網(wǎng)絡(luò)安全分析師最大的顧慮之一是自己能否在傷害造成前阻止攻擊。然而，過濾海量警報(bào)本身就是個(gè)耗時(shí)間的工作。隨著網(wǎng)絡(luò)越來越復(fù)雜，惡意攻擊越來越高端，達(dá)成事件響應(yīng)任務(wù)目標(biāo)的難度也越來越高了。不過，用對了網(wǎng)絡(luò)安全工具，公司企業(yè)就能快速檢測、梳理和緩解威脅。

分類：提升事件響應(yīng)時(shí)效的關(guān)鍵

有效網(wǎng)絡(luò)安全從分類每一個(gè)安全警報(bào)開始。分類過程中，各種威脅得根據(jù)其風(fēng)險(xiǎn)進(jìn)行優(yōu)先級排序。任何公司的網(wǎng)絡(luò)都會(huì)經(jīng)歷警報(bào)不斷涌入的情況，有些是因?yàn)闄z出了異常，有些是發(fā)現(xiàn)了潛在的威脅。其中很多都是誤報(bào)，最終會(huì)被判定為良性的正?；顒?dòng)。其他威脅則需要及時(shí)關(guān)注。準(zhǔn)確而迅速地區(qū)分出不同威脅類型是事件響應(yīng)的重要一步。

事件分類控制著調(diào)查和緩解不同類型威脅時(shí)的資源分配方式。當(dāng)然，威脅一旦被檢測出來，就需要進(jìn)行處理，但任何公司企業(yè)都沒有無限的資源。從實(shí)際出發(fā)，公司信息及網(wǎng)絡(luò)安全團(tuán)隊(duì)有必要盡可能有效地對潛在事件排個(gè)序。

很多公司企業(yè)的安全警報(bào)分類都不是很恰當(dāng)。因?yàn)榘踩鉀Q方案很多，每個(gè)警報(bào)可能看起來都具有同等優(yōu)先級。早期的安全解決方案更容易觸發(fā)誤報(bào)，而這些誤報(bào)會(huì)浪費(fèi)本可以用在高優(yōu)先級事件上的寶貴時(shí)間。

事件涌到公司IT團(tuán)隊(duì)和分析師手頭的時(shí)候，IT人員需花大量時(shí)間識(shí)別威脅，研究并找出最佳解決方案。即使是最高效的IT團(tuán)隊(duì)也可能無法針對每個(gè)威脅重復(fù)上述過程，無法在處理日常任務(wù)的同時(shí)還足夠快速地應(yīng)對這些威脅。

于是，我們把目光轉(zhuǎn)向更智能的網(wǎng)絡(luò)安全工具，也就是可用于提供快速高效分類的解決方案。有效分類意味著公司企業(yè)能以更少的資源覆蓋更廣的范圍，最重要的是，可以減少遭遇數(shù)據(jù)泄露的可能性。

有效分類 = 智能網(wǎng)絡(luò)安全工具

對大多數(shù)公司企業(yè)而言，人工分類是幾乎不可能的——必須設(shè)置解決方案來分揀所有數(shù)據(jù)并準(zhǔn)確排序每一個(gè)警報(bào)。采用機(jī)器學(xué)習(xí)的安全工具可以自動(dòng)化絕大部分分類過程，以便公司IT員工可以立即著手處理已經(jīng)過排序和整合的警報(bào)列表。

只要工具選對了，分析師便能通過下面4種途徑理清警報(bào)亂局：

1. 最小化誤報(bào)

即便是很小的誤報(bào)率都能導(dǎo)致大量誤報(bào)出現(xiàn)。高級安全工具可以濾除無關(guān)通報(bào)，這樣便可以在真正的警報(bào)響起時(shí)觸發(fā)安全事件響應(yīng)。過時(shí)的安全系統(tǒng)在檢測威脅上不甚準(zhǔn)確，所以一般寧可錯(cuò)殺一千也不愿放過一個(gè)，用警報(bào)觸發(fā)上的低閾值來保證安全。雖然這種做法可能阻止惡意攻擊偷溜進(jìn)來，但也將大量寶貴時(shí)間浪費(fèi)在了處理誤報(bào)上。與過時(shí)系統(tǒng)不同，良好安全解決方案只會(huì)拋出真正需要分析師著手處理的威脅，不會(huì)將分析師淹沒在無數(shù)潛在威脅中。

2. 排出警報(bào)優(yōu)先級

高優(yōu)先級威脅可被自動(dòng)標(biāo)紅，其他中級或低級威脅則被自動(dòng)分配較低的優(yōu)先級。IT團(tuán)隊(duì)無需弄清該先處理哪些威脅，減少他們花在制定策略上的時(shí)間。警報(bào)優(yōu)先級劃分需要安全工具足夠先進(jìn)，不僅能夠識(shí)別威脅，還要能判定威脅代表的風(fēng)險(xiǎn)等級。此類優(yōu)先級排序往往要求相當(dāng)高端的軟件，因?yàn)樵撥浖枘軌驁?zhí)行對未知安全攻擊的準(zhǔn)確風(fēng)險(xiǎn)評估。

3. 提供詳細(xì)數(shù)據(jù)

說到減少事件響應(yīng)時(shí)間，弄清警報(bào)根源與了解警報(bào)內(nèi)容同樣重要，或許還更加重要。換句話說，分析師需要足夠的數(shù)據(jù)以履行職責(zé);如果警報(bào)不提供任何上下文，安全專家也就毫無選擇，只能期望自己的勞動(dòng)不是無用功了。至于上下文的內(nèi)容，可以是可疑文件或URL執(zhí)行的具體動(dòng)作，而不是簡單的一條“此文件可疑”。識(shí)別并關(guān)聯(lián)單個(gè)警報(bào)以發(fā)現(xiàn)大型攻擊征兆，以及為分析師提供多階段延續(xù)性事件的信息，是數(shù)據(jù)優(yōu)先級排序的重要組成部分。過時(shí)的安全系統(tǒng)只能看到多個(gè)割裂的小警報(bào)，理解不了其間蘊(yùn)含的上下文。

4. 自動(dòng)清除小型威脅

高級網(wǎng)絡(luò)安全解決方案還具備自動(dòng)緩解某些威脅以及隔離威脅進(jìn)行后續(xù)調(diào)查的能力。很多著名或典型攻擊如今都可被自動(dòng)檢測出來并加以處理，無需分析師干預(yù)。盡管威脅一直在進(jìn)化，低級威脅的身影卻從未消失;事實(shí)上，因?yàn)橘Y源消耗幾乎為零，低級威脅的使用率如今依然很高。

最后，分類不僅僅事關(guān)響應(yīng)速度，還涉及到以更小代價(jià)得到最大收益。鑒于網(wǎng)絡(luò)環(huán)境的快速發(fā)展，安全人才的極度緊缺，公司企業(yè)需以有限的資源管理越來越龐大的網(wǎng)絡(luò)。而在更先進(jìn)的網(wǎng)絡(luò)安全解決方案的幫助下，他們可以快速有效地搞定威脅，防患于未然。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】