9.4 处理IDPS报警

9.4.1 总则

IDPS通常会产生大量报警， 需要对其全面分析， 以区分其中有价值的报警和无价值的报警。报警信息主要包含检测到的攻击的简明摘要，主要包括：

– 检测到攻击的时间或日期；

– 检测到攻击的传感器IP地址；

– 供应商特定的攻击名称；

– 标准的攻击名称(如果存在)；

– 源和目的IP地址；

– 源和目的端口号；

– 攻击利用的网络协议。

此外， 一些IDPS提供了所利用攻击方法的通用详细信息， 其允许操作人员评估攻击的严重程度，主要包含：

– 攻击的描述；

– 攻击的严重性等级；

– 由攻击造成的损失类型；

– 攻击利用的脆弱性类型：

– 易受到攻击的软件的类型列表及版本号列表；

– 相关补丁列表；

– 可公开通报的参考信息，内含攻击或脆弱性的详细信息。

9.4.2 信息安全事件响应团队(ISIRT)

组织内部需配备信息安全事件响应团队(IS IRT) ， 以响应报警。IS IRT需规划建立安全事件(如病毒、系统的内部误用及其他类型的攻击)处理的相关规程，主要给出发生信息安全事件时要采取的行动，并为人员培训建立时间表，就信息事件处理过程中人员的职责进行培训。安全事件报告和处理的更多信息见GB/T20985.1-2017。

9.4.3 外包

安全服务供应商除了提供IDPS产品外， 还提供IDPS托管服务， 包括提供咨询服务及提供运行中心管理服务。许多组织选择将一些支持类服务(如安全服务)托管给服务供应商，从而不必培训和保留具备专业技能的人员。当组织将其IDPS服务托管给安全服务商时， 需确定经济上是否可行， 以及安全服务商在保持机密性的同时是否提供适当的支持。与IDPS安全服务供应商合作需注意如下内容：

– 提供何种保密协议；

– IDPS监视人员具备的资格；

– 监督人员具备的资格；

– 服务提供商和组织内部安全人员之间的联络和沟通安排；

– 供应商是否可以提供紧急响应服务，以补充组织的能力；

– 供应商是否提供取证调查服务；

– 供应商是否提供服务级别协议(SLA) ；

– 哪些报告可供选择，它们是否能根据组织的需求定制；

– 是否能为组织定制检测策略，或者是否必须使用供应商预设的检测策略；

– 为了执行这些协议，采取的技术措施；

– 服务提供方人员采取的安全审查程序。

服务级别协议SLA主要包括：

– 定期(如每日、每周等)报告的内容；

– 响应时间的指标；

– 发生攻击时的通报机制(如电子邮件、呼叫器、短消息系统、多媒体系统、电话等)；

– 事件追踪和管理程序；

– 保密和非公开协议。

优点：

– 同等花费下.相对组织自己提供服务，托管安全服务提供方可提供更高级别的安全；

– 通常花费更少的成本，可更快、更有效地实现7×24h能力；

– 由于许多托管安全服务提供方可访问来自不同客户的信息，他们能够更好的处理可疑活动并识别攻击；

– 减少将有效IDPS规程集成在一起所需要的时间， 以及重复所有实施细节所需的时间；

– 无需对员工提供最新IDPS工具和能力的持续专业培训(尽管需要了解IDPS能力) 。

缺点：

– 需监视和审计外包方，使其符合安全要求、限制和策略；

– 可能向第三方暴露敏感信息；

– 如果实施不当可能会比内部支持成本更高；

– 能剥夺对敏感数据的控制。