主动风险管理:警报如洪水怎么破?

日期:2015-10-23点击次数:16074

       现在的威胁形势变得愈发严峻。在工作场所中,用户不仅使用公司的设备,还会携带自己的设备。再加上联网设备的涌现和广泛部署,你会发现目前攻击者可利用的攻击面非常大,这需要通过主动风险管理来控制。当你有这么多方法进入企业网络时,这会给网络安全带来很大的问题:企业每天需要处理洪水般的警报。

主动风险管理:警报如洪水怎么破?

        事实上,根据2014年Fire Eye委托IDC进行的调查显示,超过三分之一的美国公司表示他们每个月会收到5000个警报;37%的公司称他们每个月要处理10000多个警报。

       这些数据非常惊人。试想一下,作为安全专家,不仅需要处理这些警报,同时还有其他的任务。更重要的是,大多数安全人员都有很多职责,这意味着他们可能无法尽可能快地对安全警报做出响应,从而导致响应时间变慢,在重大数据泄露事故发生时带来严重后果。

       如果主动风险管理还不是你网络安全战略的一部分,那么,没有及时看到或者响应警报会有可怕的后果。让我们以Target数据泄露事故为例,在超过4000万信用卡号码被盗后,最后是由美国司法部通知Target这件事情的。当Target回过头看时,他们发现在攻击者真正删除数据的几天前就已经触发了警报。

       为什么企业会错过这样的警报?

       核心在于企业如何部署主动风险管理和安排安全人员。在很多情况下,安全专家肩负太多职责,而未能及时响应警报。研究表明,75%的公司需要多达5小时才能响应重要警报;60%需要6到12个小时才能响应中等警报,而对于低级别警报,30%需要超过一天的时间。另外,超过一半的警报是误报和重复警报,你需要过滤巨量的数据。

        这个问题的另一方面在于企业不信任其安全框架。如果企业没有完全或准确地利用其安全应用中提供的所有功能,那么,这个产品就不会发挥作用。如果你没有打算按所设计的方式来使用产品,那你为什么花钱购买这些产品呢?

        你可以做些什么?

        对于如何处理收到的警报以及减少其数量到可管理的水平,这里有一些方法,包括聘请更多的人员或者重新安排现有人员用来只处理警报。毕竟,你越快响应重要警报,你就可越快分析威胁并确定它们是否为真正的威胁,如果是真正的威胁,你就可以更快修复以及进行取证分析来确定其根本原因。

       你还可以从整合安全应用和系统中受益。虽然部署各种供应商的产品通常是一件好事,但在这种情况下,使用单个供应商的产品则更好。这是因为很多安全供应商有内置生态系统,提供分析、警报和管理选项组合,选择单个供应商的安全基础设施非常有益。

       如果你不想完全取代现有基础设施,那你可以考虑部署安全信息和事件管理(SIEM)应用。这些工具可提供对安全基础设施的整体视图,并提供威胁情报、实时监控、应用监控、行为分析和日志管理以及报告。这种对安全基础设施的整体视图为你提供了最佳途径来减少警报。SIEM产品还可以在专家开始审查事件之前执行很多分析,虽然总是需要人的参与,但正确使用的话,这些产品甚至可以阻止攻击。

       另一种选择是外包你的安全监控。提供托管服务的公司会为你积极监控你的安全性。他们可以管理警报以及这些警报的分析,并告知你任何潜在的问题。

       最后,你应该不断审查安全工具的配置,并进行调整以减少警报的数量。减少警报的数量可为你节省时间,让安全专家可将重点放在真正的威胁上,并整合主动风险管理政策。(文/作者:Will Murrell 翻译:邹铮来源:TechTarget中国)

姓名:
性别:
电话:
E-mail
问题:
问题描述: