应急响应之警报过载和处理

令人震惊的研究揭示了网络安全团队每天所经历的压力和压力。多达70%的团队报告称，安全警报让他们情绪失控。这些警报以如此高的音量、速度和强度发出，以至于它们成为了一个极端的压力源。事实上，极端到人们的家庭生活受到负面影响。警报超载对网络安全工作人员不利。但对所有依赖网络安全的人来说，情况更糟。

这在业内是一个巨大的问题，但很少有人承认这一点，更不用说处理它了。Cynet旨在纠正本指南（此处下载）中的这一点，首先阐明问题的原因及其后果的全部程度，然后提供一些方法，让精益安全团队将分析师从误报的海洋中拉出来，并让他们回到岸边。它包括关于如何使用自动化减少警报的提示，并为正在考虑外包其托管检测和响应（MDR）的组织分享指导。该指南还分享了安全团队如何定义自动化所需的安全工具网络。

解决警报过载问题

各种规模的安全团队都需要减少他们遇到的警报数量，改进他们对警报的响应方式，以便在损害开始之前采取行动。以下是本指南中涵盖的策略，安全团队，尤其是精益团队，可以使用这些策略来减少和响应成千上万的警报。

1 —考虑外包给MDR：如果您需要快速扩展并且没有资源，那么外包托管检测和响应（MDR）是一个不错的选择。MDR有助于减轻压力，给团队时间。另一个考虑因素是成本。你还需要投入时间寻找适合你业务的MDR。正如指南所示，外包绝对是一种资产。但这永远不是一个完整的解决方案。

2 — 制定减少警报的策略：它从战略开始。看看你现有的技术，确保你已经优化了他们的设置，并校准了你的工具。归根结底，与其说是减少警报，不如说是你如何安排团队做出响应。

例如，找到方法加快调查无法消除或聚合的警报。一种方法是将警报与已知活动关联起来，比如当系统回收时，计划中的补丁安装会大量禁用安全工具。其他任何时候，安全团队都想知道安全工具正在脱机，但在修补过程中有一个简单的解释。校准工具，以便在已知事件或计划时间内“消除”警报，将使安全团队有更多时间专注于实际紧急情况。

3 — 引入自动响应：即使是最精简的安全团队，如果使用自动化，也可以应对威胁。自动化使安全团队能够快速响应大规模警报。但是自动化最大的挑战之一是知道如何正确地设置它。

我们需要尽量避免的自动响应的一个缺点是，当自动响应，尤其是由机器学习驱动的自动响应，阻止恶意和合法通信时，就会发生这种情况。这些不可预测的实例可能会让安全团队和整个组织的用户感到恼火。如果自动化所采取的行动没有被仔细记录下来，那么问题也很难解决。该指南还提出了解决这个问题的新方法。

4 — 使用有助于自动化的工具：由于需要集成大量的安全和IT解决方案（例如，IPS、NDR、EPP、防火墙、DNS过滤等），设置自动化并不是“一蹴而就”。关键是要知道如何将所有这些工具放在一个地方–；该指南提出了实现这一点的新方法。