@哈哈鱼
2年前 提问
1个回答

什么是网络警报疲劳

房乐
2年前

网络警报疲劳指的是安全团队收到了过量的安全警报导致对警报的敏感度和响应能力下降。意味着团队会错过关键警报,而且这种心态下的SOC(安全运营中心)的响应时间也会变慢。警报疲劳会降低平均响应时间,这是公司用来衡量安全计划成功与否的主要指标之一,这种能力下降会对安全计划的有效性产生负面影响。网络警报疲劳会使分析师收到的大量警报都是低或中等严重性,导致他们对警报变得更加宽容。

缓解网络警报疲劳的措施有以下这些:

  • 可操作的警报:减少警报疲劳的第一步是确保所有警报都是可操作的。没有什么比发现您的SOC人员花费大量时间来关闭不可操作的警报更糟糕的了。尽管这似乎是一个小问题,但分析师可能需要30分钟以上的时间来审查和调查警报,然后才能确定是否需要采取措施来解决它。有时,他们甚至可能需要联系其他团队成员或IT人员,这会导致额外的时间浪费。

  • 警报优先级矩阵:优先级矩阵(也称为事件优先级矩阵或事件评分系统)可显著减少优先级警报(严重和高危),减少工作时间和非工作时间的警报。因此,尽管开发优先级矩阵需要时间并且必须进行定期审查,但绝对值得投入。设计优先级矩阵的方法有,但通常都是根据所涉及的系统和用户(的级别和规模)来确定安全事件的严重性和关键程度。例如,如果SOC在5分钟内收到超过20个网络钓鱼警报,则其优先级显然要高于针对单个用户的网络钓鱼警报。

  • 使用阈值:如前所述,单次事件可能被视为低危或中危,但如果该事件连续发生或在指定时间范围内多次发生,团队可能会决定配置让其触发警报。使用阈值检测多次出现的可疑行为有助于显着减少SIEM(安全信息和事件管理)生成的低优先级警报和误报的数量。通常,企业不愿设置阈值是因为害怕错过重要的检测。如果团队认同单次或两次事件的发生是良性的,随后合作定义了需要介入调查的发生次数,他们可以据此实施阈值并根据需要进行调整。这种做法使团队对警报的必要性达成共识的同时,能够设置合适的检测/预防阈值,提高警报的价值。

  • 自动化:自动化是网络安全行业的一个流行词,也是减少警报疲劳的主要方法之一。安全程序可以各种方式实现自动化。对于初级用户,它可以自动关闭低优先级警报。通常,安全团队出于审计目的需要某些警报,因此数据可用于临时或计划的审查,但不想查看每个单独的警报。在这些情况下,自动关闭警报是有意义的,可以为SOC团队成员节省一点时间。

  • 持续审查和改进:处理良性警报和误报最简单的方法是关闭它们。安全人员应该不断质疑那些看上去是警报实际上是信息的“警报”的价值,探究为什么会收到如此多的误报,等等。提出这些问题并要求其他团队成员和领导层共同参与回答这些问题,就相关警报的必要性或调整方式开展更积极,更有价值的讨论。