以分层管制措施缓解安全警报过载
发布时间:2022-03-22 15:47:42 所属栏目:安全 来源:互联网
导读:很多安全运营团队常常被大量警报淹没,这严重影响了其工作效率,甚至使其对响应警报的能力产生怀疑和缺乏信心。企业组织在面对网络安全威胁时,应选择合适的警报管理工具,并实施分层管控措施,以抵御网络犯罪分子实施的攻击活动,并尽量降低风险。这里提
|
很多安全运营团队常常被大量警报淹没,这严重影响了其工作效率,甚至使其对响应警报的能力产生怀疑和缺乏信心。企业组织在面对网络安全威胁时,应选择合适的警报管理工具,并实施分层管控措施,以抵御网络犯罪分子实施的攻击活动,并尽量降低风险。这里提供了一些可借鉴的做法。 考虑需要迅速干预 谷歌的网站可靠性工程师(SRE)团队负责监控、应急响应和容量规划等任务,通常实施一套警报/工单/日志系统,并根据需要做出迅速干预,对事件做出及时和必要的响应,从而尽量缓解警报过载。SRE团队有可能采取的行动方案包括:警报,如果人员到位,应立即干预并发送警报;工单,如果事件需要采取操作,但可以等到正常上班时间来处理,则可以提交工单;日志,如果不需要任何操作,事件被记入日志,便于以后诊断。 使用智能警报 很多情况下,安全人员会遇到这种情况:在凌晨收到通知,然后花一个小时试图弄清楚是怎么回事并解决问题。其实大可不必这样。可以使用智能警报来解决这一问题,它不仅可以提醒注意问题,还可以通过分析根本原因来提供解决方法。这种智能警报还提供有关事件的历史数据,使用户能够了解触发特定警报前后发生的情况。 分层安全架构的重要性 就纵深防御而言,采用一种涵盖物理控制、技术控制和管理控制的分层安全方法很重要。物理控制可以防止对IT系统(比如上锁的门)的物理访问。技术控制使用专用硬件或软件(比如防火墙设备或防病毒程序)保护网络系统或资源。管理控制包括针对员工的政策或程序,比如指示用户将敏感信息标记为机密信息等。 此外,安全人员还应该整合安全层,以保护网络的各个方面。其中:访问措施包括身份验证控制、生物特征识别、定时访问和VPN;工作站防御包括防病毒和反垃圾邮件软件;数据保护着眼于静态数据加密、散列、安全数据传输和加密备份;防火墙和入侵检测及预防系统属于边界防御;监控和预防涉及记录和审查网络活动、漏洞扫描器、沙盒和安全意识培训等方面。 企业用户在寻找安全解决方案时,应选择这样的解决方案:提供定期漏洞扫描、监控泄露的登录信息,并提供员工安全意识培训。为了确保高枕无忧,还要有一套业务连续性和灾难恢复(BCDR)工具。这样即使发生最糟糕的情况,也能够恢复组织的数据,并恢复正常的业务运营。 (编辑:大连站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐