安全专业人员往往是组织的第一道防线,但他们已经不堪重负。为什么?通常是因为数据过载。
由于要筛选大量警报(其中有些是不同工具中重复警 报),他们难以了解如何识别并缓解对组织最关键和最紧迫的威胁。安全警报虽是出于好意,但最近一项研究发现,68% 的安全专业人员承认减少了特定警报功能的警报量,49% 的人员完全关闭了量大的警报。
放松这些安全规定减少了调查每个警报的工作量,但同时增加了安全漏洞和遭到破坏的可能性。这可能会导致灾难性后果;放过的警报可能导致数据泄露,推高攻击修复成本,或为进一步攻击打开大门。
IBM 在《2021 年数据泄露成本》报告中指出,已经需要花费约 212 天才能发现泄漏,另外还需要 75 天来控制泄漏。若不解决这一问题,这些数字只可能越来越大。
安全专业人员疲惫不堪的关键原因有两点。第一点,许多组织已经部分或全部迁移到云计算。这种混合基础设施在配置、管理和防范一些日益增长的威胁时可能会很复杂。而且,并非所有安全产品都适用于本地和云环境,企业不得不采用额外的解决方案来保护其用户和数据。
第二点,随着组织继续在堆栈中添加安全产品,这些解决方案会收集更多监测数据。这些数据对于了解和缓解组织面临的威胁至关重要,但可能导致需要解析大量数据。
此外,警 报监测疲劳还因其他几个因素变得更加复杂:
在 Ponemon Institute 开展的调查中,受访者指出,误报率达 20%-50%,因此安全人员无法准确了解组织面临的威胁。
点产品不能共同合作,无法简化发送的数据量和质量,评估组织的安全态势和分析出现的威胁时可能会更加困难。传统的安全监测工具无论是在主机、系统、应用程序还是网络层面运营,往往都过度依赖手动处理来跟踪和解决事件,而许多云安全工具并非专为混合环境的这种规模或复杂性而构建。
日志通常隔离在不同的硬件和软件中,不能提供考虑到组织的整个基础设施的上下文。攻击识别和补救可能不仅费时,而且极具挑战,因为需要筛选大量技术数据。
使用错误的工具集时,每个事件都要求优先处理,结果安全人员必须手动识别最紧迫的威胁,因而不堪重负。正确的工具集应该让安全策略自动为收到的数据确定优先级,从而能够识别攻击模式和组织内其他安全风险的变化,不浪费宝贵的时间或资源。
当安全性变得令人疲惫不堪,无法跟上警报、解析日志数据和管理监测工具时,组织的风险就会增大。
抗击安全监测疲劳需要的不是采用“完美”的安全工具,而是需要重新考虑网络安全性。
利用单一控制平面,而非杂乱无章的单点解决方案(并非为整合、剔除重复警报或提供全面可见性而设计的解决方案),安全人员将能轻松管理其安全和监测工具。通过在同一地方管理威胁检测和缓解能力,组织可以修补安全漏洞,并获得更高的可见性和控制权。
还可通过以下策略进一步提高威胁检测能力:
当安全人员能简明清晰地描绘组织所面临的威胁时,日志记录最为实用。团队可以通过实现以下一个或多个功能来增强日志数据。
AI 驱动的事件和根本原因分析:注意事件发生前、发生时和发生后的情况
预测分析:识别基础设施中的脆弱区域,并应在事件发生前先行解决
网络检测和响应:消除开发运营、微服务和 API 集成之间的孤岛,全面了解数据安全生命周 期。
行为基线:将预期与意外的行动和行为编成目录
威胁检测过程中有些环节将需要手动输入。但尽可能将流程自动化(最理想的情况是战术性、可重复的调查和分析步骤)可以减少安全工具检测威胁时的整体工作量。例如,为扫描端点设备或电子邮件账户建立一个自动化的工作流程,比每次都从头开始设置扫描要快。
定期审核和精简现有的安全监测工具,确保它们正常运行。
组织不必降低安全标准,可以通过将安全工具集成到一个平台上来降低网络复杂性。这将增强组织的安全态势,消除安全漏洞,为安全专业人员提供一个更加有利的环境,让他们专注于关键威胁。
利用 Zero Trust 网络即服务平台 Cloudflare One 整合基本的安全服务,并从网络边缘进行部署。Cloudflare 的单一仪表板可以轻松地配置和管理可视化分析、详细日志和量身定制的通知,让安全团队能够了解新兴威胁。
Cloudflare 构建在一个庞大的全球网络上,利用数百万处设施的情报来更好地识别和减轻威胁,为组织提 供原生集成的安全性,而且随着 Cloudflare 网络规模增大,组织安全性将不断提升。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
为什么 68% 的安全专家都在减少安全警报
安全点产品如何导致数据过载和人员过劳
缓解安全监测疲劳的建议
重复警报和监测是 Zero Trust 安全的一个重要方面。要了解如何将它们融入更大范围的 Zero Trust 转型,请获取 Zero Trust 安全路线图白皮书。