由于入侵检测系统等技术,服务,如威胁情报和其他新兴的信息来源,现在的安全项目收集前所未有的大量的数据对威胁和攻击。
这可以帮助加强组织的安全状况在很大程度上,给他们一个头的最新的威胁。但不幸的是它也可以增加假阳性的唠叨和昂贵的问题——正常或预期的行为认定为异常的或恶意的。
假阳性是一个问题,不仅因为它们占用人力和时间来解决,但也因为他们可以分散企业处理合法安全警报。
根据研究公司一份2015年的报告企业管理协会(EMA),名为“数据驱动的安全加载”,一半接受调查的200多名IT管理员和安全说太多的假阳性正阻止他们自信违反检测。
当被问及先进的分析软件的关键价值驱动因素,约30%的受访机构认为减少假阳性。
“假阳性一直安全工具的问题,但是当我们添加更多的层安全防御,这些假阳性的累积影响增长,”Paul销说安全基础设施架构师业务和技术咨询公司西梦露合作伙伴。
最常见的假阳性存在于产品,如网络入侵检测/预防、端点保护平台和端点检测和响应工具,研究安全技术主管Lawrence Pingree说。
“这些解决方案使用多种技术来检测攻击如签名模式、行为检测等,“Pingree说。“假阳性是一个问题,因为试图检测坏行为的性质有时与良好行为的迹象”。
一个很好的例子,假阳性如何产生影响的目标数据违反”,提供的技术用于监控侵犯多个警报在不同的场合对可疑活动,“Pritesh帕克尔说,在Zuora CISO,计费平台订阅服务,如Netflix。
“警报被埋在数以百计的假阳性,成为剩余的安全项目,导致重要数据泄露,”帕尔克说。
有一个良好的平衡,安全专家需要罢工来解决这个问题,销说。一方面,他们需要确保不会干扰日常操作工具,不产生额外的为组织工作。但另一方面,他们必须认识到,一个假阴性(例如,一个未被发现的入侵)可以产生更大的影响比许多假阳性的组织作为一个整体。
“假阳性的最大风险是,工具生成很多警报(它)就视为噪声发生器,以及任何真正的问题是忽视了由于疲劳的那些负责管理工具,“销说。“我们经常看到这个问题的工具,不正确地实施,例如当工具安装和部署使用默认设置和配置文件”。
一个常见的例子是文件完整性监控软件,提醒管理员当文件监控系统改变为任何原因,这可能是一个恶意软件或入侵者活动的指标。“使用默认设置,一个简单的补丁将产生大量的文件更改;当聚合在一个中型企业,这很容易产生许多成千上万的警报,”销说。
任何有意义的警报很容易迷失在大量信息,销说,被管理员相关的更新。“为了解决这个问题,一个彻底的测试更新过程需要在地方和“指纹”变化,这样可以过滤特定的警报和/或抛弃,留下一个清晰的可操作的警告管理员跟进,”他说。
(还在方案:控制失控的安全警报)
定义、精炼、实施和执行这一过程增加了整个工作需要支持的操作工具,但可以大大减少长期拥有成本以及提高系统的信噪比效率和可用性,销说。
“许多其他安全工具系统与过度的提醒,可以有一个类似的问题,往往忽略了由于较低的信噪比,“销说。”的例子包括入侵检测系统中,Web应用程序防火墙和其他系统监控网络访问端点。”
解决假阳性的问题应该全面理解给定工具旨在解决什么,以及它如何功能。
“当实施工具,确保实现人员充分理解工具部署的目的,而不是使假设“正常”用例,或者只是与默认设置安装工具,“销说。
从过程和教育的角度来看,任何安全工具实现将影响现有的政策和程序,包括事件反应和任何操作系统,程序工具影响,销说。“这影响应该检查和验证,政策和程序的文档应该更新与工具部署以确保最低限度影响经营活动的变化,”他说。
最重要的安全从业人员应该明白,并不是每一个检测在本质上是恶意的,Pingree说。“有多种方式对事件进行分类,以确定一个假阳性,”他说。
例如,一名调查员将检查发现恶意事件,然后确定一个活动是恶意的可能性。“调查人员必须经过各种各样的步骤来确定恶意,例如检查是否数据发生漏出或行为是否看起来像时可接受的行为更密切研究,“Pingree说。
大多数产品提供更详细确定的东西看起来像一个假阳性检测、Pingree说。一名调查员可能比较检测到事件的已知良好的样本文件,如白名单。
如果网络预警的调查,调查人员可能检查其他数据源涉及如域名、IP地址或其他恶意评级功能,如IP荣誉值和恶意软件扫描URL的本身。
“有时候这些分数都是派生通过检查过去的行为或包含一个特定的URL或IP地址在过去的攻击,“Pingree说。“有一些猜测,不过大部分时间可以确定一些很可能是假阳性与真正的威胁通过检查日志,数据包捕获或其他用户更密切的活动参与此事。”
在配置和调优新的安全工具来减少假阳性的数量,确保得到足够的覆盖率,组织需要增量和分阶段方法,全面了解环境保护智能优化决策,帕克尔说。“调优是一个持续的过程,需要考虑环境的变化,”他说。
一旦调假阳性的数量有限,一个组织应该确定一个过程采取行动剩下的基于风险的警报。“这涉及到确定指标的妥协,可用于识别构成最风险的警报和及时解决,”帕尔克说。
偶尔的假阳性调查并不完全沉没成本,销补充道。“这些事件可以被看作是一个锻炼的机会事件响应计划,并确定过程改进领域未来纳入组织的政策和程序,”他说。”也,应该认识到,偶尔的假阳性是一件好事,让人们意识到事件反应必须如何处理,以及帮助验证的操作工具和不断调整他们的配置。”
这个故事,“安全工具的有效性受到假阳性”最初发表的方案 。