在采訪中,Stamus Networks的CEO Ken Gramley討論了網(wǎng)絡(luò)安全和DevOps環(huán)境中警報疲勞的主要原因�����。警報疲勞是由于安全工具生成的大量事件數(shù)據(jù)���、虛假警報的普遍存在以及缺乏明確的事件優(yōu)先級和可操作的指導(dǎo)而導(dǎo)致的����。
什么是網(wǎng)絡(luò)安全和DevOps環(huán)境中警報疲勞的主要原因���?
警報疲勞是由幾個相關(guān)因素導(dǎo)致的�。
首先�����,當(dāng)今的安全工具生成了大量的事件數(shù)據(jù),這使得安全從業(yè)人員難以區(qū)分背景噪音和嚴(yán)重威脅�。
其次,許多系統(tǒng)容易產(chǎn)生虛假警報���,這些警報要么是由無害活動觸發(fā)���,要么是由過于敏感的異常閾值觸發(fā)的,這可能會使防御者失去敏感性�,最終錯過重要的攻擊信號。
第三個導(dǎo)致警報疲勞的因素是缺乏明確的優(yōu)先級����,這些系統(tǒng)生成的警報往往沒有機(jī)制來分流和優(yōu)先處理事件,這可能導(dǎo)致癱瘓性的無所作為���,因為從業(yè)人員不知道從哪里開始���。
最后����,當(dāng)警報記錄或日志沒有包含足夠的證據(jù)和響應(yīng)指導(dǎo)時,防御者不確定下一步的可操作步驟���,這種混亂浪費了寶貴的時間���,并導(dǎo)致挫折和疲勞����。
減少警報疲勞對企業(yè)來說是一個重大挑戰(zhàn)����,如何優(yōu)化他們的安全技術(shù)堆棧來克服這一挑戰(zhàn)?
這確實是一個挑戰(zhàn),我們看到一些企業(yè)不幸地選擇記錄所有警報��,只有在更可信的系統(tǒng)檢測到事件時才進(jìn)行檢查����。雖然這種記錄的警報數(shù)據(jù)通常包含對事件調(diào)查至關(guān)重要的大量證據(jù),但這種“存儲和忽略”的方法并不是理想的解決方案�。
現(xiàn)代安全運營中心(SOC)的三個最重要的組成部分是網(wǎng)絡(luò)檢測和響應(yīng)(NDR)系統(tǒng)、端點檢測和響應(yīng)(EDR)系統(tǒng)和中央分析引擎(通常是安全信息和事件管理(SIEM)系統(tǒng))�����,這些所謂的“SOC可視性三合一”中的每一個元素在減少警報疲勞方面都起著重要作用�����。
您的NDR和EDR系統(tǒng)必須具有識別各自領(lǐng)域內(nèi)嚴(yán)重和緊迫威脅的可靠機(jī)制,且精度極高��,即幾乎沒有誤報��,這增加了對工具集的信心�����,并可以為安全分析師提供一個調(diào)查的起點�。此外,它們還應(yīng)提供某種形式的自動事件分流或優(yōu)先級處理�����,這可以突出SOC團(tuán)隊必須調(diào)查的下一級事件����。
最后,NDR和EDR必須收集與給定安全事件相關(guān)的所有相關(guān)工件��,并盡可能將它們關(guān)聯(lián)和組織成事件時間線�����,以加快調(diào)查速度���,使防御者能夠在威脅造成任何損害之前將其消除����。
NDR和EDR是向你的SIEM提供安全遙測數(shù)據(jù)的重要來源����,因此這是減少警報疲勞的下一個層次。每個NDR和EDR發(fā)送到SIEM的事件記錄或日志都應(yīng)附加豐富的元數(shù)據(jù)�,為SIEM分析引擎及其用戶提供所有相關(guān)證據(jù)和相關(guān)信息,以通知事件響應(yīng)工作����。此外,這些詳細(xì)的事件記錄可以為SIEM本身的另一個層次的相關(guān)威脅檢測提供數(shù)據(jù)��。
企業(yè)如何使用上下文信息豐富警報并使其更具可操作性�?
這是至關(guān)重要的。有幾種類型的上下文可以在這里提供幫助�����。企業(yè)特定的信息——例如主機(jī)名和熟悉的網(wǎng)絡(luò)名稱——可以使識別受攻擊的資產(chǎn)或用于傳播惡意軟件的資產(chǎn)變得更加容易�����。例如,如果沒有將這些上下文包含在警報記錄或日志中��,分析師需要切換到不同的系統(tǒng)來查找這些信息��。
另一種形式的上下文是相關(guān)的元數(shù)據(jù)和工件,這里指的是協(xié)議事務(wù)日志、文件附件�,甚至是警報發(fā)生期間的完整數(shù)據(jù)包捕獲(PCAP)����。
這些附加信息已被證明可以幫助SOC人員更快地評估事件的嚴(yán)重性����、來源和原因,使這些警報更具可操作性��。
企業(yè)如何在透明度需求與暴露敏感信息的潛在風(fēng)險之間取得平衡����?
這個話題對我來說非常重要。在Stamus Networks����,我們非常致力于極端透明度和數(shù)據(jù)主權(quán)——這兩個因素都涉及到這個問題�����。盡管如此,在透明度和信息安全之間取得平衡對組織來說是一項艱難的工作�。企業(yè)可以采用多種策略,以下是一些在成功的安全領(lǐng)導(dǎo)者實踐中常見的策略:
首先�����,他們基于公認(rèn)的安全框架(如NIST或ISO 27001)構(gòu)建控制程序�,這不僅創(chuàng)建了一個可辯護(hù)的程序,還確保他們在考慮大局時不會忽略重要的控制措施�。
其次,他們非常重視對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行廣泛的安全監(jiān)控����,這使他們能夠在攻擊鏈的早期發(fā)現(xiàn)嚴(yán)重威脅和未經(jīng)授權(quán)的活動。
此外���,這些企業(yè)還制定了明確透明的溝通計劃���,概述了哪些信息可以共享,哪些不能共享����,這建立了信任���,并避免了組織內(nèi)部和與利益相關(guān)者之間的混亂。
最后�����,這些企業(yè)特別關(guān)注數(shù)據(jù)的存儲和處理位置���,并實行我所稱的“極端數(shù)據(jù)主權(quán)”�����,即對數(shù)據(jù)駐留和處理保持嚴(yán)格控制�����。
監(jiān)管要求和行業(yè)標(biāo)準(zhǔn)在促進(jìn)網(wǎng)絡(luò)安全透明度和問責(zé)制方面扮演什么角色���?
監(jiān)管要求和行業(yè)標(biāo)準(zhǔn)通過推動泄露披露和實施強(qiáng)有力的網(wǎng)絡(luò)安全控制,在促進(jìn)透明度和問責(zé)制方面發(fā)揮重要作用����。美國證券交易委員會(SEC)的8-K表格備案要求和歐盟的GDPR等法規(guī)要求向當(dāng)局和某些情況下的受影響個人報告數(shù)據(jù)泄露���,這迫使企業(yè)公開安全事件,促進(jìn)公眾意識并防止?jié)撛诘难谏w行為���。
SEC的10-K表格備案要求上市公司披露其網(wǎng)絡(luò)安全計劃的詳細(xì)信息�。同樣��,歐盟的NIS指令專注于關(guān)鍵服務(wù)提供商���,迫使他們實施風(fēng)險管理措施。通過使這些控制措施可見�����,利益相關(guān)者(和股東)可以評估組織的網(wǎng)絡(luò)安全狀況��,并要求他們維護(hù)強(qiáng)有力的防御����。
企業(yè)如何利用新技術(shù)和框架來提高透明度和問責(zé)制?
我之前提到的“SOC可視性三合一”——NDR����、EDR和SIEM是可以幫助的新技術(shù)之一�����,這些系統(tǒng)不斷監(jiān)控網(wǎng)絡(luò)中的可疑活動���,允許更快地識別和緩解威脅。實時威脅檢測促進(jìn)了透明度�����,因為企業(yè)可以就正在進(jìn)行的威脅和采取的行動進(jìn)行溝通���。
我已經(jīng)提到過網(wǎng)絡(luò)安全框架的重要性——這些框架幫助企業(yè)識別��、保護(hù)����、檢測���、響應(yīng)和從網(wǎng)絡(luò)攻擊中恢復(fù)�����。通過公開闡明基于這些框架的方法���,企業(yè)展示了對網(wǎng)絡(luò)安全的承諾�����,并可以被要求遵循其既定的流程�。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯����。
(來源:企業(yè)網(wǎng)D1Net)
在線咨詢
在線咨詢
0371-63319761