現在的威脅形勢變得愈發嚴峻。在工作場所中,使用者不僅使用公司的裝置,還會攜帶自己的裝置。再加上聯網裝置的湧現和廣泛部署,你會發現目前攻擊者可利用的攻擊面非常大,這需要通過主動風險管理來控制。當你有這麼多方法進入企業網絡時,這會給網絡安全帶來很大的問題:企業每天需要處理洪水般的警報。
事實上,根據2014年fire eye委托idc進行的調查顯示,超過三分之一的美國公司表示他們每個月會收到5000個警報;37%的公司稱他們每個月要處理10000多個警報。
這些資料非常驚人。試想一下,作為安全專家,不僅需要處理這些警報,同時還有其他的任務。更重要的是,大多數安全人員都有很多職責,這意味着他們可能無法盡可能快地對安全警報做出響應,進而導緻響應時間變慢,在重大資料洩露事故發生時帶來嚴重後果。
如果主動風險管理還不是你網絡安全戰略的一部分,那麼,沒有及時看到或者響應警報會有可怕的後果。讓我們以target資料洩露事故為例,在超過4000萬信用卡号碼被盜後,最後是由美國司法部通知target這件事情的。當target回過頭看時,他們發現在攻擊者真正删除資料的幾天前就已經觸發了警報。
為什麼企業會錯過這樣的警報?
核心在于企業如何部署主動風險管理和安排安全人員。在很多情況下,安全專家肩負太多職責,而未能及時響應警報。研究表明,75%的公司需要多達5小時才能響應重要警報;60%需要6到12個小時才能響應中等警報,而對于低級别警報,30%需要超過一天的時間。另外,超過一半的警報是誤報和重複警報,你需要過濾巨量的資料。
這個問題的另一方面在于企業不信任其安全架構。如果企業沒有完全或準确地利用其安全應用中提供的所有功能,那麼,這個産品就不會發揮作用。如果你沒有打算按所設計的方式來使用産品,那你為什麼花錢購買這些産品呢?
你可以做些什麼?
對于如何處理收到的警報以及減少其數量到可管理的水準,這裡有一些方法,包括聘請更多的人員或者重新安排現有人員用來隻處理警報。畢竟,你越快響應重要警報,你就可越快分析威脅并确定它們是否為真正的威脅,如果是真正的威脅,你就可以更快修複以及進行驗證分析來确定其根本原因。
你還可以從整合安全應用和系統中受益。雖然部署各種供應商的産品通常是一件好事,但在這種情況下,使用單個供應商的産品則更好。這是因為很多安全供應商有内置生态系統,提供分析、警報和管理選項組合,選擇單個供應商的安全基礎設施非常有益。
如果你不想完全取代現有基礎設施,那你可以考慮部署安全資訊和事件管理(siem)應用。這些工具可提供對安全基礎設施的整體視圖,并提供威脅情報、實時監控、應用監控、行為分析和日志管理以及報告。這種對安全基礎設施的整體視圖為你提供了最佳途徑來減少警報。siem産品還可以在專家開始審查事件之前執行很多分析,雖然總是需要人的參與,但正确使用的話,這些産品甚至可以阻止攻擊。
另一種選擇是外包你的安全監控。提供托管服務的公司會為你積極監控你的安全性。他們可以管理警報以及這些警報的分析,并告知你任何潛在的問題。
最後,你應該不斷審查安全工具的配置,并進行調整以減少警報的數量。減少警報的數量可為你節省時間,讓安全專家可将重點放在真正的威脅上,并整合主動風險管理政策。
作者:will murrell
來源:51cto