以分层管控措施缓解安全警报过载

很多安全运营团队常常被大量警报淹没，这严重影响了其工作效率，甚至使其对响应警报的能力产生怀疑和缺乏信心。企业组织在面对网络安全威胁时，应选择合适的警报管理工具，并实施分层管控措施，以抵御网络犯罪分子实施的攻击活动，并尽量降低风险。这里提供了一些可借鉴的做法。

关闭不需要的警报

防止警报疲劳的第一道防线是关闭不需要的警报，不过选择不接收哪些通知可能令人很头痛。最简单的方法之一是，查看警报日志，并关闭已证明是误报的通知。

考虑需要迅速干预

谷歌的网站可靠性工程师（SRE）团队负责监控、应急响应和容量规划等任务，通常实施一套警报/工单/日志系统，并根据需要做出迅速干预，对事件做出及时和必要的响应，从而尽量缓解警报过载。SRE团队有可能采取的行动方案包括：警报，如果人员到位，应立即干预并发送警报；工单，如果事件需要采取操作，但可以等到正常上班时间来处理，则可以提交工单；日志，如果不需要任何操作，事件被记入日志，便于以后诊断。

使用智能警报

很多情况下，安全人员会遇到这种情况：在凌晨收到通知，然后花一个小时试图弄清楚是怎么回事并解决问题。其实大可不必这样。可以使用智能警报来解决这一问题，它不仅可以提醒注意问题，还可以通过分析根本原因来提供解决方法。这种智能警报还提供有关事件的历史数据，使用户能够了解触发特定警报前后发生的情况。

确定警报优先级

并非所有警报都一样要紧，需要配置性能监控工具，确定警报优先级，以便只针对那些关键的事件发送警报。根据安全事件严重程度确定警报的优先级，可以消除由非威胁性事件通知带来的一些干扰警报。因此应专注于为那些可能会导致服务器宕机、严重损坏数据或大量数据丢失的问题设置警报。

除此之外，还可以通过运用特定阈值和规则来管理警报。定义性能阈值后，安全人员就不会收到通知，除非某个指标的值达到相应水平，比如当可用磁盘空间或可用物理内存处于很低的水平时，安全人员才会收到通知。这节省了技术人员的大部分时间，使他们可以不必持续监控指标。设定警报规则还可以让安全人员定制执行的操作，比如希望收到通知的频次。

分层安全架构的重要性

就纵深防御而言，采用一种涵盖物理控制、技术控制和管理控制的分层安全方法很重要。物理控制可以防止对IT系统（比如上锁的门）的物理访问。技术控制使用专用硬件或软件（比如防火墙设备或防病毒程序）保护网络系统或资源。管理控制包括针对员工的政策或程序，比如指示用户将敏感信息标记为机密信息等。

此外，安全人员还应该整合安全层，以保护网络的各个方面。其中：访问措施包括身份验证控制、生物特征识别、定时访问和VPN；工作站防御包括防病毒和反垃圾邮件软件；数据保护着眼于静态数据加密、散列、安全数据传输和加密备份；防火墙和入侵检测及预防系统属于边界防御；监控和预防涉及记录和审查网络活动、漏洞扫描器、沙盒和安全意识培训等方面。

企业用户在寻找安全解决方案时，应选择这样的解决方案：提供定期漏洞扫描、监控泄露的登录信息，并提供员工安全意识培训。为了确保高枕无忧，还要有一套业务连续性和灾难恢复（BCDR）工具。这样即使发生最糟糕的情况，也能够恢复组织的数据，并恢复正常的业务运营。