Hướng dẫn: Cảnh báo quá tải và xử lý cho các nhóm bảo mật CNTT tinh gọn

Nhóm bảo mật CNTT

Nghiên cứu đáng báo động cho thấy những căng thẳng và căng thẳng mà nhóm trung bình phải trải qua hàng ngày. Có tới 70% nhóm báo cáo cảm thấy choáng ngợp trước các cảnh báo bảo mật. Những cảnh báo đó đến với âm lượng lớn, tốc độ cao và cường độ cao đến mức chúng trở thành nguồn căng thẳng tột độ. Trên thực tế, cực đoan đến mức cuộc sống gia đình của người dân bị ảnh hưởng tiêu cực. Cảnh báo quá tải có hại cho những người làm việc trong lĩnh vực an ninh mạng. Nhưng điều đó thậm chí còn tồi tệ hơn đối với tất cả những ai phụ thuộc vào an ninh mạng.

Đây là một vấn đề lớn trong ngành, nhưng thậm chí ít người thừa nhận nó, chứ chưa nói đến việc giải quyết nó. Cynet nhằm mục đích khắc phục điều đó trong hướng dẫn này ( tại đây), bắt đầu bằng cách làm sáng tỏ nguyên nhân của vấn đề và toàn bộ hậu quả của nó, sau đó đưa ra một số cách mà các nhóm bảo mật tinh gọn có thể kéo các nhà phân tích của họ ra khỏi đại dương sai lầm tích cực và đưa chúng trở lại bờ. Nó bao gồm các mẹo về cách giảm cảnh báo bằng cách sử dụng tự động hóa và chia sẻ hướng dẫn cho các tổ chức đang cân nhắc thuê bên ngoài để phát hiện và phản hồi được quản lý (MDR) của họ. Hướng dẫn này cũng chia sẻ cách các nhóm bảo mật có thể gỡ bỏ web của các công cụ bảo mật cần thiết cho quá trình tự động hóa.

Xem tiếp:   Tin tặc Earth Lusca nhắm vào các mục tiêu có giá trị cao trong các lĩnh vực chính phủ và tư nhân

Giải quyết tình trạng quá tải cảnh báo

Các đội an ninh thuộc mọi quy mô cần giảm số lượng cảnh báo mà họ gặp phải và tinh chỉnh cách họ phản ứng với các cảnh báo để thực hiện hành động trước khi thiệt hại bắt đầu. Dưới đây là các chiến thuật được đề cập trong hướng dẫn mà các nhóm bảo mật, đặc biệt là các nhóm tinh gọn, có thể sử dụng để giảm và phản hồi hàng nghìn cảnh báo.

1 – Cân nhắc thuê ngoài cho MDR: Thuê ngoài phát hiện và phản hồi được quản lý (MDR) là một lựa chọn tốt nếu bạn cần mở rộng quy mô nhanh chóng và không có đủ nguồn lực. MDR có thể giúp giảm căng thẳng và trả lại thời gian cho nhóm của bạn. Một xem xét khác là chi phí. Bạn cũng sẽ cần đầu tư thời gian vào việc tìm kiếm một MDR phù hợp với doanh nghiệp của bạn. Như hướng dẫn cho thấy, thuê ngoài hoàn toàn có thể là một tài sản. Nhưng nó không bao giờ là một giải pháp hoàn chỉnh.

2 – Lập chiến lược giảm cảnh báo: Nó bắt đầu với chiến lược. Xem xét hiện có của bạn và đảm bảo rằng bạn đã tối ưu hóa cài đặt của chúng và các công cụ của bạn đã được hiệu chỉnh. Cuối cùng, vấn đề không phải là giảm cảnh báo quá nhiều mà là về cách bạn thiết lập nhóm của mình để phản hồi.

Xem tiếp:   Các nhà nghiên cứu tiết lộ các lỗ hổng chưa được khắc phục trong phần mềm Microsoft Teams

Ví dụ: tìm cách đẩy nhanh cách bạn điều tra các cảnh báo mà bạn không thể loại bỏ hoặc tổng hợp. Một cách là tương quan các cảnh báo với các hoạt động đã biết, như khi cài đặt bản vá theo kế hoạch sẽ vô hiệu hóa hàng loạt các công cụ bảo mật khi hệ thống tái chế. Bất cứ lúc nào, nhóm bảo mật cũng muốn biết rằng các công cụ bảo mật đang hoạt động ngoại tuyến, nhưng có một lời giải thích đơn giản trong quá trình vá lỗi. Việc hiệu chỉnh các công cụ để cảnh báo “yên tĩnh” trong các sự kiện đã biết hoặc thời gian đã lên lịch sẽ giúp nhóm an ninh có thêm thời gian để tập trung vào các trường hợp khẩn cấp thực tế.

3 – Giới thiệu phản hồi tự động: Ngay cả các nhóm bảo mật tốt nhất cũng có thể giải quyết các mối đe dọa nếu họ sử dụng tự động hóa. Tự động hóa cho phép các nhóm bảo mật phản hồi các cảnh báo trên quy mô một cách nhanh chóng. Nhưng một trong những thách thức lớn nhất với tự động hóa là biết cách thiết lập nó ngay từ đầu đúng cách.

Một trong những nhược điểm của phản hồi tự động mà chúng ta cần cố gắng tránh, xảy ra khi phản hồi tự động, đặc biệt là loại được thúc đẩy bởi học máy, chặn cả lưu lượng truy cập độc hại và hợp pháp. Những trường hợp không thể đoán trước này có thể gây phiền nhiễu cho nhóm bảo mật và cho người dùng trong toàn tổ chức. Các vấn đề cũng có thể khó hoàn tác nếu các hành động được thực hiện bởi tự động hóa không được ghi chép cẩn thận trong quá trình thực hiện. Hướng dẫn cũng đề xuất những cách mới để giải quyết vấn đề này.

Xem tiếp:   Bản vá lỗi của Cisco cho lỗ hổng RCE nghiêm trọng trong RCM dành cho phần mềm StarOS

4 – Sử dụng các công cụ hỗ trợ tự động hóa: Thiết lập tự động hóa không phải là ‘đi dạo trong công viên’ vì có rất nhiều giải pháp bảo mật và CNTT cần được tích hợp (ví dụ: IPS, NDR, EPP, tường lửa, lọc DNS, và hơn.). Điều quan trọng là bạn phải biết cách đặt tất cả những công cụ này vào một nơi – và hướng dẫn này đề xuất những cách mới để thực hiện điều đó.

Nếu bạn muốn tìm hiểu thêm và học cách dừng cảnh báo quá tải, hãy tải hướng dẫn tại đây.

.

Related Posts

Check Also

Lỗ hổng BMC nghiêm trọng ‘sự cố’ ảnh hưởng đến máy chủ QCT được sử dụng trong trung tâm dữ liệu

Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Công …