現(xiàn)在的威脅形勢變得愈發(fā)嚴峻。在工作場所中,用戶不僅使用公司的設(shè)備,還會攜帶自己的設(shè)備。再加上聯(lián)網(wǎng)設(shè)備的涌現(xiàn)和廣泛部署,你會發(fā)現(xiàn)目前攻擊者可利用的攻擊面非常大,這需要通過主動風(fēng)險管理來控制。當(dāng)你有這么多方法進入企業(yè)網(wǎng)絡(luò)時,這會給網(wǎng)絡(luò)安全帶來很大的問題:企業(yè)每天需要處理洪水般的警報。
事實上,根據(jù)2014年Fire Eye委托IDC進行的調(diào)查顯示,超過三分之一的美國公司表示他們每個月會收到5000個警報;37%的公司稱他們每個月要處理10000多個警報。
這些數(shù)據(jù)非常驚人。試想一下,作為安全專家,不僅需要處理這些警報,同時還有其他的任務(wù)。更重要的是,大多數(shù)安全人員都有很多職責(zé),這意味著他們可能無法盡可能快地對安全警報做出響應(yīng),從而導(dǎo)致響應(yīng)時間變慢,在重大數(shù)據(jù)泄露事故發(fā)生時帶來嚴重后果。
如果主動風(fēng)險管理還不是你網(wǎng)絡(luò)安全戰(zhàn)略的一部分,那么,沒有及時看到或者響應(yīng)警報會有可怕的后果。讓我們以Target數(shù)據(jù)泄露事故為例,在超過4000萬信用卡號碼被盜后,最后是由美國司法部通知Target這件事情的。當(dāng)Target回過頭看時,他們發(fā)現(xiàn)在攻擊者真正刪除數(shù)據(jù)的幾天前就已經(jīng)觸發(fā)了警報。
為什么企業(yè)會錯過這樣的警報?
核心在于企業(yè)如何部署主動風(fēng)險管理和安排安全人員。在很多情況下,安全專家肩負太多職責(zé),而未能及時響應(yīng)警報。研究表明,75%的公司需要多達5小時才能響應(yīng)重要警報;60%需要6到12個小時才能響應(yīng)中等警報,而對于低級別警報,30%需要超過一天的時間。另外,超過一半的警報是誤報和重復(fù)警報,你需要過濾巨量的數(shù)據(jù)。
這個問題的另一方面在于企業(yè)不信任其安全框架。如果企業(yè)沒有完全或準(zhǔn)確地利用其安全應(yīng)用中提供的所有功能,那么,這個產(chǎn)品就不會發(fā)揮作用。如果你沒有打算按所設(shè)計的方式來使用產(chǎn)品,那你為什么花錢購買這些產(chǎn)品呢?
你可以做些什么?
對于如何處理收到的警報以及減少其數(shù)量到可管理的水平,這里有一些方法,包括聘請更多的人員或者重新安排現(xiàn)有人員用來只處理警報。畢竟,你越快響應(yīng)重要警報,你就可越快分析威脅并確定它們是否為真正的威脅,如果是真正的威脅,你就可以更快修復(fù)以及進行取證分析來確定其根本原因。
你還可以從整合安全應(yīng)用和系統(tǒng)中受益。雖然部署各種供應(yīng)商的產(chǎn)品通常是一件好事,但在這種情況下,使用單個供應(yīng)商的產(chǎn)品則更好。這是因為很多安全供應(yīng)商有內(nèi)置生態(tài)系統(tǒng),提供分析、警報和管理選項組合,選擇單個供應(yīng)商的安全基礎(chǔ)設(shè)施非常有益。
如果你不想完全取代現(xiàn)有基礎(chǔ)設(shè)施,那你可以考慮部署安全信息和事件管理(SIEM)應(yīng)用。這些工具可提供對安全基礎(chǔ)設(shè)施的整體視圖,并提供威脅情報、實時監(jiān)控、應(yīng)用監(jiān)控、行為分析和日志管理以及報告。這種對安全基礎(chǔ)設(shè)施的整體視圖為你提供了最佳途徑來減少警報。SIEM產(chǎn)品還可以在專家開始審查事件之前執(zhí)行很多分析,雖然總是需要人的參與,但正確使用的話,這些產(chǎn)品甚至可以阻止攻擊。
另一種選擇是外包你的安全監(jiān)控。提供托管服務(wù)的公司會為你積極監(jiān)控你的安全性。他們可以管理警報以及這些警報的分析,并告知你任何潛在的問題。
最后,你應(yīng)該不斷審查安全工具的配置,并進行調(diào)整以減少警報的數(shù)量。減少警報的數(shù)量可為你節(jié)省時間,讓安全專家可將重點放在真正的威脅上,并整合主動風(fēng)險管理政策。