直遵循著傳統(tǒng)的、被動的威脅監(jiān)測方式。

在大多數(shù)SOC中，誤報是一個關鍵難題。它們不但需要花一定的時間和資源來處理，而且還會分散安全分析師處理真正安全威脅的精力。

這些分析師可能會因為每天處理許許多多的虛假警報而產(chǎn)生“警報疲勞癥”，對各種警報的敏感度降低，最終遺漏真正會發(fā)生網(wǎng)絡攻擊行為的跡象。

那么什么原因造成了虛假警報呢？

據(jù)懸鏡服務器衛(wèi)士的工作人員了解到：誤報最常見的成因是配置不良或調(diào)整不佳的安全工具，例如SIEM、入侵檢測系統(tǒng)、入侵防御系統(tǒng)、終端檢測與響應工具。

這些系統(tǒng)利用了很多基于一套預定義規(guī)則（如已知簽名、模式、預期的用戶行為等）的攻擊檢測技術。

當這些工具中的某個規(guī)則、簽名或模式定義得太寬泛或缺少某些邏輯時通常就會產(chǎn)生誤報。根據(jù)當前邏輯識別安全事件，就容易產(chǎn)生虛假的威脅事件報警。

下面推薦7個基本習慣可供企業(yè)或組織參考借鑒，最大程度地降低誤報率：

1）主動出擊。

將你的威脅管理方式變得積極主動，如果你所做的就是等待警報響起和警報消失，那么你的時間都會花在誤報的處理上而不是發(fā)現(xiàn)真正的威脅。主動發(fā)現(xiàn)威脅，這是檢測最新網(wǎng)絡威脅唯一經(jīng)過驗證的方法。

2）目標優(yōu)先

正確使用報警技術能夠大大提高我們識別可疑或惡意活動的能力，這也是懸鏡服務器衛(wèi)士一直在追求的的目標。但很多企業(yè)、組織大范圍地應用該技術，忽視了重點關注你計劃檢測的威脅類型這一關鍵點。

評估你所在企業(yè)的風險與安全需求，然后再將報警技術應用于最高風險威脅事件。重點關注你的最終目標，也就是和你計劃檢測最相關的威脅類型，這會大大降低誤報率。

3）高風險警報優(yōu)先

優(yōu)先化是SOC減少因誤報而造成時間浪費最好的工具之一。可靠性最高并帶有檢測高風險事件的報警無疑應該被列為優(yōu)先處理項。

利用這種方法分析人員就可以根據(jù)優(yōu)先級分別處理，確保首先解決風險最高的事件。

4）雙贏思維

把人們看做是一個合作性的群體而不是競爭性的。選擇合作性的情報源，為你的安全操作中心帶來不同的真實性、相關性和價值資源。

（當然要進行明智地選擇；如果不夠小心，盲目地整合情報站點資源而不評估其真實性，這樣產(chǎn)生的誤報率會對安全操作中心帶來負面影響。）

5）注重理解

處理誤報問題首先應該全面理解已有工具想要處理的是什么威脅以及它的運作方式。使用某個工具時，你也應該徹底明確你部署它的原因，而不是根據(jù)“常見”情況而作出假設，切忌在默認設置的情況下安裝某個工具。

6）協(xié)同處理（利用相關性）

很多情況下，一個事件可能不足以引起重視，除非它與其它利益事件一起被觀察到。出現(xiàn)這樣的情況時，你應該使用一套定義清晰的相關性規(guī)則，若各個事件滿足所有相關性標準，那么只發(fā)送一條警報至分析師的處理安排表中。

7）保持更新。

復查以前的警報，不斷吸取教訓，更好地制定報警規(guī)則。警報復查能夠讓你明白如何調(diào)整、改善現(xiàn)有規(guī)則。

如今的網(wǎng)絡威脅十分復雜，降低誤報率需要智能化、有針對性的警報邏輯來提取重要事件。因此持續(xù)調(diào)整這種邏輯非常重要。

雖然虛假警報在網(wǎng)絡安全操作中總是會存在，但通過遵循以上7條好習慣，降低虛假警報的數(shù)量還是有可能的。

以下是描述這7個習慣的漢化版信息圖。

*本文原創(chuàng)作者：Carrie_spinfo，轉(zhuǎn)載來自FreeBuf（FreeBuf.COM）

 懸鏡小編認為：網(wǎng)絡安全在當今社會也越來越重要，所以這也是為什么很多企業(yè)花很多錢專門組建相應的團隊的原因。