咨詢熱線

0714-6528-788

幫助企業(yè)信息化建設(shè) 推動企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展

集研發(fā)、生產(chǎn)、銷售、服務(wù)為一體的數(shù)字化技術(shù)項目建設(shè)的科技型企業(yè)

MORE +

計算機(jī)信息化基礎(chǔ)設(shè)施建設(shè)

集研發(fā)、生產(chǎn)、銷售、服務(wù)為一體的數(shù)字化技術(shù)項目建設(shè)的科技型企業(yè)

MORE +

數(shù)字技術(shù)應(yīng)用創(chuàng)新人工智能+機(jī)器人的市場應(yīng)用及推廣

集研發(fā)、生產(chǎn)、銷售、服務(wù)為一體的數(shù)字化技術(shù)項目建設(shè)的科技型企業(yè)

MORE +

云新，和我們一起共創(chuàng)未來！

集研發(fā)、生產(chǎn)、銷售、服務(wù)為一體的數(shù)字化技術(shù)項目建設(shè)的科技型企業(yè)

MORE +

scroll down

首頁

公司新聞

黨建新聞

行業(yè)動態(tài)新聞

優(yōu)化安防監(jiān)控系統(tǒng)的三個有效技巧

2023-07-29

中秋和國慶馬上就要到來，我相信大多數(shù)人最頭疼的是一件事就是假期回來工作時，發(fā)現(xiàn)安防監(jiān)控系統(tǒng)上有數(shù)千個事件，是不是感到頭疼，倍感壓力山大。

但無論是何原由，你都必須要在安防監(jiān)控系統(tǒng)里將大量的事件中篩選出哪些需要是高優(yōu)先級事件，哪些不是。

安防監(jiān)控系統(tǒng)

本文中，我們主要基于真實(shí)環(huán)境提出三種可解決此問題的有效方法。

一、真正有價值的事件

安防監(jiān)控系統(tǒng)的最大問題就是哪些異常會引發(fā)事件。作為安全運(yùn)營團(tuán)隊面臨的挑戰(zhàn)之一是要從眾多事件中找出相關(guān)且有意義的事件，而這事件中混雜著太多誤報。在解決這一問題前，就是要明白該如何定義一個事件，當(dāng)然，需要根據(jù)安防監(jiān)控系統(tǒng)所屬領(lǐng)域來定義。在實(shí)際決策中，首先需要非常了解專業(yè)領(lǐng)域，然后使用復(fù)雜算法，來找到真正的目標(biāo)。

例如，在內(nèi)部威脅領(lǐng)域，安防監(jiān)控系統(tǒng)可識別出某一用戶是首次進(jìn)行數(shù)據(jù)庫操作。但由于之前沒發(fā)生過此類操作，因此會被視為異常，但這就是真正的安全事件了嗎？為了回答這個疑問，我們需將用戶和數(shù)據(jù)庫進(jìn)行分類，以及將二者進(jìn)行關(guān)聯(lián)分析。這樣才能讓你對整個事件有深入的了解，而不是僅僅停留在表面。

二、事件分組

一旦識別出真正有價值的事件，可基于事件描述的具體場景進(jìn)行分組，降低事件數(shù)量，使安全工程師可對同類事件整體處理。盡管每個單一事件可能是有效的，但是當(dāng)事件按類別組合在一起，更多、更易于理解的說明信息顯示這些事件可以作為一個整體來處理，這樣可大幅提高處理效率。

三、兩類分組方式：

1. 按事件類型分組。例如：多個用戶濫用一個服務(wù)賬號。

這表示該服務(wù)賬號為某一群體所共用，這并不是一個好的做法?？赏ㄟ^調(diào)整賬號權(quán)限來解決此類問題。

2. 按事件描述內(nèi)容進(jìn)行分組。例如，某一用戶濫用特定的數(shù)據(jù)庫帳號、訪問了某些應(yīng)用數(shù)據(jù)表，并訪問了大量文件。這意味著該用戶可能會損害企業(yè)的數(shù)據(jù)。應(yīng)對用戶及其行為進(jìn)行評估。

根據(jù)Imperva CounterBreach的客戶數(shù)據(jù)示例，可以看到經(jīng)過分組，客戶需要處理的事件數(shù)量大幅減少。雖然事件在持續(xù)增加，但分組數(shù)量卻增加緩慢，直至不再新增分組。

東莞安防

圖1: 用13個分組取代了377個事件

事件優(yōu)先級評分

過去，安全事件優(yōu)先級劃分通常是通過將事件劃分為嚴(yán)重程度(嚴(yán)重、高、中、低)來完成。這種類型的分類并不能明確決定首先應(yīng)該做什么。假設(shè)有10起事件被歸類為嚴(yán)重事件。所有的事件必須立即處理，但首先應(yīng)該處理哪一起？

建議為各類事件設(shè)置優(yōu)先級評分制，分?jǐn)?shù)范圍為0至100。不同的事件和得分標(biāo)準(zhǔn)使用不同的計算方法，最后得出優(yōu)先級評分。

例如：“數(shù)據(jù)庫記錄訪問過多”事件的傳統(tǒng)優(yōu)先級為高，因為這種情況下可能意味著數(shù)據(jù)被盜。

當(dāng)這類事件同時發(fā)生兩筆，乍一看，應(yīng)按同一緊急程度處置，但這兩筆事件的優(yōu)先性真的是一樣嗎？

下面來看一下具體情況：

1. 一個用戶訪問了生產(chǎn)環(huán)境數(shù)據(jù)庫中的105000條記錄。

2. 一個用戶訪問了測試環(huán)境數(shù)據(jù)庫中的100000條記錄。

可以明確看出，第一筆事件的處理應(yīng)優(yōu)先于第二筆，因為它的危害性更大。

使用新的評分法后：

事件類型：數(shù)據(jù)庫記錄訪問過多：得70分

記錄的訪問數(shù)量> 100000 ：加+5分

生產(chǎn)環(huán)境數(shù)據(jù)庫：加+10分

根據(jù)上述算法，前述第一條事件的最終優(yōu)先級分?jǐn)?shù)為85分，而第二條事件的評分為70分。

支持分組評分

正確使用評分標(biāo)準(zhǔn)及分值，是決定事件處置順序與事件優(yōu)先級相比配的基本要素。但這需要對被監(jiān)控的對象有深入了解。

方法的使用

這幾種方法都可以減少所需處置的事件數(shù)量，但最好能同時應(yīng)用。

如上例所示，雖然真正有價值的事件數(shù)量仍然很多，特別是監(jiān)控范圍較廣的情況下。事件分組可極大的減少所需處理的事件數(shù)量。而設(shè)置優(yōu)先級評分，可以幫助了解哪類事件或哪組事件需要優(yōu)先處理。

安防監(jiān)控工程

結(jié)論：

安全是安防監(jiān)控系統(tǒng)是極重要的保護(hù)層，但當(dāng)各類事件數(shù)量過多，安防監(jiān)控系統(tǒng)變得難以管理并需要耗費(fèi)大量時間來處理這些事件，甚至可能無法使用而放棄安防監(jiān)控系統(tǒng)。專注于重要事件（真正有價值的事件），支持綜合分類（事件分組），定義明確優(yōu)先級（事件優(yōu)先級評分），提供更加快速、更加高效的事件調(diào)查解決方案，從而實(shí)現(xiàn)真正有效的監(jiān)控。

生態(tài)環(huán)境部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組會議召開

安防監(jiān)控行業(yè)跟蹤系列

2023

07-29

所屬分類：

行業(yè)動態(tài)新聞

相關(guān)資訊—

2023-07-29

習(xí)近平對網(wǎng)絡(luò)安全和信息化工作作出重要指示強(qiáng)調(diào)深入貫徹黨中央關(guān)于網(wǎng)絡(luò)強(qiáng)國的重要思想大力推動網(wǎng)信事業(yè)高質(zhì)量發(fā)展蔡奇出席全國網(wǎng)絡(luò)安全和信息化工作會議并講話丁薛祥出席會議

2023-07-29

生態(tài)環(huán)境部網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組會議召開