许多安全运营团队经常被大量的警报压得喘不过气来,这严重影响了他们的工作效率,甚至使他们对自己的警报响应能力产生怀疑和信心。面对网络安全威胁,企业组织应选择合适的预警管理工具,实施分层管控措施,抵御网络犯罪分子的攻击,将风险降至最低。下面是一些可以借鉴的做法。关闭不需要的警报防止警报疲劳的第一道防线是关闭不需要的警报,但是选择要排除的通知可能会让人头疼。最简单的方法之一是查看警报日志并关闭被证明是误报的通知。考虑快速干预的需要Google的站点可靠性工程师(SRE)团队负责监控、应急响应和容量规划等任务,通常会实施警报/票证/日志记录系统,并根据需要快速干预以响应事件及时和必要的反应,以尽量减少警报过载。SRE团队的潜在行动方案包括:警报,应立即干预并在人员可用时发送警报;不需要任何操作,事件会被记录下来以供以后诊断。使用智能警报在很多情况下,安全人员会在凌晨收到通知,然后花一个小时试图弄清楚发生了什么并解决问题。其实大可不必这样。这可以使用智能警报来解决,它不仅会引起对问题的注意,还会通过分析根本原因提供解决方案。此智能警报还提供有关事件的历史数据,使用户能够了解触发特定警报之前和之后发生的情况。确定警报的优先级并非所有警报都同样重要,需要配置性能监控工具来确定警报的优先级,以便仅对那些重要的事件发出警报。根据安全事件的严重性确定警报的优先级可以消除一些由非威胁事件通知引起的滋扰警报。因此,请重点针对可能导致服务器停机、严重数据损坏或大量数据丢失的问题设置警报。除此之外,还可以通过应用特定的阈值和规则来管理警报。一旦定义了性能阈值,安全人员将不会收到通知,除非指标值达到该水平,例如当可用磁盘空间或可用物理内存很低时。这为技术人员节省了大部分时间,而不必持续监控指标。设置警报规则还允许安全人员自定义执行的操作,例如他们希望多久收到一次通知。分层安全架构的重要性当谈到纵深防御时,采用包含物理控制、技术控制和管理控制的分层安全方法非常重要。物理控制可防止对IT系统进行物理访问,例如上锁的门。技术控制使用专门的硬件或软件(例如防火墙设备或防病毒程序)来保护网络系统或资源。管理控制包括针对员工的政策或程序,例如指示用户将敏感信息标记为机密。此外,安全专业人员应集成安全层以保护网络的各个方面。其中:访问措施包括身份验证控制、生物识别、定时访问和VPN;工作站防御,包括防病毒和反垃圾邮件软件;数据保护着眼于静态数据加密、散列、安全数据传输和加密备份;防火墙和入侵检测和预防系统是边界防御;监控和预防涉及记录和审查网络活动、漏洞扫描器、沙盒和安全意识培训。寻找安全解决方案的企业用户应该寻找能够提供定期漏洞扫描、监控泄露登录并提供员工安全意识培训的解决方案。为了高枕无忧,还有一套业务连续性和灾难恢复(BCDR)工具。即使发生最坏的情况,这也可以恢复组织的数据和正常的业务运营。参考链接:https://www.darkreading.com/attacks-breaches/cut-down-on-alert-overload-and-leverage-layered-security-measures
