每天面临大量安全风险的企业都严重依赖检测技术来评估和与现有威胁环境一起工作。但是,由于存在误报,跟上该问题仍然是一项艰巨的任务。尽管公司在招募托管安全服务和IT安全专业人员方面可以花很多钱,但应对误报的增加对确定实际的网络安全威胁至关重要。
了解“误报”
误报表示加剧的网络安全活动,被错误地识别为潜在危险活动。任何被检测为恶意和异常的非威胁性和正常活动都属于“误报”类别。错误地将某物检测为威胁可能听起来很正常,但继续检测和频繁的错误警报可能会损害组织的幸福感。
安全专业人员通常每天调查数千个警报。因此,任何允许误报的规则都将浪费大量宝贵的时间。而且,如果专业人士和分析人员花费太多时间评估伪造的结果,那么他们很难集中精力进行合法的推论,因此实际的威胁常常会被忽略。
误报:评估陷阱
误报的发生率不容忽视。根据Ponemon Institute发布的报告,一个组织平均每周收到大约17,000条警报。其中只有19%被认为是合法的,值得研究。在财务方面,大多数企业每年花费约130万美元来调查虚假警报。反过来,这意味着浪费时间达21,000小时。
随着分析师对虚假警报的重视程度过高,需要处理许多问题。如果可以相信网络安全趋势,与这些企业相关的预防工具通常会漏掉40%的实际恶意软件威胁。而且,由于误报的扩散,安全专业人员只能调查威胁量的4%。根据全球调查,安全专家认为,误报会加剧恶意软件感染的严重性。最后,只有41%的组织拥有可用来捕获恶意软件威胁和其他恶意意图的自动化工具。
安全团队通常很难将实际威胁与虚假警报区分开来。由于有大量数据可用于评估,因此分析师很难确定威胁的严重性和严重性。误报会给企业带来巨大的财务影响,而且其长期安全专家也开始实施消除此类错误的策略。
减轻误报
在处理误报突然增加的问题时,自动化可以是一个不错的应急计划。有了自动化工具,任何组织都可以有选择地分析和识别对其框架的威胁。自动化工具通过仅识别实际问题并阻止不重要的问题来保存与企业同义的大多数宝贵资源。因此,关键在于拥有正确的“威胁缓解”工具,该工具可以使组织对潜在的网络安全威胁做出完美的响应。自动化工具或资产允许实时威胁检测,而不必专注于不断发展的规则集的复杂性。这样,公司就可以不再担心误报,而开始专注于消除实际威胁。
除此之外,组织还可以轻松地灌装应用程序白名单,Web内容过滤,服务器应用程序强化和TLS加密之类的功能,以及自动控制功能,以防止伪造的警报。最后,所有操作都与禁用选定的本地管理员帐户有关,这些帐户标识出更多的误报。选择网络分段的公司在减轻误报方面效果更好,因为它们限制了与威胁检测技术相关的某些管理特权。
底线
威胁缓解恰巧是一个复杂的过程,即使是经验最丰富的安全团队也很难将实际威胁与恶作剧区分开。但是,某些托管安全服务提供商(例如Seqrite)提供可靠的威胁缓解产品,用于自动识别和阻止恶意活动。掌控自动化是一种最大程度地减少误报带来的不利影响的极好方法,使企业可以专注于实际的和严峻的网络安全问题。
作为您企业的IT安全合作伙伴, 序列 提供针对高级网络威胁的全面端点安全。要了解更多信息,请访问我们的 网站 or
没意见