以分層管控措施緩解安全警報過載

很多安全運營團隊常常被大量警報淹沒，這嚴重影響了其工作效率，甚至使其對響應警報的能力產生懷疑和缺乏信心。企業組織在面對網絡安全威脅時，應選擇合適的警報管理工具，并實施分層管控措施，以抵御網絡犯罪分子實施的攻擊活動，并盡量降低風險。這里提供了一些可借鑒的做法。

關閉不需要的警報

防止警報疲勞的第一道防線是關閉不需要的警報，不過選擇不接收哪些通知可能令人很頭痛。最簡單的方法之一是，查看警報日志，并關閉已證明是誤報的通知。

考慮需要迅速干預

谷歌的網站可靠性工程師（SRE）團隊負責監控、應急響應和容量規劃等任務，通常實施一套警報/工單/日志系統，并根據需要做出迅速干預，對事件做出及時和必要的響應，從而盡量緩解警報過載。SRE團隊有可能采取的行動方案包括：警報，如果人員到位，應立即干預并發送警報；工單，如果事件需要采取操作，但可以等到正常上班時間來處理，則可以提交工單；日志，如果不需要任何操作，事件被記入日志，便于以后診斷。

使用智能警報

很多情況下，安全人員會遇到這種情況：在凌晨收到通知，然后花一個小時試圖弄清楚是怎么回事并解決問題。其實大可不必這樣。可以使用智能警報來解決這一問題，它不僅可以提醒注意問題，還可以通過分析根本原因來提供解決方法。這種智能警報還提供有關事件的歷史數據，使用戶能夠了解觸發特定警報前后發生的情況。

確定警報優先級

并非所有警報都一樣要緊，需要配置性能監控工具，確定警報優先級，以便只針對那些關鍵的事件發送警報。根據安全事件嚴重程度確定警報的優先級，可以消除由非威脅性事件通知帶來的一些干擾警報。因此應專注于為那些可能會導致服務器宕機、嚴重損壞數據或大量數據丟失的問題設置警報。

除此之外，還可以通過運用特定閾值和規則來管理警報。定義性能閾值后，安全人員就不會收到通知，除非某個指標的值達到相應水平，比如當可用磁盤空間或可用物理內存處于很低的水平時，安全人員才會收到通知。這節省了技術人員的大部分時間，使他們可以不必持續監控指標。設定警報規則還可以讓安全人員定制執行的操作，比如希望收到通知的頻次。

分層安全架構的重要性

就縱深防御而言，采用一種涵蓋物理控制、技術控制和管理控制的分層安全方法很重要。物理控制可以防止對IT系統（比如上鎖的門）的物理訪問。技術控制使用專用硬件或軟件（比如防火墻設備或防病毒程序）保護網絡系統或資源。管理控制包括針對員工的政策或程序，比如指示用戶將敏感信息標記為機密信息等。

此外，安全人員還應該整合安全層，以保護網絡的各個方面。其中：訪問措施包括身份驗證控制、生物特征識別、定時訪問和VPN；工作站防御包括防病毒和反垃圾郵件軟件；數據保護著眼于靜態數據加密、散列、安全數據傳輸和加密備份；防火墻和入侵檢測及預防系統屬于邊界防御；監控和預防涉及記錄和審查網絡活動、漏洞掃描器、沙盒和安全意識培訓等方面。

企業用戶在尋找安全解決方案時，應選擇這樣的解決方案：提供定期漏洞掃描、監控泄露的登錄信息，并提供員工安全意識培訓。為了確保高枕無憂，還要有一套業務連續性和災難恢復（BCDR）工具。這樣即使發生最糟糕的情況，也能夠恢復組織的數據，并恢復正常的業務運營。