很多安全運(yùn)營(yíng)團(tuán)隊(duì)常常被大量警報(bào)淹沒，這嚴(yán)重影響了其工作效率，甚至使其對(duì)響應(yīng)警報(bào)的能力產(chǎn)生懷疑和缺乏信心。企業(yè)組織在面對(duì)網(wǎng)絡(luò)安全威脅時(shí)，應(yīng)選擇合適的警報(bào)管理工具，并實(shí)施分層管控措施，以抵御網(wǎng)絡(luò)犯罪分子實(shí)施的攻擊活動(dòng)，并盡量降低風(fēng)險(xiǎn)。這里提供了一些可借鑒的做法。

關(guān)閉不需要的警報(bào)

防止警報(bào)疲勞的第一道防線是關(guān)閉不需要的警報(bào)，不過選擇不接收哪些通知可能令人很頭痛。最簡(jiǎn)單的方法之一是，查看警報(bào)日志，并關(guān)閉已證明是誤報(bào)的通知。

考慮需要迅速干預(yù)

谷歌的網(wǎng)站可靠性工程師(SRE)團(tuán)隊(duì)負(fù)責(zé)監(jiān)控、應(yīng)急響應(yīng)和容量規(guī)劃等任務(wù)，通常實(shí)施一套警報(bào)/工單/日志系統(tǒng)，并根據(jù)需要做出迅速干預(yù)，對(duì)事件做出及時(shí)和必要的響應(yīng)，從而盡量緩解警報(bào)過載。SRE團(tuán)隊(duì)有可能采取的行動(dòng)方案包括：警報(bào)，如果人員到位，應(yīng)立即干預(yù)并發(fā)送警報(bào);工單，如果事件需要采取操作，但可以等到正常上班時(shí)間來處理，則可以提交工單;日志，如果不需要任何操作，事件被記入日志，便于以后診斷。

使用智能警報(bào)

很多情況下，安全人員會(huì)遇到這種情況：在凌晨收到通知，然后花一個(gè)小時(shí)試圖弄清楚是怎么回事并解決問題。其實(shí)大可不必這樣?？梢允褂弥悄芫瘓?bào)來解決這一問題，它不僅可以提醒注意問題，還可以通過分析根本原因來提供解決方法。這種智能警報(bào)還提供有關(guān)事件的歷史數(shù)據(jù)，使用戶能夠了解觸發(fā)特定警報(bào)前后發(fā)生的情況。

確定警報(bào)優(yōu)先級(jí)

并非所有警報(bào)都一樣要緊，需要配置性能監(jiān)控工具，確定警報(bào)優(yōu)先級(jí)，以便只針對(duì)那些關(guān)鍵的事件發(fā)送警報(bào)。根據(jù)安全事件嚴(yán)重程度確定警報(bào)的優(yōu)先級(jí)，可以消除由非威脅性事件通知帶來的一些干擾警報(bào)。因此應(yīng)專注于為那些可能會(huì)導(dǎo)致服務(wù)器宕機(jī)、嚴(yán)重?fù)p壞數(shù)據(jù)或大量數(shù)據(jù)丟失的問題設(shè)置警報(bào)。

除此之外，還可以通過運(yùn)用特定閾值和規(guī)則來管理警報(bào)。定義性能閾值后，安全人員就不會(huì)收到通知，除非某個(gè)指標(biāo)的值達(dá)到相應(yīng)水平，比如當(dāng)可用磁盤空間或可用物理內(nèi)存處于很低的水平時(shí)，安全人員才會(huì)收到通知。這節(jié)省了技術(shù)人員的大部分時(shí)間，使他們可以不必持續(xù)監(jiān)控指標(biāo)。設(shè)定警報(bào)規(guī)則還可以讓安全人員定制執(zhí)行的操作，比如希望收到通知的頻次。

分層安全架構(gòu)的重要性

就縱深防御而言，采用一種涵蓋物理控制、技術(shù)控制和管理控制的分層安全方法很重要。物理控制可以防止對(duì)IT系統(tǒng)(比如上鎖的門)的物理訪問。技術(shù)控制使用專用硬件或軟件(比如防火墻設(shè)備或防病毒程序)保護(hù)網(wǎng)絡(luò)系統(tǒng)或資源。管理控制包括針對(duì)員工的政策或程序，比如指示用戶將敏感信息標(biāo)記為機(jī)密信息等。

此外，安全人員還應(yīng)該整合安全層，以保護(hù)網(wǎng)絡(luò)的各個(gè)方面。其中：訪問措施包括身份驗(yàn)證控制、生物特征識(shí)別、定時(shí)訪問和VPN;工作站防御包括防病毒和反垃圾郵件軟件;數(shù)據(jù)保護(hù)著眼于靜態(tài)數(shù)據(jù)加密、散列、安全數(shù)據(jù)傳輸和加密備份;防火墻和入侵檢測(cè)及預(yù)防系統(tǒng)屬于邊界防御;監(jiān)控和預(yù)防涉及記錄和審查網(wǎng)絡(luò)活動(dòng)、漏洞掃描器、沙盒和安全意識(shí)培訓(xùn)等方面。

企業(yè)用戶在尋找安全解決方案時(shí)，應(yīng)選擇這樣的解決方案：提供定期漏洞掃描、監(jiān)控泄露的登錄信息，并提供員工安全意識(shí)培訓(xùn)。為了確保高枕無憂，還要有一套業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)(BCDR)工具。這樣即使發(fā)生最糟糕的情況，也能夠恢復(fù)組織的數(shù)據(jù)，并恢復(fù)正常的業(yè)務(wù)運(yùn)營(yíng)。

參考鏈接：https://www.darkreading.com/attacks-breaches/cut-down-on-alert-overload-and-leverage-layered-security-measures