我相信大多數人最頭疼的是一件事就是假期回來工作時，發現安防監控系統上有數千個事件，是不是感到頭疼，倍感壓力山大。

但無(wu)論(lun)是(shi)何(he)原由，你都(dou)必須(xu)要在安防(fang)監控系統里將(jiang)大量(liang)的事(shi)件中篩選出哪些需要是(shi)高優先級事(shi)件，哪些不是(shi)。

上海安防系統

本文(wen)中，我(wo)們主要基于(yu)真實環境提出三種可解決此問題的(de)有效方法。

一、真正有價(jia)值的事件

安防監控系(xi)統的(de)最大問題(ti)就是(shi)(shi)哪些異常會引發事(shi)(shi)件(jian)(jian)。作為(wei)安全運營團隊面臨(lin)的(de)挑戰之一是(shi)(shi)要(yao)從(cong)眾多事(shi)(shi)件(jian)(jian)中找出(chu)相關且有意義(yi)的(de)事(shi)(shi)件(jian)(jian)，而(er)這事(shi)(shi)件(jian)(jian)中混雜著太多誤報。在解決(jue)這一問題(ti)前，就是(shi)(shi)要(yao)明白該(gai)如何(he)定義(yi)一個事(shi)(shi)件(jian)(jian)，當然(ran)，需(xu)要(yao)根據安防監控系(xi)統所(suo)屬(shu)領域(yu)來定義(yi)。在實際決(jue)策(ce)中，首先需(xu)要(yao)非(fei)常了解專(zhuan)業(ye)領域(yu)，然(ran)后使(shi)用復(fu)雜算法，來找到真正的(de)目標(biao)。

例如，在(zai)內部威脅領域，安防監控系統可識別(bie)出某一用戶是(shi)(shi)首次進行(xing)數(shu)(shu)據庫(ku)操作。但由于之(zhi)前沒發生過(guo)此(ci)類操作，因此(ci)會(hui)被視為異常，但這(zhe)就是(shi)(shi)真(zhen)正的安全(quan)事件了嗎？為了回答這(zhe)個(ge)(ge)疑(yi)問，我們需將用戶和數(shu)(shu)據庫(ku)進行(xing)分類，以及將二者進行(xing)關聯分析。這(zhe)樣才能(neng)讓你(ni)對(dui)整個(ge)(ge)事件有深入的了解，而(er)不是(shi)(shi)僅僅停留在(zai)表(biao)面(mian)。

二、事件分組

一旦識別(bie)出真正有價值的(de)事(shi)(shi)(shi)件(jian)(jian)，可(ke)基(ji)于事(shi)(shi)(shi)件(jian)(jian)描述的(de)具(ju)體(ti)場景(jing)進行分(fen)組(zu)，降低事(shi)(shi)(shi)件(jian)(jian)數量，使安全工程師可(ke)對同類事(shi)(shi)(shi)件(jian)(jian)整(zheng)(zheng)體(ti)處理(li)。盡管每個單一事(shi)(shi)(shi)件(jian)(jian)可(ke)能是有效的(de)，但(dan)是當事(shi)(shi)(shi)件(jian)(jian)按類別(bie)組(zu)合在一起，更(geng)多(duo)、更(geng)易(yi)于理(li)解的(de)說明信(xin)息顯示這些事(shi)(shi)(shi)件(jian)(jian)可(ke)以作為(wei)一個整(zheng)(zheng)體(ti)來(lai)處理(li)，這樣可(ke)大幅提高處理(li)效率。

三、兩類分組方式：

1. 按事件(jian)類型分組。例如：多個用(yong)戶濫用(yong)一(yi)個服務(wu)賬號。

這表(biao)示該(gai)服務賬號(hao)為某一群(qun)體所共用，這并不是一個(ge)好的做法。可通(tong)過調整(zheng)賬號(hao)權限來解決此(ci)類問題。

2. 按事件(jian)描述內容進行分(fen)組。例(li)如，某一用戶(hu)濫用特定的數據(ju)庫帳號、訪(fang)問(wen)了(le)某些(xie)應(ying)用數據(ju)表(biao)，并訪(fang)問(wen)了(le)大(da)量文(wen)件(jian)。這(zhe)意(yi)味(wei)著(zhu)該用戶(hu)可能會損(sun)害企業的數據(ju)。應(ying)對用戶(hu)及其行為進行評估。

根據(ju)Imperva CounterBreach的客戶數(shu)據(ju)示例，可以看到(dao)經過分組，客戶需要處理的事件數(shu)量大幅減少(shao)。雖然事件在持續增加，但分組數(shu)量卻增加緩慢，直至不再(zai)新增分組。

圖(tu)1: 用13個分(fen)組取代了(le)377個事件

事件優先級評分

過(guo)去(qu)，安全事(shi)(shi)件(jian)優先級劃分通常是(shi)通過(guo)將事(shi)(shi)件(jian)劃分為嚴重程度(嚴重、高、中、低)來完成。這(zhe)種類(lei)型的分類(lei)并(bing)不能(neng)明(ming)確決(jue)定首(shou)(shou)先應該做什么。假(jia)設有(you)(you)10起(qi)事(shi)(shi)件(jian)被(bei)歸類(lei)為嚴重事(shi)(shi)件(jian)。所(suo)有(you)(you)的事(shi)(shi)件(jian)必須立即處理，但(dan)首(shou)(shou)先應該處理哪一起(qi)？

建議為(wei)(wei)各類(lei)事件(jian)設(she)置優先(xian)級評(ping)分制，分數范圍為(wei)(wei)0至100。不同的事件(jian)和得(de)分標準使(shi)用不同的計算方法，最后得(de)出優先(xian)級評(ping)分。

例如：“數據庫記錄(lu)訪問(wen)過多(duo)”事(shi)件的傳統(tong)優先級為(wei)(wei)高(gao)，因為(wei)(wei)這種情況(kuang)下可能意(yi)味著數據被盜。

當這類(lei)事件同時(shi)發生兩筆，乍一(yi)看，應(ying)按同一(yi)緊急程度(du)處置，但這兩筆事件的優先性真的是一(yi)樣嗎？

下(xia)面來看一下(xia)具體情況：

1. 一個(ge)用戶訪問了生產(chan)環(huan)境數據庫中(zhong)的105000條記錄(lu)。

2. 一個用(yong)戶訪問了測試環境數(shu)據庫中的(de)100000條記錄。

可以(yi)明確看出，第一筆事件的處(chu)理(li)應優先于第二筆，因為它的危害性更大(da)。

使用新的評分法后：

事(shi)件類(lei)型：數據庫記錄訪(fang)問過(guo)多：得70分

記錄的訪(fang)問(wen)數量(liang)> 100000 ：加+5分

生產環境數據(ju)庫：加+10分

根據(ju)上述算法，前述第一條事(shi)件的最(zui)終優先級分數為85分，而(er)第二(er)條事(shi)件的評分為70分。

支持分組評分

正確使用評(ping)分標準及分值，是(shi)決(jue)定事件(jian)(jian)處置順序(xu)與事件(jian)(jian)優先級相比配(pei)的基本要素。但這需(xu)要對被監控的對象有(you)深入了解。

方法的使用

這幾種方法都(dou)可(ke)以(yi)減(jian)少(shao)所需處(chu)置的事(shi)件數量，但最(zui)好能同時應用。

如上例所示(shi)，雖然真正有(you)價值的(de)事件(jian)數(shu)量仍然很多(duo)，特(te)別是監控范圍較廣的(de)情況(kuang)下。事件(jian)分(fen)組可極大(da)的(de)減少所需處理(li)(li)的(de)事件(jian)數(shu)量。而設置優(you)先級評(ping)分(fen)，可以幫助了解哪類事件(jian)或哪組事件(jian)需要優(you)先處理(li)(li)。

上海安防監控工程

結論：

安(an)全是(shi)安(an)防(fang)監(jian)控(kong)系統(tong)是(shi)極(ji)重要(yao)(yao)的(de)保護層，但當各類(lei)事件(jian)數量過(guo)多，安(an)防(fang)監(jian)控(kong)系統(tong)變得難以管(guan)理(li)(li)并需(xu)要(yao)(yao)耗費(fei)大(da)量時間(jian)來處理(li)(li)這(zhe)些事件(jian)，甚至可能無法使(shi)用而放棄(qi)安(an)防(fang)監(jian)控(kong)系統(tong)。專注于重要(yao)(yao)事件(jian)（真(zhen)正有價值(zhi)的(de)事件(jian)），支持(chi)綜(zong)合分(fen)類(lei)（事件(jian)分(fen)組），定義明(ming)確優先(xian)級(ji)（事件(jian)優先(xian)級(ji)評分(fen)），提供更加(jia)(jia)快(kuai)速(su)、更加(jia)(jia)高(gao)效的(de)事件(jian)調查解決方案，從而實現真(zhen)正有效的(de)監(jian)控(kong)。