网络安全公司“秘闻”

  • A+
所属分类:安全闲碎

网络安全公司“秘闻”


本文作者:chrissanders88,曾在市值百亿美金的某网络安全巨头工作,而如今这家巨头逐渐淡出人们的视野!


“我通常看到两件事:

1.分析师没有进行规则调整的技能。

2.管理层不会优先安排时间,也不会培训分析员做这个工作。


我很少看到#2得到纠正,直到新的管理层来了,明白了调整的重要性。


我见过很多优秀的分析师对调整的重要性做出了清晰的、令人信服的解释,但却无法说服决策者,这需要一个专门的人或一个现有的人每周一天的时间。



经常有关于安全厂商的检测产品(态势感知/大数据安全平台、SIEM、NDR/NTA/NIDS、EDR/HIDS等)以及它们能够检测到的内容与预期的有趣的公开讨论。当涉及到如何管理检测签名时,这些安全厂商在幕后会做出一些有趣的决策


在安全厂商那里,当你为许多客户建立一个检测规则集时,你必须以一种独特的方式处理事情,因为你无法控制部署这些规则的网络,也无法自行调整它们。


这一挑战的一个方面是关于如何优先考虑规则有效性决定的 - 准确性/精确度以及分析师必须调查和调整的误报数量。


这里有两个极端。你可以,1.只编写非常具体的规则,没有误报。但是,你会错过一些东西。或者,2.您可以编写覆盖范围非常广的规则。但是你会得到很多需要调整的误报。


在很早的时候,大多数安全厂商普遍认为这是一个二分法,也是他们需要特别做出的选择,因为编写这些规则的人需要指导性原则来工作。


他们通常选择低覆盖率/低误报的路线。原因就在这里,


首先,他们实际上知道,大多数客户无法调整他们提供的规则。他们根本就没有人员、专业知识,甚至没有收集日志。


其次,一些客户拒绝调整规则。他们认为安全厂商应该为他们做这件事。当然,这通常是不现实的,因为这种调整需要详细的网络知识和访问安全厂商没有的数据。


第三,销售压力。他们知道,许多客户会抱怨或将安全厂商踢出去(无论是否有道理)。从他们的角度来看,更少的误报比更多的覆盖率要好。


第四,这在反病毒安全厂商中是有先例的。虽然IDS在成长过程中有点看不起AV,但很多现代公司都有反病毒安全厂商的渊源,并对其检测策略采取类似的方法。同样地,许多客户也没有条件去期待不同的做法。


第五,也是最后一点,开发能给人们调整规则所需的工具更难。比如,排除列表、基于时间和标准的抑制等等。这是更多的用户体验和开发时间。


我曾在一家大型安全厂商领导了其中的一个检测规则团队。我经历了很多这样的事情,也从我同时代的人那里听到了很多类似的故事。


我这样说并不是为了替安全厂商说好话 - 因为说实话,我认为只专注于任何一种战略的做法都是有问题的,会阻碍行业的发展。


我认为最好的方式是采用多个规则集。一个是高效的、默认开启的,另一个是覆盖面更广的、需要调整的。


当然,你必须给人们提供工具来做这种调整。同样,这意味着让检测工程师和分析师与用户体验人员在一起,并分配开发时间,使其成为可能。


BTW,你往往可以通过安全厂商的营销来判断其采取的方法。如果他们推销他们的低误报率,那可能是因为覆盖面较小。如果他们在市场上捕捉到了一切,那么预计会做很多调整。


最后但并非最不重要的是,这也是我提醒人们的地方,告警从来不是一个答案 -- 它是一个问题,找出答案是安全分析师的工作。


其他安全厂商(乙方)员工的观点:

Jose Enrique [email protected]Splunk

作为一个为Splunk客户建立这些的团队,我们完全感受到了这种痛苦。


[email protected]elastic

作为安全厂商工作的人,只想分享影响决策过程的另一个维度:*风险*。


检测模式下误报的风险?警报疲劳。

误报在防御模式下的风险?系统错误。


QA部分:


Q(某甲方员工):“其次,一些客户拒绝调整规则。他们认为安全厂商应该为他们做这件事。当然,这通常是不现实的,因为这种调整需要详细的网络知识和访问安全厂商没有的数据。”


除了这一点,我同意你的整个主题。主要是因为与我合作过的安全厂商“是最好的”,他们不愿意告诉你规则是如何运作的。因此,要调整误报,客户必须进行有根据的猜测。


根据告警提供的非常有限的上下文来猜测规则逻辑可能是什么并不是正确调整告警的成功秘诀。这是猜测、假设和不准确调整的秘诀,会导致对客户进行大量不必要的工作。


虽然对于安全厂商来说,对于您对他们产品的运作有任何疑问,告诉您这是他们的“商业秘密”,这似乎“很好”,但这对客户根本没有帮助。它所做的只是导致不必要的工作,以及对解决方案的信心不足。


A:

大多数公司不想透露他们的规则逻辑,因为他们将其视为敏感的商业秘密。规则集不是检测公司最有价值的知识产权,而是他们创建这些规则的过程和执行工作的员工。


限制对检测逻辑的访问使您的客户更难。当您不知道警报实际检测到什么以及它们如何执行时,调查告警要困难得多。


它也伤害了安全厂商的检测工程团队。如果不公开逻辑,就会限制客户提供有关规则的反馈并使其变得更好的能力。


在之前的工作中,我最喜欢的事情是客户主动联系我们并告诉我们规则的特定部分存在问题。他们为我做我的工作,每个人都受益。


为了让他们暴露规则逻辑,我不得不在某些地方竭尽全力,这是一场持续不断的战斗。您甚至会发现共享一些规则的地方,但也有特殊类型的规则,以便他们可以设置标志或编译规则而不暴露逻辑。


让我们在这里也真实一点 -- 一些安全厂商不暴露规则逻辑,因为他们不想让自己受到批评或反馈。他们避免这样做。


我在这里能推荐的最好的事情是,如果他们不能告诉你为什么他们的工具在提出告警时检测到了什么,就限制你与之做生意。要确保他们知道原因。这类事情的存在主要是因为人们允许它存在。


BTW -- 即使是花哨的行为学东西也不是超级秘密 -- 大多数安全厂商都有专利。你可以自己去查,但你不应该这样做。


Q:我的最后一个团队被分解为工程师(工具的制造者和维护者,包括调整和集成)和分析师(这些工具的用户)。这不常见吗?

A:对于资源丰富的大型组织来说,这种情况并不少见。这些工程角色不会在很多地方存在。在这些情况下,如果要完成调优,通常会将调优作为他们职责的一部分。


可悲的是,即使在资源丰富的大厂商,工程师和分析师也经常为调优责任落在何处而争吵。结果,它经常做得很差或根本没有完成。


我认为这两种类型的团队都能很好地工作。但是,从事这项工作的人需要调查经验。调整需要对事物进行调查,尽管需要更狭隘的思维方式。


Q:安全厂商之间是否就用于编写检测的语言(如 YAML)以及可能的预期输出格式进行某种类型的检测达成一致?

A:不。同一家公司的不同检测团队之间往往甚至没有达成一致。我知道有安全厂商使用5种以上不同的语言来表达不同点的检测逻辑,简直一团糟。


其中一些公司开发了自己的“标准”来表达检测逻辑,甚至不在他们的大多数工具中使用它。


全文完!


来源:https://twitter.com/chrissanders88/status/1408052105663942657


往期精选


围观

威胁猎杀实战(六):横向移动攻击检测


热文

全球“三大”入侵分析模型


热文

实战化ATT&CK:威胁情报



网络安全公司“秘闻”

本文始发于微信公众号(天御攻防实验室):网络安全公司“秘闻”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: