主动风险管理:警报如洪水怎么破?

安全
根据2014年Fire Eye委托IDC进行的调查显示,超过三分之一的美国公司表示他们每个月会收到5000个警报;37%的公司称他们每个月要处理10000多个警报。

现在的威胁形势变得愈发严峻。在工作场所中,用户不仅使用公司的设备,还会携带自己的设备。再加上联网设备的涌现和广泛部署,你会发现目前攻击者可利用的攻击面非常大,这需要通过主动风险管理来控制。当你有这么多方法进入企业网络时,这会给网络安全带来很大的问题:企业每天需要处理洪水般的警报。

[[166008]]

事实上,根据2014年Fire Eye委托IDC进行的调查显示,超过三分之一的美国公司表示他们每个月会收到5000个警报;37%的公司称他们每个月要处理10000多个警报。

这些数据非常惊人。试想一下,作为安全专家,不仅需要处理这些警报,同时还有其他的任务。更重要的是,大多数安全人员都有很多职责,这意味着他们可能无法尽可能快地对安全警报做出响应,从而导致响应时间变慢,在重大数据泄露事故发生时带来严重后果。

如果主动风险管理还不是你网络安全战略的一部分,那么,没有及时看到或者响应警报会有可怕的后果。让我们以Target数据泄露事故为例,在超过4000万信用卡号码被盗后,最后是由美国司法部通知Target这件事情的。当Target回过头看时,他们发现在攻击者真正删除数据的几天前就已经触发了警报。

为什么企业会错过这样的警报?

核心在于企业如何部署主动风险管理和安排安全人员。在很多情况下,安全专家肩负太多职责,而未能及时响应警报。研究表明,75%的公司需要多达5小时才能响应重要警报;60%需要6到12个小时才能响应中等警报,而对于低级别警报,30%需要超过一天的时间。另外,超过一半的警报是误报和重复警报,你需要过滤巨量的数据。

这个问题的另一方面在于企业不信任其安全框架。如果企业没有完全或准确地利用其安全应用中提供的所有功能,那么,这个产品就不会发挥作用。如果你没有打算按所设计的方式来使用产品,那你为什么花钱购买这些产品呢?

你可以做些什么?

对于如何处理收到的警报以及减少其数量到可管理的水平,这里有一些方法,包括聘请更多的人员或者重新安排现有人员用来只处理警报。毕竟,你越快响应重要警报,你就可越快分析威胁并确定它们是否为真正的威胁,如果是真正的威胁,你就可以更快修复以及进行取证分析来确定其根本原因。

你还可以从整合安全应用和系统中受益。虽然部署各种供应商的产品通常是一件好事,但在这种情况下,使用单个供应商的产品则更好。这是因为很多安全供应商有内置生态系统,提供分析、警报和管理选项组合,选择单个供应商的安全基础设施非常有益。

如果你不想完全取代现有基础设施,那你可以考虑部署安全信息和事件管理(SIEM)应用。这些工具可提供对安全基础设施的整体视图,并提供威胁情报、实时监控、应用监控、行为分析和日志管理以及报告。这种对安全基础设施的整体视图为你提供了最佳途径来减少警报。SIEM产品还可以在专家开始审查事件之前执行很多分析,虽然总是需要人的参与,但正确使用的话,这些产品甚至可以阻止攻击。

另一种选择是外包你的安全监控。提供托管服务的公司会为你积极监控你的安全性。他们可以管理警报以及这些警报的分析,并告知你任何潜在的问题。

最后,你应该不断审查安全工具的配置,并进行调整以减少警报的数量。减少警报的数量可为你节省时间,让安全专家可将重点放在真正的威胁上,并整合主动风险管理政策。

责任编辑:蓝雨泪 来源: TechTarget中国
相关推荐

2014-04-09 14:15:23

2017-05-23 15:23:08

金融云

2015-12-02 10:33:40

2009-03-20 09:10:33

鲍尔默IBMSun

2023-09-05 00:03:59

2012-04-10 10:50:49

2022-03-03 10:40:25

VSaaS视频监控人工智能

2023-03-08 07:16:17

2014-05-16 13:44:27

2021-09-29 16:15:30

物联网洪水风险IoT

2023-11-02 00:18:47

风险管理系统驱动

2018-06-29 15:45:29

技术总监管理者架构设计

2011-07-26 10:51:33

IT风险风险管理

2018-09-30 15:18:29

2023-08-31 00:02:28

2015-07-27 11:35:15

2010-09-25 15:36:42

2013-03-19 09:23:08

2010-07-30 16:06:41

2013-03-12 17:45:03

点赞
收藏

51CTO技术栈公众号