9.4 處理IDPS報警

9.4.1 總則

IDPS通常會產生大量報警， 需要對其全面分析， 以區分其中有價值的報警和無價值的報警。報警信息主要包含檢測到的攻擊的簡明摘要，主要包括：

– 檢測到攻擊的時間或日期；

– 檢測到攻擊的傳感器IP地址；

– 供應商特定的攻擊名稱；

– 標準的攻擊名稱(如果存在)；

– 源和目的IP地址；

– 源和目的端口號；

– 攻擊利用的網絡協議。

此外， 一些IDPS提供了所利用攻擊方法的通用詳細信息， 其允許操作人員評估攻擊的嚴重程度，主要包含：

– 攻擊的描述；

– 攻擊的嚴重性等級；

– 由攻擊造成的損失類型；

– 攻擊利用的脆弱性類型：

– 易受到攻擊的軟件的類型列表及版本號列表；

– 相關補丁列表；

– 可公開通報的參考信息，內含攻擊或脆弱性的詳細信息。

9.4.2 信息安全事件響應團隊(ISIRT)

組織內部需配備信息安全事件響應團隊(IS IRT) ， 以響應報警。IS IRT需規劃建立安全事件(如病毒、系統的內部誤用及其他類型的攻擊)處理的相關規程，主要給出發生信息安全事件時要采取的行動，并為人員培訓建立時間表，就信息事件處理過程中人員的職責進行培訓。安全事件報告和處理的更多信息見GB/T20985.1-2017。

9.4.3 外包

安全服務供應商除了提供IDPS產品外， 還提供IDPS托管服務， 包括提供咨詢服務及提供運行中心管理服務。許多組織選擇將一些支持類服務(如安全服務)托管給服務供應商，從而不必培訓和保留具備專業技能的人員。當組織將其IDPS服務托管給安全服務商時， 需確定經濟上是否可行， 以及安全服務商在保持機密性的同時是否提供適當的支持。與IDPS安全服務供應商合作需注意如下內容：

– 提供何種保密協議；

– IDPS監視人員具備的資格；

– 監督人員具備的資格；

– 服務提供商和組織內部安全人員之間的聯絡和溝通安排；

– 供應商是否可以提供緊急響應服務，以補充組織的能力；

– 供應商是否提供取證調查服務；

– 供應商是否提供服務級別協議(SLA) ；

– 哪些報告可供選擇，它們是否能根據組織的需求定制；

– 是否能為組織定制檢測策略，或者是否必須使用供應商預設的檢測策略；

– 為了執行這些協議，采取的技術措施；

– 服務提供方人員采取的安全審查程序。

服務級別協議SLA主要包括：

– 定期(如每日、每周等)報告的內容；

– 響應時間的指標；

– 發生攻擊時的通報機制(如電子郵件、呼叫器、短消息系統、多媒體系統、電話等)；

– 事件追蹤和管理程序；

– 保密和非公開協議。

優點：

– 同等花費下.相對組織自己提供服務，托管安全服務提供方可提供更高級別的安全；

– 通常花費更少的成本，可更快、更有效地實現7×24h能力；

– 由于許多托管安全服務提供方可訪問來自不同客戶的信息，他們能夠更好的處理可疑活動并識別攻擊；

– 減少將有效IDPS規程集成在一起所需要的時間， 以及重復所有實施細節所需的時間；

– 無需對員工提供最新IDPS工具和能力的持續專業培訓(盡管需要了解IDPS能力) 。

缺點：

– 需監視和審計外包方，使其符合安全要求、限制和策略；

– 可能向第三方暴露敏感信息；

– 如果實施不當可能會比內部支持成本更高；

– 能剝奪對敏感數據的控制。