網絡安全分析師最大的顧慮之一是自己能否在傷害造成前阻止攻擊。然而,過濾海量警報本身就是個耗時間的工作。隨著網絡越來越復雜,惡意攻擊越來越高端,達成事件響應任務目標的難度也越來越高了。不過,用對了網絡安全工具,公司企業就能快速檢測、梳理和緩解威脅。
分類:提升事件響應時效的關鍵
有效網絡安全從分類每一個安全警報開始。分類過程中,各種威脅得根據其風險進行優先級排序。任何公司的網絡都會經歷警報不斷涌入的情況,有些是因為檢出了異常,有些是發現了潛在的威脅。其中很多都是誤報,最終會被判定為良性的正常活動。其他威脅則需要及時關注。準確而迅速地區分出不同威脅類型是事件響應的重要一步。
事件分類控制著調查和緩解不同類型威脅時的資源分配方式。當然,威脅一旦被檢測出來,就需要進行處理,但任何公司企業都沒有無限的資源。從實際出發,公司信息及網絡安全團隊有必要盡可能有效地對潛在事件排個序。
很多公司企業的安全警報分類都不是很恰當。因為安全解決方案很多,每個警報可能看起來都具有同等優先級。早期的安全解決方案更容易觸發誤報,而這些誤報會浪費本可以用在高優先級事件上的寶貴時間。
事件涌到公司IT團隊和分析師手頭的時候,IT人員需花大量時間識別威脅,研究并找出最佳解決方案。即使是最高效的IT團隊也可能無法針對每個威脅重復上述過程,無法在處理日常任務的同時還足夠快速地應對這些威脅。
于是,我們把目光轉向更智能的網絡安全工具,也就是可用于提供快速高效分類的解決方案。有效分類意味著公司企業能以更少的資源覆蓋更廣的范圍,最重要的是,可以減少遭遇數據泄露的可能性。
有效分類 = 智能網絡安全工具
對大多數公司企業而言,人工分類是幾乎不可能的——必須設置解決方案來分揀所有數據并準確排序每一個警報。采用機器學習的安全工具可以自動化絕大部分分類過程,以便公司IT員工可以立即著手處理已經過排序和整合的警報列表。
只要工具選對了,分析師便能通過下面4種途徑理清警報亂局:
1. 最小化誤報
即便是很小的誤報率都能導致大量誤報出現。高級安全工具可以濾除無關通報,這樣便可以在真正的警報響起時觸發安全事件響應。過時的安全系統在檢測威脅上不甚準確,所以一般寧可錯殺一千也不愿放過一個,用警報觸發上的低閾值來保證安全。雖然這種做法可能阻止惡意攻擊偷溜進來,但也將大量寶貴時間浪費在了處理誤報上。與過時系統不同,良好安全解決方案只會拋出真正需要分析師著手處理的威脅,不會將分析師淹沒在無數潛在威脅中。
2. 排出警報優先級
高優先級威脅可被自動標紅,其他中級或低級威脅則被自動分配較低的優先級。IT團隊無需弄清該先處理哪些威脅,減少他們花在制定策略上的時間。警報優先級劃分需要安全工具足夠先進,不僅能夠識別威脅,還要能判定威脅代表的風險等級。此類優先級排序往往要求相當高端的軟件,因為該軟件需能夠執行對未知安全攻擊的準確風險評估。
3. 提供詳細數據
說到減少事件響應時間,弄清警報根源與了解警報內容同樣重要,或許還更加重要。換句話說,分析師需要足夠的數據以履行職責;如果警報不提供任何上下文,安全專家也就毫無選擇,只能期望自己的勞動不是無用功了。至于上下文的內容,可以是可疑文件或URL執行的具體動作,而不是簡單的一條“此文件可疑”。識別并關聯單個警報以發現大型攻擊征兆,以及為分析師提供多階段延續性事件的信息,是數據優先級排序的重要組成部分。過時的安全系統只能看到多個割裂的小警報,理解不了其間蘊含的上下文。
4. 自動清除小型威脅
高級網絡安全解決方案還具備自動緩解某些威脅以及隔離威脅進行后續調查的能力。很多著名或典型攻擊如今都可被自動檢測出來并加以處理,無需分析師干預。盡管威脅一直在進化,低級威脅的身影卻從未消失;事實上,因為資源消耗幾乎為零,低級威脅的使用率如今依然很高。
最后,分類不僅僅事關響應速度,還涉及到以更小代價得到最大收益。鑒于網絡環境的快速發展,安全人才的極度緊缺,公司企業需以有限的資源管理越來越龐大的網絡。而在更先進的網絡安全解決方案的幫助下,他們可以快速有效地搞定威脅,防患于未然。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】