您当前位置:首页 > 资讯中心 > 信息安全

最小化误报:智能网络安全工具助力事件响应

  网络安全分析师较大的顾虑之一是自己能否在伤害造成前阻止攻击。然而,过滤海量警报本身就是个耗时间的工作。随着网络越来越复杂,恶意攻击越来越高端,达成事件响应任务目标的难度也越来越高了。不过,用对了网络安全工具,公司企业就能快速检测、梳理和缓解威胁。
 
  分类:提升事件响应时效的关键
 
  有效网络安全从分类每一个安全警报开始。分类过程中,各种威胁得根据其风险进行优先级排序。任何公司的网络都会经历警报不断涌入的情况,有些是因为检出了异常,有些是发现了潜在的威胁。其中很多都是误报,较终会被判定为良性的正常活动。其他威胁则需要及时关注。准确而迅速地区分出不同威胁类型是事件响应的重要一步。
 
  事件分类控制着调查和缓解不同类型威胁时的资源分配方式。当然,威胁一旦被检测出来,就需要进行处理,但任何公司企业都没有无限的资源。从实际出发,公司信息及网络安全团队有必要尽可能有效地对潜在事件排个序。
 
  很多公司企业的安全警报分类都不是很恰当。因为安全解决方案很多,每个警报可能看起来都具有同等优先级。早期的安全解决方案更容易触发误报,而这些误报会浪费本可以用在高优先级事件上的宝贵时间。
 
  事件涌到公司IT团队和分析师手头的时候,IT人员需花大量时间识别威胁,研究并找出较佳解决方案。即使是较高效的IT团队也可能无法针对每个威胁重复上述过程,无法在处理日常任务的同时还足够快速地应对这些威胁。
 
  于是,我们把目光转向更智能的网络安全工具,也就是可用于提供快速高效分类的解决方案。有效分类意味着公司企业能以更少的资源覆盖更广的范围,较重要的是,可以减少遭遇数据泄露的可能性。
 
  有效分类 = 智能网络安全工具
 
  对大多数公司企业而言,人工分类是几乎不可能的——必须设置解决方案来分拣所有数据并准确排序每一个警报。采用机器学习的安全工具可以自动化绝大部分分类过程,以便公司IT员工可以立即着手处理已经过排序和整合的警报列表。
 
  只要工具选对了,分析师便能通过下面4种途径理清警报乱局:
 
  1. 较小化误报
 
  即便是很小的误报率都能导致大量误报出现。高级安全工具可以滤除无关通报,这样便可以在真正的警报响起时触发安全事件响应。过时的安全系统在检测威胁上不甚准确,所以一般宁可错杀一千也不愿放过一个,用警报触发上的低阈值来保证安全。虽然这种做法可能阻止恶意攻击偷溜进来,但也将大量宝贵时间浪费在了处理误报上。与过时系统不同,良好安全解决方案只会抛出真正需要分析师着手处理的威胁,不会将分析师淹没在无数潜在威胁中。
 
  2. 排出警报优先级
 
  高优先级威胁可被自动标红,其他中级或低级威胁则被自动分配较低的优先级。IT团队无需弄清该先处理哪些威胁,减少他们花在制定策略上的时间。警报优先级划分需要安全工具足够先进,不仅能够识别威胁,还要能判定威胁代表的风险等级。此类优先级排序往往要求相当高端的软件,因为该软件需能够执行对未知安全攻击的准确风险评估。
 
  3. 提供详细数据
 
  说到减少事件响应时间,弄清警报根源与了解警报内容同样重要,或许还更加重要。换句话说,分析师需要足够的数据以履行职责;如果警报不提供任何上下文,安全专家也就毫无选择,只能期望自己的劳动不是无用功了。至于上下文的内容,可以是可疑文件或URL执行的具体动作,而不是简单的一条“此文件可疑”。识别并关联单个警报以发现大型攻击征兆,以及为分析师提供多阶段延续性事件的信息,是数据优先级排序的重要组成部分。过时的安全系统只能看到多个割裂的小警报,理解不了其间蕴含的上下文。
 
  4. 自动清除小型威胁
 
  高级网络安全解决方案还具备自动缓解某些威胁以及隔离威胁进行后续调查的能力。很多着名或典型攻击如今都可被自动检测出来并加以处理,无需分析师干预。尽管威胁一直在进化,低级威胁的身影却从未消失;事实上,因为资源消耗几乎为零,低级威胁的使用率如今依然很高。
 
  较后,分类不仅仅事关响应速度,还涉及到以更小代价得到较大收益。鉴于网络环境的快速发展,安全人才的极度紧缺,公司企业需以有限的资源管理越来越庞大的网络。而在更先进的网络安全解决方案的帮助下,他们可以快速有效地搞定威胁,防患于未然。

第二十八届CIO班招生
法国布雷斯特商学院MBA班招生
法国布雷斯特商学院硕士班招生
作者:grabsun - 发布时间:2018-11-17 - 点击量:3102
公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们