13存在漏报对于安管平台来说是个多大的问题？

Posted 2023-03-09 请你吃溜溜糖

转载公众号《微言晓意》，仅用于个人学习

我们一直说安全运营中心（SOC）的核心是安全分析，包括对已知威胁进行精准定位，能够深度检测未知威胁，并且丰富安全事件场景，以辅助安全运营决策。这里面最为浅显的道理就是，安管平台收集了各个单点设备的告警数据，所以单点设备有的安全告警，安管平台理所当然地也应该有；单点设备没有的安全告警，安管平台通过关联分析、机器学习等高级分析手段，也会发现新的安全告警。理论上的逻辑说是这么说的，但什么事情都需要有一个反思维。我们可以反问下，如果单点设备发现了有效安全告警，安管平台却没有发现造成漏报，这个问题严重吗？在回答这个问题之前，我们先来归纳一下可能由于什么原因，会导致安管平台出现安全告警漏报问题。首先，最大的可能是没有采集单点安全设备的告警数据。没有采集数据自然就不会有这台设备的安全告警，如果这样的话一般是实施过程中的问题，和安管平台产品没有关系。其次，也有可能在采集、解析、存储过程中出现了问题。再进一步细分的话，可能是实施人员配置不当造成的，比如采集数据但未进行解析；也有可能是采集引擎或存储出现bug或者不稳定造成的。最后，还有一种可能是在数据范式化后的关联分析环节出现问题。与第二条问题一样，可能是实施人员关闭或者没有开启这个数据的分析规则，也有可能是分析引擎出现bug或者问题造成的。安管平台出现安全告警的漏报的原因分析清楚了，回过头来看这个问题是不是很严重呢？如果站在甲方客户安全团队的角度，这个问题当然是很严重的，毕竟砸那么多钱建设安管平台，却没能发现单点设备能够发现的安全事件，无论这样也说不过去的。而且随着单点设备厂商产品向XDR不断演进，同时安管平台、单点产品分开运营成为主流，在这种情况下安管平台如果经常出现这种漏报问题，面临的压力是可想而知的。但更为严重的还不止这些，如果从安管平台产品的角度去看，如果是采集引擎或分析引擎问题导致很难去解决，或者数据采集解析、关联分析规则无法前台自主管理，需要后台研发人员长周期解决，这才是更为致命的。因为在安管平台刚部署时，很可能为了降低告警误报率，而去关掉很多关联分析规则，这很可能是安管平台产生漏报最直接的原因。那么能够将关联分析规则的维护赋能给一线运营人员，就变得至关重要。一个成熟的安管平台肯定是达到了误报率和漏报率之间的相对平衡，在某种程度上来讲漏报是一定会存在的。这里面最大的问题不是会不会产生漏报，而是产生漏报后能否用最小的成本、最快的效率去解决，这才是关键点。总结下来就是，安管平台的一项重要指标是能否可以自主地调整规则，以随时达到误报与漏报的动态平衡。而具体的方法就是需要将采集、分析配置与操作尽量前台化、简单化，尽最大的程度赋能给一线运营人员