網(wǎng)絡(luò)安全分析師最大的顧慮之一是自己能否在傷害造成前阻止攻擊。然而，過濾海量警報本身就是個耗時間的工作。隨著網(wǎng)絡(luò)越來越復(fù)雜，惡意攻擊越來越高端，達(dá)成事件響應(yīng)任務(wù)目標(biāo)的難度也越來越高了。不過，用對了網(wǎng)絡(luò)安全工具，公司企業(yè)就能快速檢測、梳理和緩解威脅。

[[249523]]

分類：提升事件響應(yīng)時效的關(guān)鍵

有效網(wǎng)絡(luò)安全從分類每一個安全警報開始。分類過程中，各種威脅得根據(jù)其風(fēng)險進(jìn)行優(yōu)先級排序。任何公司的網(wǎng)絡(luò)都會經(jīng)歷警報不斷涌入的情況，有些是因?yàn)闄z出了異常，有些是發(fā)現(xiàn)了潛在的威脅。其中很多都是誤報，最終會被判定為良性的正?；顒?。其他威脅則需要及時關(guān)注。準(zhǔn)確而迅速地區(qū)分出不同威脅類型是事件響應(yīng)的重要一步。

事件分類控制著調(diào)查和緩解不同類型威脅時的資源分配方式。當(dāng)然，威脅一旦被檢測出來，就需要進(jìn)行處理，但任何公司企業(yè)都沒有無限的資源。從實(shí)際出發(fā)，公司信息及網(wǎng)絡(luò)安全團(tuán)隊有必要盡可能有效地對潛在事件排個序。

很多公司企業(yè)的安全警報分類都不是很恰當(dāng)。因?yàn)榘踩鉀Q方案很多，每個警報可能看起來都具有同等優(yōu)先級。早期的安全解決方案更容易觸發(fā)誤報，而這些誤報會浪費(fèi)本可以用在高優(yōu)先級事件上的寶貴時間。

事件涌到公司IT團(tuán)隊和分析師手頭的時候，IT人員需花大量時間識別威脅，研究并找出最佳解決方案。即使是最高效的IT團(tuán)隊也可能無法針對每個威脅重復(fù)上述過程，無法在處理日常任務(wù)的同時還足夠快速地應(yīng)對這些威脅。

于是，我們把目光轉(zhuǎn)向更智能的網(wǎng)絡(luò)安全工具，也就是可用于提供快速高效分類的解決方案。有效分類意味著公司企業(yè)能以更少的資源覆蓋更廣的范圍，最重要的是，可以減少遭遇數(shù)據(jù)泄露的可能性。

有效分類 = 智能網(wǎng)絡(luò)安全工具

對大多數(shù)公司企業(yè)而言，人工分類是幾乎不可能的——必須設(shè)置解決方案來分揀所有數(shù)據(jù)并準(zhǔn)確排序每一個警報。采用機(jī)器學(xué)習(xí)的安全工具可以自動化絕大部分分類過程，以便公司IT員工可以立即著手處理已經(jīng)過排序和整合的警報列表。

只要工具選對了，分析師便能通過下面4種途徑理清警報亂局：

1. 最小化誤報

即便是很小的誤報率都能導(dǎo)致大量誤報出現(xiàn)。高級安全工具可以濾除無關(guān)通報，這樣便可以在真正的警報響起時觸發(fā)安全事件響應(yīng)。過時的安全系統(tǒng)在檢測威脅上不甚準(zhǔn)確，所以一般寧可錯殺一千也不愿放過一個，用警報觸發(fā)上的低閾值來保證安全。雖然這種做法可能阻止惡意攻擊偷溜進(jìn)來，但也將大量寶貴時間浪費(fèi)在了處理誤報上。與過時系統(tǒng)不同，良好安全解決方案只會拋出真正需要分析師著手處理的威脅，不會將分析師淹沒在無數(shù)潛在威脅中。

2. 排出警報優(yōu)先級

高優(yōu)先級威脅可被自動標(biāo)紅，其他中級或低級威脅則被自動分配較低的優(yōu)先級。IT團(tuán)隊無需弄清該先處理哪些威脅，減少他們花在制定策略上的時間。警報優(yōu)先級劃分需要安全工具足夠先進(jìn)，不僅能夠識別威脅，還要能判定威脅代表的風(fēng)險等級。此類優(yōu)先級排序往往要求相當(dāng)高端的軟件，因?yàn)樵撥浖枘軌驁?zhí)行對未知安全攻擊的準(zhǔn)確風(fēng)險評估。

3. 提供詳細(xì)數(shù)據(jù)

說到減少事件響應(yīng)時間，弄清警報根源與了解警報內(nèi)容同樣重要，或許還更加重要。換句話說，分析師需要足夠的數(shù)據(jù)以履行職責(zé);如果警報不提供任何上下文，安全專家也就毫無選擇，只能期望自己的勞動不是無用功了。至于上下文的內(nèi)容，可以是可疑文件或URL執(zhí)行的具體動作，而不是簡單的一條“此文件可疑”。識別并關(guān)聯(lián)單個警報以發(fā)現(xiàn)大型攻擊征兆，以及為分析師提供多階段延續(xù)性事件的信息，是數(shù)據(jù)優(yōu)先級排序的重要組成部分。過時的安全系統(tǒng)只能看到多個割裂的小警報，理解不了其間蘊(yùn)含的上下文。

4. 自動清除小型威脅

高級網(wǎng)絡(luò)安全解決方案還具備自動緩解某些威脅以及隔離威脅進(jìn)行后續(xù)調(diào)查的能力。很多著名或典型攻擊如今都可被自動檢測出來并加以處理，無需分析師干預(yù)。盡管威脅一直在進(jìn)化，低級威脅的身影卻從未消失;事實(shí)上，因?yàn)橘Y源消耗幾乎為零，低級威脅的使用率如今依然很高。

最后，分類不僅僅事關(guān)響應(yīng)速度，還涉及到以更小代價得到最大收益。鑒于網(wǎng)絡(luò)環(huán)境的快速發(fā)展，安全人才的極度緊缺，公司企業(yè)需以有限的資源管理越來越龐大的網(wǎng)絡(luò)。而在更先進(jìn)的網(wǎng)絡(luò)安全解決方案的幫助下，他們可以快速有效地搞定威脅，防患于未然。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文