Orca Security发布了一份关于公共云安全预警相关的研究报告。调查了五个国家和十个行业的800多名IT专业人士,报告发现,55%的受访者选择了三个或更多的云服务提供商,57%的受访者使用五个或更多的云安全工具。这种采用多云技术和不同安全工具的组合给安全团队带来了大量的误报。
云安全告警及误报数量不断上升
超过一半的受访者花费超过20%的时间来决定应该首先处理哪些告警,加上普遍的误报(43%的人说他们的告警信息中有超过40%是误报),不仅影响了告警处理的数量,还会导致错过关键告警。55%的受访者表示,由于没有有效的告警优先级安排,他们的团队过去经常错过关键告警——通常是每周甚至每天。
• 59%的受访者表示,他们每天会收到500多个云安全告警。几乎40%的人每天会收到1,000多条提醒。
• 79%的公司每天会打开500个以上的云安全告警。
• 81%的受访者表示,超过20%的告警是误报,43%的受访者表示超过40%的告警是误报。
安全工具越多,误报率和告警率就越高
• 超过57%的受访者拥有五种或五种以上的公共云安全工具。
• 拥有10个或更多云安全工具的用户每天收到1,000个以上告警的可能性比拥有5个或更少工具的用户高67%。
• 超过50%在其云环境中拥有至少10种工具的安全专业人员会收到40%或更多的误报。
• 拥有10个以上工具的安全团队中,几乎70%的人会感到告警疲劳,相比之下,拥有5个以下工具的团队中,这一比例为57%。
“同时应用多个且各自独立的安全工具这一行为目前继续困扰着安全团队。安全从业人员不得不筛选数百个但通常毫无意义的‘高优先级’告警,导致他们不堪重负,精疲力竭,并最终导致人员流失。这种情况加剧了网络安全人员的短缺。” Orca Security的CEO 如此表示。
因误报率高 令安全团队对告警变得不再敏感
现代安全团队中存在一个较为常见的现象:来自多种工具(有时候是错误配置的)的告警流淹没运营中心,迫使分析师分辨并排序哪些告警值得注意。可以说,重大问题会在错过关键告警时出现,并导致安全事件。如果安全人员不得不处理超量告警,他们最终会产生疲惫感,进而产生懈怠。更糟的是,不堪应付的员工还可能干脆关闭自己的工具。
• 超过一半的安全团队花费超过20%的时间来决定首先处理哪些告警,而四分之一的团队花费超过40%的时间来确定告警的优先级。
• 55%的受访者表示遗漏了重要告警,41%的受访者表示每周都会遗漏告警,22%的人说每天都有。
• 62%的受访者认为告警疲劳会导致人才流失,60%的受访者认为告警疲劳会造成内耗。
Deep Instinct网络安全宣传主管Chuck Everette表示, “对于SOC团队来说,误报是最大的痛点之一。” SOC工作的主要重点是监视安全事件,并及时地响应和调查这些事件。他说:“如果SOC团队被成百上千个误报淹没,他们的注意力将会被分散,而无法对真正的威胁做出及时的反应和有效的应对。”
谷歌曾推出过解决误报安全警报的计划
过多的安全警报会使 IT 和安全团队难以找到紧迫的威胁,谷歌曾在其Google Cloud的安全指挥中心(SCC)添加新功能去应对这类问题,该功能被命名为“静音发现”(Mute Finds )。
根据Google Cloud 的一篇新博文显示,“静音发现”可帮助组织根据其策略和要求有效管理发现诸多问题。包括错误配置、漏洞和威胁等。该功能帮助企业减少调查结果的数量并专注于更为紧急的安全问题。这种新功能还可以帮助组织节省时间,因为他们不再需要审查或响应在其环境中被确定为可接受风险的发现。例如,针对孤立资产或处于可接受业务参数范围内的资产的警报可能不需要安全团队的立即关注,甚至可能根本不需要修复。