|
我们一直说安全运营中心(SOC)的核心是安全分析,包括对已知威胁进行精准定位,能够深度检测未知威胁,并且丰富安全事件场景,以辅助安全运营决策。这里面最为浅显的道理就是,安管平台收集了各个单点设备的告警数据,所以单点设备有的安全告警,安管平台理所当然地也应该有;单点设备没有的安全告警,安管平台通过关联分析、机器学习等高级分析手段,也会发现新的安全告警。理论上的逻辑说是这么说的,但什么事情都需要有一个反思维。我们可以反问下,如果单点设备发现了有效安全告警,安管平台却没有发现造成漏报,这个问题严重吗?在回答这个问题之前,我们先来归纳一下可能由于什么原因,会导致安管平台出现安全告警漏报问题。首先,最大的可能是没有采集单点安全设备的告警数据。没有采集数据自然就不会有这台设备的安全告警,如果这样的话一般是实施过程中的问题,和安管平台产品没有关系。其次,也有可能在采集、解析、存储过程中出现了问题。再进一步细分的话,可能是实施人员配置不当造成的,比如采集数据但未进行解析;也有可能是采集引擎或存储出现bug或者不稳定造成的。最后,还有一种可能是在数据范式化后的关联分析环节出现问题。与第二条问题一样,可能是实施人员关闭或者没有开启这个数据的分析规则,也有可能是分析引擎出现bug或者问题造成的。安管平台出现安全告警的漏报的原因分析清楚了,回过头来看这个问题是不是很严重呢?如果站在甲方客户安全团队的角度,这个问题当然是很严重的,毕竟砸那么多钱建设安管平台,却没能发现单点设备能够发现的安全事件,无论这样也说不过去的。而且随着单点设备厂商产品向XDR不断演进,同时安管平台、单点产品分开运营成为主流,在这种情况下安管平台如果经常出现这种漏报问题,面临的压力是可想而知的。但更为严重的还不止这些,如果从安管平台产品的角度去看,如果是采集引擎或分析引擎问题导致很难去解决,或者数据采集解析、关联分析规则无法前台自主管理,需要后台研发人员长周期解决,这才是更为致命的。因为在安管平台刚部署时,很可能为了降低告警误报率,而去关掉很多关联分析规则,这很可能是安管平台产生漏报最直接的原因。那么能够将关联分析规则的维护赋能给一线运营人员,就变得至关重要。一个成熟的安管平台肯定是达到了误报率和漏报率之间的相对平衡,在某种程度上来讲漏报是一定会存在的。这里面最大的问题不是会不会产生漏报,而是产生漏报后能否用最小的成本、最快的效率去解决,这才是关键点。总结下来就是,安管平台的一项重要指标是能否可以自主地调整规则,以随时达到误报与漏报的动态平衡。而具体的方法就是需要将采集、分析配置与操作尽量前台化、简单化,尽最大的程度赋能给一线运营人员 ▼▼优秀网络安全书籍推荐
|
