每天10万条告警!该想法子给告警降噪了
这产品的告警量太大啦!每天10万条,我这儿都配备了6个驻场安服,还是看不完,赶紧给解决解决!
随着网络攻击的数量和复杂程度日益增加,许多公司都选择使用网络安全技术加强威胁检测能力。威胁告警对安全保护至关重要,但许多安全团队不断接收着超出他们预期的告警量。非多即善,在数量巨大的同时,错过危险的警报可能导致网络安全灾难。本文重点讨论了关于“降低告警量”的思考,以及安恒信息AiLPHA高级威胁检测与分析系统(以下简称AXDR)的实践案例。
99%的团队因“告警量大”产生问题
日志管理分析平台Sumo Logic在2020年曾发布过一项全球SOC和SecOps安全运营的调查结果,在过去五年中,有70%的受访企业安全警报数量增加了一倍以上,99%的人表示大量告警导致安全团队遇到问题,83%的人表示他们的安全人员正在遭受告警疲劳的折磨。
对传统的IDS以及近些年的NTA/NDR等业界检测类产品来说,告警量大、无法处理完已经成为此类产品继续发展的障碍。关于“告警量”,当前存在以下问题:
1、 当前各类安全设备普遍存在的问题:告警量巨大,也是所有甲方客户面临的共同痛点。
2、 部分安全产品采用粗暴的归并策略,通过归并降低了告警量,但缺少意义,不利于运营。
3、 部分安全产品在告警的基础上生成新的事件,增加了工作量且安全事件策略比较固定,难以运营。
鉴于以上问题,安恒信息提出了“原始告警/日志-归并告警-安全事件”结构,并以“归并告警”+“安全事件”综合、安全事件策略可运营理念,辅以AXDR网络、终端数据关联分析提炼、降噪的方法,建立一套以降低告警量、提升安全运营效率的运营方法。其中运用了基于大数据的实时、准实时数据分析技术,通过升级更新专家系统知识库来提炼贴合攻击过程的安全事件。
AXDR告警降噪的逻辑架构
一个真实的网络环境,相较于正常流量,真实的攻击活动的数量是微乎其微的,然而一招不慎,可使满盘皆输,如何从海量的正常数据中把恶意数据“揪”出来,就是各类威胁检测类产品的使命所在。
然而实际情况是,各类威胁检测产品的告警数据如下图所示。与用户定义的实际恶意数据相比,多出来了很多“误报”数据。
威胁检测产品的告警数据示意图
这里的“误报”打了引号,根本原因是用户对“误报”的定义,与安全产品、安全分析人员定义的误报往往存在差异。用户定义的“恶意数据”不同的客户定义不一样,严格的客户一般指实实在在给资产或数据带来威胁或损失的行为,而安全产品为了减少漏报,一般会把存在潜在风险的行为或对象提炼出来形成告警。安全产品的出发点是好的,只是手段上受限,以引入误报来弥补漏报问题。而客户定义的严格的恶意数据,一般都是满足渗透过程、攻击链或者ATTCK矩阵的攻击行为。
以客户定义的严格的恶意数据来说,我们来分析下这些“误报“数据的构成有哪些?
1、客户环境的例行安全扫描。这些告警数据基本每个甲方都存在,具有周期性、不需要研判分析、IP地址往往是一个网段。
2、业务触发的告警。此类占据误报的最大比重。常见的告警类型有:1)Web业务触发常见Web类告警,如业务SQL查询或HTML代码提交命中SQL注入和XSS攻击;2)基于阈值的暴力破解,往往与一些高频登录业务具有相似性,尤其是对攻击结果较难判定的加密登录行为;3)配置带来的风险问题,比如弱口令告警、服务器配置风险等;4)周期性安全运维操作,较为敏感,触发告警行为;5)内网环境中普遍存在未授权访问问题。
3、恶意软件外连告警。此类告警多是源自恶意软件心跳行为。此类告警在一般企业中存在影响范围大,排查困难问题,同时由于心跳具有周期性规律,也会导致告警量巨大。
基于以上分析,我们将客户定义的严格的恶意数据与“误报”数据中的风险问题,定义为广义的安全事件。通过“原始告警/日志-归并告警-安全事件”三层架构,结合专家系统的安全事件知识库,去提炼体现具体攻击事件和风险的安全事件,降低告警量,提升了安全运营效率。
► 原始告警或日志来自于检测引擎的输出,其数据量庞大,基于原始告警或日志进行归并,可以一定程度降低告警量,但本身跟原始告警差异不大,基于归并告警根据安全事件知识库和大数据分析技术生成的安全事件,降低告警量的同时体现攻击过程。
三层架构图
► AXDR解决方案既可以提炼有效的安全事件,也可以对告警降噪,旨在通过利用已知威胁,生成场景化安全事件,降低告警量,提升运营效率。将已知威胁的告警量降下来,未知威胁自然就会露出水面。而过去,未知威胁往往淹没在海量已知威胁或误报中,根本发现不了。专家知识库也会充分考虑AXDR的网络、终端数据进行关联分析。基于该方法论,对公司环境网络环境的告警量做了评估,原始告警量与安全事件的数量比达到50:1。
AXDR解决方案逻辑架构
“漏洞扫描器扫描”案例
扫描器扫描事件对于大多数甲方来说,是最习以为常的安全运维操作。传统的安全设备有几个常见做法:
1、 首先需要收集扫描器IP有哪些,将此类IP进行手工加白,往往存在收集不全的问题;
2、 不少安全检测产品以攻击者视角,对此类IP做归并,但是否为扫描器,还需要人工进一步分析。
AXDR如何降低告警量
首先,AXDR在开箱即用的情况下,将此类行为明确提炼成“漏洞扫描器扫描行为”,解决了以上两个问题的困扰。同时,对于来自外部的这类扫描行为也可以明确分析生成扫描器扫描事件。
其次,我们通过对该事件“一键处置”,那么归并告警也会同时被处理掉。也可以通过AXDR的联动策略进行封禁处置。
此外,涵盖的事件包括Struts2漏洞利用事件、SQLMap工具利用事件、办公OA遭受攻击事件、挖矿木马通讯事件、蜜罐访问探测事件等。
安恒信息AXDR通过大数据分析技术和专家系统知识库生成有效的安全事件,减轻安全分析人员告警日志逐条分析的工作重担,并尽可能地体现完整的攻击路径,助力安全运行人员提升威胁分析能力与安全运营效率,降低平均修复时间。
AXDR系统简介
AiLPHA高级威胁检测与分析系统(简称AXDR)是基于安恒信息的威胁检测和数据分析能力,构建的一种跨多个安全层收集并自动关联信息以实现快速威胁检测和事件响应的解决方案。能够将流量、终端、情报、蜜罐和沙箱等检测能力深度融合,结合平台强大的关联分析能力精准发现威胁、减少告警量,并通过内置的SOAR模块实现快速响应处置,极大提升安全运营效率。
2022-04-06
2022-04-02
2022-04-01