安全告警数量翻倍,八成团队遭遇告警疲劳,如何应对?
加入“ICT销售和大客户联盟”(微信ID:ICT-League),与ICT同行!
“ICT销售与大客户联盟”公众号,集千家厂商、集成商和客户于一堂,致力于ICT领域的价值挖掘和变现,围绕大数据、物联网、人工智能、数据安全、数据资产、合规、运维等ICT领域,分享ICT驱动业务的政策、商业、实战思想、方法、解决方案、人脉、资源、举措、效果,以及盟内成员之间的合作促成等,助您不断的进步和发展。
(图片来源于网络)
【编者按】
01
安全团队被毫无价值的告警淹没
最终渐渐无视告警
安全团队越来越疲于应付告警?是的,这是现实情况。来自多种工具的告警流淹没了SOC运营中心,安全团队疲于应付,更可恼的是有时候是错误配置带来的。为了避免被告警流淹没,分析师被迫分辨并排序哪些告警值得注意。
因为疲于应对,安全工程师是秃了头但却没成长,怎一个苦不堪言可以描述。更为可怕的是,重大问题似乎总是会在错过关键告警时出现,并导致安全事件。
告警疲劳已经成为了对安全团队的“暴击”,常常是一击致命啊。
如今,在企业网络上的数据量、数据资产等等与十年前完全不可同日而语。十年前是完全不能够想象到今天的量级的。几乎没有公司和企业不疲于应付,来自告警的暴击令企业陷于风险,也令安全团队的每一个人都面临风险。
毕竟,除了安全事故,尤其是涉及重大泄密、重大事故的时候,是要有人来承担责任的。
有矛就有盾,有问题就有解决问题的办法。历经多年的实践,我们的安全专家给出了他们关于告警疲劳成因与影响的思考,在这里我们分享一下可用于缓解告警疲劳的工具、技术和实践。
郑恺负责企业的安全团队,郑恺告诉我们,他的团队面临的问题主要是:“安全团队对自己的配置或自己拥有的资产没信心或不确定,这明显加剧了告警疲劳。要命的是,告警疲劳常常使我们没能及时处理这些问题,好几次都差点出大差错。”这个问题其实在很多的企业都存在,因为他们不理解问题的本质,也没有时间去理解,更重要的是没有一个很好的智能工具去帮助完成,纯粹的手工维护不能解决问题的。
郭林是一家金融企业的安全运维团队的负责人,他告诉我们:“随着企业的壮大,网络越来越复杂,设备越来越多,与日俱增的各类安全策略也已经越来越无法管理了,各类策略有无效的,有矛盾的,有交叉的......,这造成了大量的漏洞,同时带来了无数的告警。过去告警一来还蛮紧张,现在变成了司空见惯了,开始掉以轻心了。”这是很多历史悠久的企业都存在的问题,他们之前并不需要关注和处理这些告警,甚至也根本不存在这类告警。但现在暴击来的很是凶猛,没事就来一下。想要处理和重新梳理这些策略几乎没有可能,人肉做不到,还因为不时的增加策略而不得不再次梳理。这类问题在人工智能的今天,通过工具能方便的解决,并能帮助企业减少受攻击面。
护网行动中,张总的企业可忙坏了也紧张坏了,他告诉我们:“我们企业其实从未真正拥有安全运营中心或安全团队,直到最近都还没真正接受过检测攻击,更不要说之后的事件响应了。我可否采取关机、下线来应对?”回答是肯定的,不行。这是自欺欺人的做法。通过我们的合作,短时间里帮助张总完成了必要的准备工作。
金兴是另一家银行的CIO,他说:“我们在数据资产的安全方面遇到的问题是,各类安全工具的组合现在成了负担,他们给报警疲劳问题增加了砝码。如今,我们查找数据资产、分级分类、数据泄密等等的威胁范围比以前是广阔得多了,涉及的人员、资产的类型、终端的数量和类型、人员的行为等等也越来越多。要监视的东西更多,告警也随之增长。告警过载最明显的风险,就是我们企业可能会错过最危险的攻击和最危险的泄密行为。”这是典型的数据资产治理和安全方面的问题,缺乏统一的数据资产的管理和统一的安全体系、加密体系等造成的。
华云数创的Sherry告诉我:“比这些问题更多的问题和场景,过去的一年中他们遇到的很多。Sherry说,如果安全人员不得不处理超量告警,最终一定会造成士气低落,产生职业倦怠感。更为糟糕的是,不堪应付的员工还可能干脆关闭这些必要的工具。”
02
用什么策略对抗告警疲劳?
告警疲劳是确实存在的问题,它不仅会影响安全团队的幸福感,而且会影响整个企业的安全生产。利用工具自动处理告警并过滤告警噪音,以防止无关紧要的告警造成过重的负担,协助你快速定位告警,以采取更加有效的操作。
用什么策略对抗告警疲劳和警报过载?以下实践的方法和建议,您不妨参考一下。
(图片来源于网络)
(1)仔细检查和定义检测用例
安全团队要做的最重要的事就是理解企业面临的问题。
如果告警太多,就需要反复调查确认检测环境中的以下问题:
哪些可能引起太多误报?
真正的告警有哪些特征?
对企业而言,真正的威胁是什么?
你的最大担忧是什么?
比如,如果你最担心企业的设计图纸的数据流出,你就要设置适用于你的特定忧虑的规则。
为减少告警流,安全团队应有适用于企业自身的检测用例。检测用例要反映的是企业关心的东西,要严格定义企业的优先考虑,而不是某个咨询公司或者上级给出的某个清单,对照清单划勾的做法,是不合格的安全团队。
这也要求安全团队要与业务领导和企业领导保持良好的沟通和协作,真正理解企业最担心的问题,要帮助企业领导梳理出“我最关心这种数据”这句话,而不是接受一个指令是“我不希望任何数据流出企业”。
做到这一步的充分必要的条件是:你必须真的清楚重要的数据资产都分布在哪?重要的数据进行了很好的分级和加密等。
(2)仔细检查配置
我们在实际中发现,很多给安全团队带来巨大工作量的原因是错误或者不合适的配置造成的,这是当今安全团队面临的最大问题。
造成这状况的原因颇多:
u人员缺乏正确配置所需的必要培训和专业背景,购买系统却发挥不了其价值,还不如多花点钱做好培训
u假定采购的工具从一开始就能给出有价值的信息
u认为系统的初始配置就是长期可用的配置,没有根据企业发展和系统的复杂性增加而调整
u安全团队由于过于谨慎,抱着“宁可错杀一千也不放过一个”的方式
u信息系统资产的版本不及时更新,分析的数据不是当前最新状态
u员工电脑资产、系统IP地址等资产不及时更新,引发不必要的告警
u构造的规则、警报和仪表板可能已经不再适用于当前的企业环境
不存在部署完毕,上线后就产生明确可行安全告警的系统!若安全团队对上线立即产生明确可行告警的系统抱有过高期待,那么,安全团队的噩梦也就开始了,必然招来告警疲劳的恶化结果。
反之,如果你用的系统的每条告警都是明确且可行的,那很大概率上的结论是:你很可能漏掉很多东西!
(3)检查和维护源细节和可操作性
我们这里说的“源细节”是指:告警信息能指向问题源头和系统内受影响的任何其他区域,任何数据,甚至是任何相关的人,以便能从根源解决问题。
有效的告警信息需具备这样几个关键特征:
来自匹配整个系统的数据点以描绘出完整视图,包括运行手册、图表、日志、注释等等
对于数据资产而言,匹配数据资产的属性、位置、传阅、打印、设备、人员、时间、内容、安全分级、传输路径、改写、拆分、压缩等等的全部视图等等
解决问题有关的任何其他细节
一句话,安全团队日常要检测和维护,以确保所有警报都具备源细节和可操作性。
(4)调整异常检测基准线(阈值)
消防队一样的日常忙碌,以至于安全团队忘了定期精调基准线。这个小小的细节导致了更多的无用警报,让警报疲劳进一步恶化。
基准线的调整是个不错的开始,他能解决掉最大的警报噪音。
我们在实际中通过总结,人为调整基准线是一个蛮痛苦的事情。更好的解决方案是使用能随时间从系统基线中学习的工具,这个工具我们称之为“专家系统”,这是我们十多年从事IT运维服务的实践中总结并完善的一个系统,经过众多的安全实例的修正、实践和验证后形成的,它采用人工智能的方式,可随企业业务的实际情况、数据的增加、组织的变化、公司扩张等自行调整,让安全团队无需手动调整。
(5)要充分发挥数据的作用,解释“合法”告警和减少冗余告警
在实践中我们经常碰到因安全团队自己“忠于职守”而产生的告警。比如,员工因需要而必须调查恶意域、文件或其他可疑发现,或者因为合法的业务需要使用了未被“合法”的工具、游览器等等,系统常常会标记此类行为为告警行为。
冗余告警(不停接到同一个问题的告警)是毫无效率的,尤其是在告警内容甚至都不称之为问题的时候。对于多种工具并存的企业更是如此,每个工具都发送自己的告警,把这些单个的告警关联起来,连点成线,从而发现真正的问题是十分困难的。安全团队需要精确调整每个工具的告警策略,从而减少和合并告警。
很多时候,我们都建议将所有安全功能整合到单一平台,辅之以人工智能算法,统一告警配置和产生,统一整合安全告警,无缝衔接告警,合并告警条数。
安全团队要进行详细的事件分析:通过事件分析评估告警设置的效果,这可以让你随时改进设置,并发现当前存在的瓶颈。同时,单一平台的智能分析数据还可以指出重复性问题。
源细节在这里也将发挥更大的作用。
03 感谢
安全实际上应该是一个主动的过程,它应该是存在于公司的风险意识中。但是,现实是大多数企业在处理安全问题上都是反应式的,这是有问题的。
安全运营应该成为日常,要主动发现潜在问题,除了传统的网络、系统等防范外,尤其是在数据资产、数据共享、合规、出海合乎当地法规、APP等等,更应主动记录、规划和严肃对待。
安全团队被毫无价值的告警淹没,最终渐渐无视告警,甚至真正重要的警报出现也不响应了。
以下文章来源于互联网:
SOC全球调研:警报数量翻倍,八成团队遭遇告警疲劳
Sumo Logic近日发布了一项全球SOC和SecOps安全运营的调查结果,揭示了安全专业人员面临的障碍和困难。
Sumo Logic近日发布了一项全球SOC和SecOps安全运营的调查结果,揭示了安全专业人员在安全运营中心(SOC)现代化的过程中面临的障碍和困难,超过八成的SecOps安全运营团队表示正在遭受告警疲劳的折磨(下图)。
以下为该SOC调研的亮点信息:
过量的安全警报
传统SIEM产品的复杂性以及提高海量警报信息管理效率的渴望正在推动云原生SIEM与安全自动化功能的结合,来有效应对SOC挑战。
报告指出:“当今的安全运营团队面临着持续不断的安全隐患威胁,这可能导致严重的后果,包括失去客户、降低品牌声誉和减少收入。为了有效地最小化风险并弥合鸿沟,许多公司都依赖能够提供安全警报实时分析的自动化解决方案。”
“这些发现突显了SOC团队在以云为中心的世界中面临的挑战,但更重要的是,揭示了为什么企业积极寻求云原生替代方案来进行安全性分析和运营。”
该研究表明,需要管理的警报数量日益庞大,对IT安全专业人员而言是一个重大问题。尽管自动安全警报处理可以帮助缓解此问题,但对于大多数安全团队而言,相关解决方案仍然在发展中。
安全警报规模增长成为安全运营的大难题
·在过去五年中,有70%的受访企业安全警报数量增加了一倍以上
·99%的人报告大量警报导致IT安全团队遇到问题
·83%的人说他们的安全人员遇到“警报疲劳”
自动化有帮助,但仍在发展中
·自动化程度高的团队中有65%能在当日内解决大多数安全警报,而自动化程度低的团队中只有34%能做到这一点
·92%的人认为自动化是处理大量警报的最佳解决方案
·75%的受访者表示,他们将需要三名或更多名额外的安全分析师来在同一天处理所有警报
需要更好的技术来管理安全警报量
·88%的团队表示现有的SIEM面临挑战
·84%的团队认可基于云或混合环境的云原生SIEM的许多优势
·99%的团队认为将从额外的SIEM自动化功能中受益
报告指出:如今企业需要处理的数据比以往任何时候都要多,而令安全运营团队感到痛苦的是,当下IT安全运营达标的压力也是最大的。
“公司需要采用能够快速识别,确定优先级并仅对最关键的警告信号做出响应的解决方案,以使他们不会沉迷于毫无价值的警报过载中。”
分享是一种美德,转载请注明来源和出处!
【数据资产治理与安全保护解决方案】,是华云数创(北京)科技有限公司针对内部数据泄漏、防范、加密和安全治理等提供了优秀的解决方案和产品,致力于保护数据安全,有效应对数据安全合规带来的风险与挑战。以数据智能分类为基础,对相关涉密数据进行全面的防护,保证数据全生命周期安全,重点解决企事业单位在深化信息化管理应用后面临的数据安全以及部门间、企业间数据共享的安全需求,保证用户数据无论何时何地均受到严密的安全防护及严谨的监控管理,杜绝数据被有意窃取或无意泄密的问题。