首页 > 信息安全 > 正文

主动风险管理:警报如洪水怎么破?

2016-05-04 15:01:19  来源:TechTarget中国

摘要:根据2014年Fire Eye委托IDC进行的调查显示,超过三分之一的美国公司表示他们每个月会收到5000个警报;37%的公司称他们每个月要处理10000多个警报。
关键词: 风险管理 警报 洪水
  现在的威胁形势变得愈发严峻。在工作场所中,用户不仅使用公司的设备,还会携带自己的设备。再加上联网设备的涌现和广泛部署,你会发现目前攻击者可利用的攻击面非常大,这需要通过主动风险管理来控制。当你有这么多方法进入企业网络时,这会给网络安全带来很大的问题:企业每天需要处理洪水般的警报。
 
  
 
  事实上,根据2014年Fire Eye委托IDC进行的调查显示,超过三分之一的美国公司表示他们每个月会收到5000个警报;37%的公司称他们每个月要处理10000多个警报。
 
  这些数据非常惊人。试想一下,作为安全专家,不仅需要处理这些警报,同时还有其他的任务。更重要的是,大多数安全人员都有很多职责,这意味着他们可能无法尽可能快地对安全警报做出响应,从而导致响应时间变慢,在重大数据泄露事故发生时带来严重后果。
 
  如果主动风险管理还不是你网络安全战略的一部分,那么,没有及时看到或者响应警报会有可怕的后果。让我们以Target数据泄露事故为例,在超过4000万信用卡号码被盗后,最后是由美国司法部通知Target这件事情的。当Target回过头看时,他们发现在攻击者真正删除数据的几天前就已经触发了警报。
 
  为什么企业会错过这样的警报?
 
  核心在于企业如何部署主动风险管理和安排安全人员。在很多情况下,安全专家肩负太多职责,而未能及时响应警报。研究表明,75%的公司需要多达5小时才能响应重要警报;60%需要6到12个小时才能响应中等警报,而对于低级别警报,30%需要超过一天的时间。另外,超过一半的警报是误报和重复警报,你需要过滤巨量的数据。
 
  这个问题的另一方面在于企业不信任其安全框架。如果企业没有完全或准确地利用其安全应用中提供的所有功能,那么,这个产品就不会发挥作用。如果你没有打算按所设计的方式来使用产品,那你为什么花钱购买这些产品呢?
 
  你可以做些什么?
 
  对于如何处理收到的警报以及减少其数量到可管理的水平,这里有一些方法,包括聘请更多的人员或者重新安排现有人员用来只处理警报。毕竟,你越快响应重要警报,你就可越快分析威胁并确定它们是否为真正的威胁,如果是真正的威胁,你就可以更快修复以及进行取证分析来确定其根本原因。
 
  你还可以从整合安全应用和系统中受益。虽然部署各种供应商的产品通常是一件好事,但在这种情况下,使用单个供应商的产品则更好。这是因为很多安全供应商有内置生态系统,提供分析、警报和管理选项组合,选择单个供应商的安全基础设施非常有益。
 
  如果你不想完全取代现有基础设施,那你可以考虑部署安全信息和事件管理(SIEM)应用。这些工具可提供对安全基础设施的整体视图,并提供威胁情报、实时监控、应用监控、行为分析和日志管理以及报告。这种对安全基础设施的整体视图为你提供了最佳途径来减少警报。SIEM产品还可以在专家开始审查事件之前执行很多分析,虽然总是需要人的参与,但正确使用的话,这些产品甚至可以阻止攻击。
 
  另一种选择是外包你的安全监控。提供托管服务的公司会为你积极监控你的安全性。他们可以管理警报以及这些警报的分析,并告知你任何潜在的问题。
 
  最后,你应该不断审查安全工具的配置,并进行调整以减少警报的数量。减少警报的数量可为你节省时间,让安全专家可将重点放在真正的威胁上,并整合主动风险管理政策。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。