現(xiàn)在的威脅形勢(shì)變得愈發(fā)嚴(yán)峻。在工作場(chǎng)所中，用戶不僅使用公司的設(shè)備，還會(huì)攜帶自己的設(shè)備。再加上聯(lián)網(wǎng)設(shè)備的涌現(xiàn)和廣泛部署，你會(huì)發(fā)現(xiàn)目前攻擊者可利用的攻擊面非常大，這需要通過主動(dòng)風(fēng)險(xiǎn)管理來控制。當(dāng)你有這么多方法進(jìn)入企業(yè)網(wǎng)絡(luò)時(shí)，這會(huì)給網(wǎng)絡(luò)安全帶來很大的問題：企業(yè)每天需要處理洪水般的警報(bào)。

事實(shí)上，根據(jù)2014年Fire Eye委托IDC進(jìn)行的調(diào)查顯示，超過三分之一的美國(guó)公司表示他們每個(gè)月會(huì)收到5000個(gè)警報(bào);37%的公司稱他們每個(gè)月要處理10000多個(gè)警報(bào)。

這些數(shù)據(jù)非常驚人。試想一下，作為安全專家，不僅需要處理這些警報(bào)，同時(shí)還有其他的任務(wù)。更重要的是，大多數(shù)安全人員都有很多職責(zé)，這意味著他們可能無法盡可能快地對(duì)安全警報(bào)做出響應(yīng)，從而導(dǎo)致響應(yīng)時(shí)間變慢，在重大數(shù)據(jù)泄露事故發(fā)生時(shí)帶來嚴(yán)重后果。

如果主動(dòng)風(fēng)險(xiǎn)管理還不是你網(wǎng)絡(luò)安全戰(zhàn)略的一部分，那么，沒有及時(shí)看到或者響應(yīng)警報(bào)會(huì)有可怕的后果。讓我們以Target數(shù)據(jù)泄露事故為例，在超過4000萬信用卡號(hào)碼被盜后，最后是由美國(guó)司法部通知Target這件事情的。當(dāng)Target回過頭看時(shí)，他們發(fā)現(xiàn)在攻擊者真正刪除數(shù)據(jù)的幾天前就已經(jīng)觸發(fā)了警報(bào)。

為什么企業(yè)會(huì)錯(cuò)過這樣的警報(bào)?

核心在于企業(yè)如何部署主動(dòng)風(fēng)險(xiǎn)管理和安排安全人員。在很多情況下，安全專家肩負(fù)太多職責(zé)，而未能及時(shí)響應(yīng)警報(bào)。研究表明，75%的公司需要多達(dá)5小時(shí)才能響應(yīng)重要警報(bào);60%需要6到12個(gè)小時(shí)才能響應(yīng)中等警報(bào)，而對(duì)于低級(jí)別警報(bào)，30%需要超過一天的時(shí)間。另外，超過一半的警報(bào)是誤報(bào)和重復(fù)警報(bào)，你需要過濾巨量的數(shù)據(jù)。

這個(gè)問題的另一方面在于企業(yè)不信任其安全框架。如果企業(yè)沒有完全或準(zhǔn)確地利用其安全應(yīng)用中提供的所有功能，那么，這個(gè)產(chǎn)品就不會(huì)發(fā)揮作用。如果你沒有打算按所設(shè)計(jì)的方式來使用產(chǎn)品，那你為什么花錢購買這些產(chǎn)品呢?

你可以做些什么?

對(duì)于如何處理收到的警報(bào)以及減少其數(shù)量到可管理的水平，這里有一些方法，包括聘請(qǐng)更多的人員或者重新安排現(xiàn)有人員用來只處理警報(bào)。畢竟，你越快響應(yīng)重要警報(bào)，你就可越快分析威脅并確定它們是否為真正的威脅，如果是真正的威脅，你就可以更快修復(fù)以及進(jìn)行取證分析來確定其根本原因。

你還可以從整合安全應(yīng)用和系統(tǒng)中受益。雖然部署各種供應(yīng)商的產(chǎn)品通常是一件好事，但在這種情況下，使用單個(gè)供應(yīng)商的產(chǎn)品則更好。這是因?yàn)楹芏喟踩?yīng)商有內(nèi)置生態(tài)系統(tǒng)，提供分析、警報(bào)和管理選項(xiàng)組合，選擇單個(gè)供應(yīng)商的安全基礎(chǔ)設(shè)施非常有益。

如果你不想完全取代現(xiàn)有基礎(chǔ)設(shè)施，那你可以考慮部署安全信息和事件管理(SIEM)應(yīng)用。這些工具可提供對(duì)安全基礎(chǔ)設(shè)施的整體視圖，并提供威脅情報(bào)、實(shí)時(shí)監(jiān)控、應(yīng)用監(jiān)控、行為分析和日志管理以及報(bào)告。這種對(duì)安全基礎(chǔ)設(shè)施的整體視圖為你提供了最佳途徑來減少警報(bào)。SIEM產(chǎn)品還可以在專家開始審查事件之前執(zhí)行很多分析，雖然總是需要人的參與，但正確使用的話，這些產(chǎn)品甚至可以阻止攻擊。

另一種選擇是外包你的安全監(jiān)控。提供托管服務(wù)的公司會(huì)為你積極監(jiān)控你的安全性。他們可以管理警報(bào)以及這些警報(bào)的分析，并告知你任何潛在的問題。

最后，你應(yīng)該不斷審查安全工具的配置，并進(jìn)行調(diào)整以減少警報(bào)的數(shù)量。減少警報(bào)的數(shù)量可為你節(jié)省時(shí)間，讓安全專家可將重點(diǎn)放在真正的威脅上，并整合主動(dòng)風(fēng)險(xiǎn)管理政策。