许多安全运营团队经常被大量的报警淹没,这严重影响了他们的工作效率,甚至使他们对响应报警的能力产生怀疑和缺乏信心。面对网络安全威胁,企业组织应选择合适的报警管理工具,实施分层控制措施,抵御网络犯罪分子实施的攻击活动,尽量降低风险。这里有一些参考。
关闭不必要的报警
防止报警疲劳的第一道防线是关闭不必要的报警,但选择不接受任何通知可能令人头痛。最简单的方法之一是检查报警日志,并关闭被证明是误报的通知。
需要快速干预
谷歌网站可靠性工程师(SRE)团队负责监控、应急响应和容量规划,通常实施报警/工单/日志系统,并根据需要进行快速干预,及时、必要地响应事件,尽量减轻报警过载。SRE团队可能采取的行动计划包括:报警。如果人员到位,应立即干预并发出报警;如果事件需要操作,但可以等到正常工作时间才能处理,则可以提交工作单;日志,如果不需要任何操作,事件将记录在日志中,以便以后诊断。
使用智能报警
在许多情况下,安全人员会遇到这样的情况:在凌晨收到通知,然后花一个小时试图找出发生了什么,并解决问题。事实上,没有必要这样做。这个问题可以通过智能报警来解决。它不仅可以提醒注意问题,还可以通过分析根本原因来提供解决方案。该智能报警还提供相关事件的历史数据,使用户能够了解触发特定报警前后的情况。
确定报警优先级
并非所有警报都一样要紧,需要配置性能监控工具,确定警报优先级,以便只针对那些关键的事件发送警报。根据安全事件严重程度确定警报的优先级,可以消除由非威胁性事件通知带来的一些干扰警报。因此应专注于为那些可能会导致服务器宕机、严重损坏数据或大量数据丢失的问题设置警报。
此外,警报也可以通过使用特定的阈值和规则来管理。在定义了性能阈值后,安全人员将不会收到通知,除非指标值达到相应的水平,如当可用磁盘空间或可用物理内存处于非常低的水平时。这节省了技术人员的大部分时间,使他们无需持续监控指标。设置报警规则也可以让安全人员定制操作,比如希望收到通知的频率。
分层安全架构的重要性
在深度防御方面,采用覆盖物理控制、技术控制和管理控制的分层安全方法非常重要。物理控制可以防止IT系统(如锁门)的物理访问。技术控制使用特殊的硬件或软件(如防火墙设备或病毒程序)来保护网络系统或资源。管理控制包括针对员工的政策或程序,如指示用户将敏感信息标记为机密信息。
此外,安全人员还应整合安全层,以保护网络的各个方面。其中:访问措施包括身份验证控制、生物特征识别、定期访问和VPN;工作站防御包括防病毒和反垃圾邮件软件;数据保护侧重于静态数据加密、散列、安全数据传输和加密备份;防火墙和入侵检测和预防系统属于边界防御;监控和预防涉及网络活动、漏洞扫描仪、沙箱和安全意识培训的记录和审查。
企业用户在寻找安全解决方案时,应选择这样的解决方案:提供定期的漏洞扫描、监控泄漏登录信息,并提供员工安全意识培训。为了确保休息,还有一套业务连续性和灾难恢复(BCDR)工具。即使发生最坏的情况,也能恢复组织数据,恢复正常的业务运作。
参考链接:https://www.darkreading.com/attacks-breaches/cut-down-on-alert-overload-and-leverage-layered-security-measures