以分层管控措施缓解安全警报过载

很多安全运营团队常常被大量警报淹没,这严重影响了其工作效率,甚至使其对响应警报的能力产生怀疑和缺乏信心。企业组织在面对网络安全威胁时,应选择合适的警报管理工具,并实施分层管控措施,以抵御网络犯罪分子实施的攻击活动,并尽量降低风险。这里提供了一些可借鉴的做法。

关闭不需要的警报

防止警报疲劳的第一道防线是关闭不需要的警报,不过选择不接收哪些通知可能令人很头痛。最简单的方法之一是,查看警报日志,并关闭已证明是误报的通知。

考虑需要迅速干预

谷歌的网站可靠性工程师(SRE)团队负责监控、应急响应和容量规划等任务,通常实施一套警报/工单/日志系统,并根据需要做出迅速干预,对事件做出及时和必要的响应,从而尽量缓解警报过载。SRE团队有可能采取的行动方案包括:警报,如果人员到位,应立即干预并发送警报;工单,如果事件需要采取操作,但可以等到正常上班时间来处理,则可以提交工单;日志,如果不需要任何操作,事件被记入日志,便于以后诊断。

使用智能警报

很多情况下,安全人员会遇到这种情况:在凌晨收到通知,然后花一个小时试图弄清楚是怎么回事并解决问题。其实大可不必这样。可以使用智能警报来解决这一问题,它不仅可以提醒注意问题,还可以通过分析根本原因来提供解决方法。这种智能警报还提供有关事件的历史数据,使用户能够了解触发特定警报前后发生的情况。

确定警报优先级

并非所有警报都一样要紧,需要配置性能监控工具,确定警报优先级,以便只针对那些关键的事件发送警报。根据安全事件严重程度确定警报的优先级,可以消除由非威胁性事件通知带来的一些干扰警报。因此应专注于为那些可能会导致服务器宕机、严重损坏数据或大量数据丢失的问题设置警报。

除此之外,还可以通过运用特定阈值和规则来管理警报。定义性能阈值后,安全人员就不会收到通知,除非某个指标的值达到相应水平,比如当可用磁盘空间或可用物理内存处于很低的水平时,安全人员才会收到通知。这节省了技术人员的大部分时间,使他们可以不必持续监控指标。设定警报规则还可以让安全人员定制执行的操作,比如希望收到通知的频次。

分层安全架构的重要性

就纵深防御而言,采用一种涵盖物理控制、技术控制和管理控制的分层安全方法很重要。物理控制可以防止对IT系统(比如上锁的门)的物理访问。技术控制使用专用硬件或软件(比如防火墙设备或防病毒程序)保护网络系统或资源。管理控制包括针对员工的政策或程序,比如指示用户将敏感信息标记为机密信息等。

此外,安全人员还应该整合安全层,以保护网络的各个方面。其中:访问措施包括身份验证控制、生物特征识别、定时访问和VPN;工作站防御包括防病毒和反垃圾邮件软件;数据保护着眼于静态数据加密、散列、安全数据传输和加密备份;防火墙和入侵检测及预防系统属于边界防御;监控和预防涉及记录和审查网络活动、漏洞扫描器、沙盒和安全意识培训等方面。

企业用户在寻找安全解决方案时,应选择这样的解决方案:提供定期漏洞扫描、监控泄露的登录信息,并提供员工安全意识培训。为了确保高枕无忧,还要有一套业务连续性和灾难恢复(BCDR)工具。这样即使发生最糟糕的情况,也能够恢复组织的数据,并恢复正常的业务运营。

参考链接:

https://www.darkreading.com/attacks-breaches/cut-down-on-alert-overload-and-leverage-layered-security-measures

上一篇:2022年一季度网络安全行业国际并购盘点

下一篇:把握安全事件响应的黄金一小时