网络安全分析师最大的顾虑之一是自己能否在伤害造成前阻止攻击。然而,过滤海量警报本身就是个耗时间的工作。随着网络越来越复杂,恶意攻击越来越高端,达成事件响应任务目标的难度也越来越高了。不过,用对了网络安全工具,公司企业就能快速检测、梳理和缓解威胁。
分类:提升事件响应时效的关键
有效网络安全从分类每一个安全警报开始。分类过程中,各种威胁得根据其风险进行优先级排序。任何公司的网络都会经历警报不断涌入的情况,有些是因为检出了异常,有些是发现了潜在的威胁。其中很多都是误报,最终会被判定为良性的正常活动。其他威胁则需要及时关注。准确而迅速地区分出不同威胁类型是事件响应的重要一步。
事件分类控制着调查和缓解不同类型威胁时的资源分配方式。当然,威胁一旦被检测出来,就需要进行处理,但任何公司企业都没有无限的资源。从实际出发,公司信息及网络安全团队有必要尽可能有效地对潜在事件排个序。
很多公司企业的安全警报分类都不是很恰当。因为安全解决方案很多,每个警报可能看起来都具有同等优先级。早期的安全解决方案更容易触发误报,而这些误报会浪费本可以用在高优先级事件上的宝贵时间。
事件涌到公司IT团队和分析师手头的时候,IT人员需花大量时间识别威胁,研究并找出最佳解决方案。即使是最高效的IT团队也可能无法针对每个威胁重复上述过程,无法在处理日常任务的同时还足够快速地应对这些威胁。
于是,我们把目光转向更智能的网络安全工具,也就是可用于提供快速高效分类的解决方案。有效分类意味着公司企业能以更少的资源覆盖更广的范围,最重要的是,可以减少遭遇数据泄露的可能性。
有效分类 = 智能网络安全工具
对大多数公司企业而言,人工分类是几乎不可能的——必须设置解决方案来分拣所有数据并准确排序每一个警报。采用机器学习的安全工具可以自动化绝大部分分类过程,以便公司IT员工可以立即着手处理已经过排序和整合的警报列表。
只要工具选对了,分析师便能通过下面4种途径理清警报乱局:
1. 最小化误报
即便是很小的误报率都能导致大量误报出现。高级安全工具可以滤除无关通报,这样便可以在真正的警报响起时触发安全事件响应。过时的安全系统在检测威胁上不甚准确,所以一般宁可错杀一千也不愿放过一个,用警报触发上的低阈值来保证安全。虽然这种做法可能阻止恶意攻击偷溜进来,但也将大量宝贵时间浪费在了处理误报上。与过时系统不同,良好安全解决方案只会抛出真正需要分析师着手处理的威胁,不会将分析师淹没在无数潜在威胁中。
2. 排出警报优先级
高优先级威胁可被自动标红,其他中级或低级威胁则被自动分配较低的优先级。IT团队无需弄清该先处理哪些威胁,减少他们花在制定策略上的时间。警报优先级划分需要安全工具足够先进,不仅能够识别威胁,还要能判定威胁代表的风险等级。此类优先级排序往往要求相当高端的软件,因为该软件需能够执行对未知安全攻击的准确风险评估。
3. 提供详细数据
说到减少事件响应时间,弄清警报根源与了解警报内容同样重要,或许还更加重要。换句话说,分析师需要足够的数据以履行职责;如果警报不提供任何上下文,安全专家也就毫无选择,只能期望自己的劳动不是无用功了。至于上下文的内容,可以是可疑文件或URL执行的具体动作,而不是简单的一条“此文件可疑”。识别并关联单个警报以发现大型攻击征兆,以及为分析师提供多阶段延续性事件的信息,是数据优先级排序的重要组成部分。过时的安全系统只能看到多个割裂的小警报,理解不了其间蕴含的上下文。
4. 自动清除小型威胁
高级网络安全解决方案还具备自动缓解某些威胁以及隔离威胁进行后续调查的能力。很多著名或典型攻击如今都可被自动检测出来并加以处理,无需分析师干预。尽管威胁一直在进化,低级威胁的身影却从未消失;事实上,因为资源消耗几乎为零,低级威胁的使用率如今依然很高。
最后,分类不仅仅事关响应速度,还涉及到以更小代价得到最大收益。鉴于网络环境的快速发展,安全人才的极度紧缺,公司企业需以有限的资源管理越来越庞大的网络。而在更先进的网络安全解决方案的帮助下,他们可以快速有效地搞定威胁,防患于未然。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
【编辑推荐】
2018第二季度六大网络安全设备厂商
让业务与安全贴合:适应业务需求的网络安全指标
你了解网络安全欠下的“技术债”吗?
企业高管对网络安全缺乏认知责任主要在CISO?
企业风险管理(ERM):如何将网络安全威胁融入业务上下文