很多安全運營團隊常常被大量警報淹沒,,這嚴重影響了其工作效率,甚至使其對響應(yīng)警報的能力產(chǎn)生懷疑和缺乏信心,。企業(yè)組織在面對網(wǎng)絡(luò)安全威脅時,,應(yīng)選擇合適的警報管理工具,并實施分層管控措施,,以抵御網(wǎng)絡(luò)犯罪分子實施的攻擊活動,,并盡量降低風險。這里提供了一些可借鑒的做法,。
關(guān)閉不需要的警報
防止警報疲勞的第一道防線是關(guān)閉不需要的警報,,不過選擇不接收哪些通知可能令人很頭痛。最簡單的方法之一是,,查看警報日志,,并關(guān)閉已證明是誤報的通知。
考慮需要迅速干預
谷歌的網(wǎng)站可靠性工程師(SRE)團隊負責監(jiān)控,、應(yīng)急響應(yīng)和容量規(guī)劃等任務(wù),,通常實施一套警報/工單/日志系統(tǒng),并根據(jù)需要做出迅速干預,,對事件做出及時和必要的響應(yīng),,從而盡量緩解警報過載。SRE團隊有可能采取的行動方案包括:警報,,如果人員到位,,應(yīng)立即干預并發(fā)送警報;工單,,如果事件需要采取操作,,但可以等到正常上班時間來處理,則可以提交工單,;日志,,如果不需要任何操作,事件被記入日志,便于以后診斷,。
使用智能警報
很多情況下,,安全人員會遇到這種情況:在凌晨收到通知,然后花一個小時試圖弄清楚是怎么回事并解決問題,。其實大可不必這樣,。可以使用智能警報來解決這一問題,,它不僅可以提醒注意問題,,還可以通過分析根本原因來提供解決方法。這種智能警報還提供有關(guān)事件的歷史數(shù)據(jù),,使用戶能夠了解觸發(fā)特定警報前后發(fā)生的情況,。
確定警報優(yōu)先級
并非所有警報都一樣要緊,需要配置性能監(jiān)控工具,,確定警報優(yōu)先級,,以便只針對那些關(guān)鍵的事件發(fā)送警報。根據(jù)安全事件嚴重程度確定警報的優(yōu)先級,,可以消除由非威脅性事件通知帶來的一些干擾警報,。因此應(yīng)專注于為那些可能會導致服務(wù)器宕機、嚴重損壞數(shù)據(jù)或大量數(shù)據(jù)丟失的問題設(shè)置警報,。
除此之外,,還可以通過運用特定閾值和規(guī)則來管理警報。定義性能閾值后,,安全人員就不會收到通知,,除非某個指標的值達到相應(yīng)水平,比如當可用磁盤空間或可用物理內(nèi)存處于很低的水平時,,安全人員才會收到通知,。這節(jié)省了技術(shù)人員的大部分時間,使他們可以不必持續(xù)監(jiān)控指標,。設(shè)定警報規(guī)則還可以讓安全人員定制執(zhí)行的操作,,比如希望收到通知的頻次。
分層安全架構(gòu)的重要性
就縱深防御而言,,采用一種涵蓋物理控制,、技術(shù)控制和管理控制的分層安全方法很重要。物理控制可以防止對IT系統(tǒng)(比如上鎖的門)的物理訪問,。技術(shù)控制使用專用硬件或軟件(比如防火墻設(shè)備或防病毒程序)保護網(wǎng)絡(luò)系統(tǒng)或資源,。管理控制包括針對員工的政策或程序,比如指示用戶將敏感信息標記為機密信息等,。
此外,,安全人員還應(yīng)該整合安全層,,以保護網(wǎng)絡(luò)的各個方面。其中:訪問措施包括身份驗證控制,、生物特征識別,、定時訪問和VPN;工作站防御包括防病毒和反垃圾郵件軟件,;數(shù)據(jù)保護著眼于靜態(tài)數(shù)據(jù)加密,、散列、安全數(shù)據(jù)傳輸和加密備份,;防火墻和入侵檢測及預防系統(tǒng)屬于邊界防御;監(jiān)控和預防涉及記錄和審查網(wǎng)絡(luò)活動,、漏洞掃描器,、沙盒和安全意識培訓等方面。
企業(yè)用戶在尋找安全解決方案時,,應(yīng)選擇這樣的解決方案:提供定期漏洞掃描,、監(jiān)控泄露的登錄信息,并提供員工安全意識培訓,。為了確保高枕無憂,,還要有一套業(yè)務(wù)連續(xù)性和災(zāi)難恢復(BCDR)工具。這樣即使發(fā)生最糟糕的情況,,也能夠恢復組織的數(shù)據(jù),,并恢復正常的業(yè)務(wù)運營。
