主動(dòng)風(fēng)險(xiǎn)管理:警報(bào)如洪水怎么破?
現(xiàn)在的威脅形勢(shì)變得愈發(fā)嚴(yán)峻。在工作場(chǎng)所中,用戶不僅使用公司的設(shè)備,還會(huì)攜帶自己的設(shè)備。再加上聯(lián)網(wǎng)設(shè)備的涌現(xiàn)和廣泛部署,你會(huì)發(fā)現(xiàn)目前攻擊者可利用的攻擊面非常大,這需要通過(guò)主動(dòng)風(fēng)險(xiǎn)管理來(lái)控制。當(dāng)你有這么多方法進(jìn)入企業(yè)網(wǎng)絡(luò)時(shí),這會(huì)給網(wǎng)絡(luò)安全帶來(lái)很大的問(wèn)題:企業(yè)每天需要處理洪水般的警報(bào)。
事實(shí)上,根據(jù)2014年Fire Eye委托IDC進(jìn)行的調(diào)查顯示,超過(guò)三分之一的美國(guó)公司表示他們每個(gè)月會(huì)收到5000個(gè)警報(bào);37%的公司稱他們每個(gè)月要處理10000多個(gè)警報(bào)。
這些數(shù)據(jù)非常驚人。試想一下,作為安全專家,不僅需要處理這些警報(bào),同時(shí)還有其他的任務(wù)。更重要的是,大多數(shù)安全人員都有很多職責(zé),這意味著他們可能無(wú)法盡可能快地對(duì)安全警報(bào)做出響應(yīng),從而導(dǎo)致響應(yīng)時(shí)間變慢,在重大數(shù)據(jù)泄露事故發(fā)生時(shí)帶來(lái)嚴(yán)重后果。
如果主動(dòng)風(fēng)險(xiǎn)管理還不是你網(wǎng)絡(luò)安全戰(zhàn)略的一部分,那么,沒(méi)有及時(shí)看到或者響應(yīng)警報(bào)會(huì)有可怕的后果。讓我們以Target數(shù)據(jù)泄露事故為例,在超過(guò)4000萬(wàn)信用卡號(hào)碼被盜后,最后是由美國(guó)司法部通知Target這件事情的。當(dāng)Target回過(guò)頭看時(shí),他們發(fā)現(xiàn)在攻擊者真正刪除數(shù)據(jù)的幾天前就已經(jīng)觸發(fā)了警報(bào)。
為什么企業(yè)會(huì)錯(cuò)過(guò)這樣的警報(bào)?
核心在于企業(yè)如何部署主動(dòng)風(fēng)險(xiǎn)管理和安排安全人員。在很多情況下,安全專家肩負(fù)太多職責(zé),而未能及時(shí)響應(yīng)警報(bào)。研究表明,75%的公司需要多達(dá)5小時(shí)才能響應(yīng)重要警報(bào);60%需要6到12個(gè)小時(shí)才能響應(yīng)中等警報(bào),而對(duì)于低級(jí)別警報(bào),30%需要超過(guò)一天的時(shí)間。另外,超過(guò)一半的警報(bào)是誤報(bào)和重復(fù)警報(bào),你需要過(guò)濾巨量的數(shù)據(jù)。
這個(gè)問(wèn)題的另一方面在于企業(yè)不信任其安全框架。如果企業(yè)沒(méi)有完全或準(zhǔn)確地利用其安全應(yīng)用中提供的所有功能,那么,這個(gè)產(chǎn)品就不會(huì)發(fā)揮作用。如果你沒(méi)有打算按所設(shè)計(jì)的方式來(lái)使用產(chǎn)品,那你為什么花錢購(gòu)買這些產(chǎn)品呢?
你可以做些什么?
對(duì)于如何處理收到的警報(bào)以及減少其數(shù)量到可管理的水平,這里有一些方法,包括聘請(qǐng)更多的人員或者重新安排現(xiàn)有人員用來(lái)只處理警報(bào)。畢竟,你越快響應(yīng)重要警報(bào),你就可越快分析威脅并確定它們是否為真正的威脅,如果是真正的威脅,你就可以更快修復(fù)以及進(jìn)行取證分析來(lái)確定其根本原因。
你還可以從整合安全應(yīng)用和系統(tǒng)中受益。雖然部署各種供應(yīng)商的產(chǎn)品通常是一件好事,但在這種情況下,使用單個(gè)供應(yīng)商的產(chǎn)品則更好。這是因?yàn)楹芏喟踩?yīng)商有內(nèi)置生態(tài)系統(tǒng),提供分析、警報(bào)和管理選項(xiàng)組合,選擇單個(gè)供應(yīng)商的安全基礎(chǔ)設(shè)施非常有益。
如果你不想完全取代現(xiàn)有基礎(chǔ)設(shè)施,那你可以考慮部署安全信息和事件管理(SIEM)應(yīng)用。這些工具可提供對(duì)安全基礎(chǔ)設(shè)施的整體視圖,并提供威脅情報(bào)、實(shí)時(shí)監(jiān)控、應(yīng)用監(jiān)控、行為分析和日志管理以及報(bào)告。這種對(duì)安全基礎(chǔ)設(shè)施的整體視圖為你提供了最佳途徑來(lái)減少警報(bào)。SIEM產(chǎn)品還可以在專家開始審查事件之前執(zhí)行很多分析,雖然總是需要人的參與,但正確使用的話,這些產(chǎn)品甚至可以阻止攻擊。
另一種選擇是外包你的安全監(jiān)控。提供托管服務(wù)的公司會(huì)為你積極監(jiān)控你的安全性。他們可以管理警報(bào)以及這些警報(bào)的分析,并告知你任何潛在的問(wèn)題。
最后,你應(yīng)該不斷審查安全工具的配置,并進(jìn)行調(diào)整以減少警報(bào)的數(shù)量。減少警報(bào)的數(shù)量可為你節(jié)省時(shí)間,讓安全專家可將重點(diǎn)放在真正的威脅上,并整合主動(dòng)風(fēng)險(xiǎn)管理政策。
