多个网络安全解决方案并不能更好地确保网络安全,反而会产生大量错误警报,简化和合并是提高效率、准确性和整体安全性的最佳方法。

网络安全解决方案过多,出现错误警报怎么办?

现如今,每个组织都面临着被网络攻击的风险,而一次成功的攻击可能会导致严重的财务和声誉损失。因此,越来越多的企业投资了大量的工具和解决方案,以免受攻击。如今CISO和安全管理人员不再单纯注重购买更多的解决方案,而是专注于整合和简化安全堆栈。

第一代安全工具是单点解决方案,用于保护单个向量。组织往往会采购几十个这样的系统,并粗略地将它们组合在一起,创建一个补丁式的解决方案。但这样的解决方案过于谨慎,每当注意到不寻常的情况时就会发出警报,导致出现过多假警报,这对组织的安全和负责调查警报的人员来说都是负担。

例如,一个企业通常使用10到50种不同的安全工具,这些系统每周平均会发出17000个警报,且16%才是真实的警报,而安全团队必须对所有警报做出反应。调查这些误报大约要花费21000个小时,平均每年要花费100万英镑。由于单点解决方案的数据通常是孤立的,不能相互引用或提取,调查警报尤为复杂。CISO现在正在寻找一种方法来降低噪音,并提高整体安全态势的效率。各组织目前正在努力合理化安全解决方案,单点产品不再流行,组织需要更少的解决方案,并优先考虑那些减少错误警报、帮助分析人员识别真正威胁的解决方案。

行业该整合为三个核心层:日志收集和聚合层、身份和访问管理层以及网络威胁检测和响应层。网络威胁检测与响应层必须能够接入技术栈的每一层进行网络威胁检测和自主响应。这种方法能提供更高的准确性,减少误报,从而处理真正的威胁。安全解决方案越多,反而会导致更多的误报,从而让分析人员不堪重负。在日益混乱的环境中,简化和合并是提高效率、准确性和整体安全性的最佳方法。