安全监控疲劳使组织面临风险

了解数据过载如何让安全专业人员濒临崩溃

当警报成为负担

安全专业人员往往是组织的第一道防线，但他们已经不堪重负。为什么？通常是因为数据过载。

由于要筛选大量警报（其中有些是不同工具中重复警报），他们难以了解如何识别并缓解对组织最关键和最紧迫的威胁。安全警报虽是出于好意，但最近一项研究发现，68% 的安全专业人员承认减少了特定警报功能的警报量，49% 的人员完全关闭了量大的警报。

放松这些安全规定减少了调查每个警报的工作量，但同时增加了安全漏洞和遭到破坏的可能性。这可能会导致灾难性后果；放过的警报可能导致数据泄露，推高攻击修复成本，或为进一步攻击打开大门。

IBM 在《2021 年数据泄露成本》报告中指出，已经需要花费约 212 天才能发现泄漏，另外还需要 75 天来控制泄漏。若不解决这一问题，这些数字只可能越来越大。

安全团队为何不堪重负

安全专业人员疲惫不堪的关键原因有两点。第一点，许多组织已经部分或全部迁移到云计算。这种混合基础设施在配置、管理和防范一些日益增长的威胁时可能会很复杂。而且，并非所有安全产品都适用于本地和云环境，企业不得不采用额外的解决方案来保护其用户和数据。

第二点，随着组织继续在堆栈中添加安全产品，这些解决方案会收集更多监测数据。这些数据对于了解和缓解组织面临的威胁至关重要，但可能导致需要解析大量数据。

此外，警报监测疲劳还因其他几个因素变得更加复杂：

误报

在 Ponemon Institute 开展的调查中，受访者指出，误报率达 20%-50%，因此安全人员无法准确了解组织面临的威胁。

不同安全工具可能相互隔离，或发送重复的警报

点产品不能共同合作，无法简化发送的数据量和质量，评估组织的安全态势和分析出现的威胁时可能会更加困难。传统的安全监测工具无论是在主机、系统、应用程序还是网络层面运营，往往都过度依赖手动处理来跟踪和解决事件，而许多云安全工具并非专为混合环境的这种规模或复杂性而构建。

数据日志缺乏上下文和高级功能

日志通常隔离在不同的硬件和软件中，不能提供考虑到组织的整个基础设施的上下文。攻击识别和补救可能不仅费时，而且极具挑战，因为需要筛选大量技术数据。

全都很重要，即全都不重要

使用错误的工具集时，每个事件都要求优先处理，结果安全人员必须手动识别最紧迫的威胁，因而不堪重负。正确的工具集应该让安全策略自动为收到的数据确定优先级，从而能够识别攻击模式和组织内其他安全风险的变化，不浪费宝贵的时间或资源。

当安全性变得令人疲惫不堪，无法跟上警报、解析日志数据和管理监测工具时，组织的风险就会增大。

降低安全监测疲劳的风险

抗击安全监测疲劳需要的不是采用“完美”的安全工具，而是需要重新考虑网络安全性。

利用单一控制平面，而非杂乱无章的单点解决方案（并非为整合、剔除重复警报或提供全面可见性而设计的解决方案），安全人员将能轻松管理其安全和监测工具。通过在同一地方管理威胁检测和缓解能力，组织可以修补安全漏洞，并获得更高的可见性和控制权。

还可通过以下策略进一步提高威胁检测能力：

改进日志和机器学习模型

当安全人员能简明清晰地描绘组织所面临的威胁时，日志记录最为实用。团队可以通过实现以下一个或多个功能来增强日志数据。

• AI 驱动的事件和根本原因分析：注意事件发生前、发生时和发生后的情况

• 预测分析：识别基础设施中的脆弱区域，并应在事件发生前先行解决

• 网络检测和响应：消除开发运营、微服务和 API 集成之间的孤岛，全面了解数据安全生命周期。

• 行为基线：将预期与意外的行动和行为编成目录

更好地利用自动化

威胁检测过程中有些环节将需要手动输入。但尽可能将流程自动化（最理想的情况是战术性、可重复的调查和分析步骤）可以减少安全工具检测威胁时的整体工作量。例如，为扫描端点设备或电子邮件账户建立一个自动化的工作流程，比每次都从头开始设置扫描要快。

定期审核安全工具

定期审核和精简现有的安全监测工具，确保它们正常运行。

组织不必降低安全标准，可以通过将安全工具集成到一个平台上来降低网络复杂性。这将增强组织的安全态势，消除安全漏洞，为安全专业人员提供一个更加有利的环境，让他们专注于关键威胁。

利用 Cloudflare 消除安全监测疲劳

利用 Zero Trust 网络即服务平台 Cloudflare One 整合基本的安全服务，并从网络边缘进行部署。Cloudflare 的单一仪表板可以轻松地配置和管理可视化分析、详细日志和量身定制的通知，让安全团队能够了解新兴威胁。

Cloudflare 构建在一个庞大的全球网络上，利用数百万处设施的情报来更好地识别和减轻威胁，为组织提供原生集成的安全性，而且随着 Cloudflare 网络规模增大，组织安全性将不断提升。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

关键要点

• 为什么 68% 的安全专家都在减少安全警报

• 安全点产品如何导致数据过载和人员过劳

• 缓解安全监测疲劳的建议

相关资源

• Zero Trust 安全实施路线图

• ZTNA、SASE，还有现在的 SSE——从何处入手？

• 如何防范浏览器供应链攻击

• 使用 Cloudflare 管理攻击面