預防和檢測如日中天?資安事件響回應(Incident Response , IR)表示不服

原創 2016-11-22 Martin 安全牛

近些年,企業安全工作的關注點,一直聚焦在如何預防駭客攻擊。但是,頻發的大型跨國企業的資料洩露事件表明,即使是對網路安全更為重視,同時也投入了更多成本的金融業,也明白了無論做了怎樣的安全防護,遲早會被駭客成功入侵的道理。這已經成為了所有企業必須認清的事實。

因此,企業安全防護的重點,也隨之轉移到如何更快地發現安全問題,並及時針對這些安全事件,做出合理且有效的回應上。

事件回應(Incident Response)的發展現狀

很長時間以來,事件回應並不受安全廠商重視,而是作為產品的附加服務,通過少數售後工程師駐場的方式,與甲方的IT(安全)運維部門合作,解決在安全事件發生後相關產品的運維問題。

但是,事件回應流程本身的複雜性和多變形卻被嚴重低估。事件回應流程本身因企業的IT資產和遭遇的網路攻擊不同而多種多樣,流程的各步驟相互牽制,且要遵守企業不同所屬行業的資料安全標準和規範。這種相對低效且未經詳細整體籌畫的回應方式,在面對安全事件發生後,需要以秒為單位計算企業損失的情況下,不免有些過於無力。

為什麼要重視事件回應?Co3 Systems(在2015年初正式更名為Resilient Systems)的首席技術官布魯斯·施奈爾在2014年美國的黑帽大會的演講中談到,因為預防不可能做到完美,所以越來越多的企業如今正在加強事件回應能力。這其中的主要原因包括:已經失去了對計算環境的控制,很多防護機制無法實施;攻擊行為變得更加複雜,需要更多的回應措施;身不由己地被捲入其他人的安全攻防戰鬥;企業對安全防護和檢測措施從的投資往往不足。

事件響應目前所面臨的主要問題有兩點,一是我們仍無法實現完全的自動化,二是不能將人員從安全的迴圈中移除。我們應當採用工程化的手段,使得系統能夠支援回應迴圈中的人員執行關鍵任務。是技術來輔助人員,而不是反過來。

今年4月,IBM完成對Resilient Systems的收購,並以外掛程式的方式實現Resilient Systems的事件回應平臺與IBM QRadar的無縫整合。

Resilient Systems如何做事件回應

Resilient Systems的事件回應平臺(IRP)是一個將流程、人員和技術進行緊密整合的自動化平臺。其最大的優勢,在於以安全事件為導向,通過內置的行業標準和最佳實踐,將響應流程整體細化、分解,並自動化的對流程進展狀況進行監控,幫助企業快速進行安全事件的應急回應。

Resilient IRP 1

IRP的核心價值在於對企業核心IT資產的安全防護,所以IRP要與企業網路中現有可掌控全域IBM QRadar、ArcSight、SplunkSIEM類平臺產品進行對接,以獲取關於攻擊和資產狀態的資訊。

Resilient IRP 2

確認攻擊類型後,IRP會以企業IT資產為單位,將回應流程進行細緻的分解,並下發給IT運維部門,分解後的回應流程可以大致分為人工和自動兩個大類。目前Resilient SystemsIRP平臺仍是半人工半自動化的,但這兩種方式的結合使得整個處理進度變得更加可控。同時,IRP平臺對整個事件回應流程的定義是完全開放的,企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程,將僅有紙質文檔的標準自訂到Resilient SystemsIRP平臺上,並作為可複用資產,在不同企業或子公司之間進行共用。

實現事件回應演練

軍方需要常規性地軍事演練,以保證在戰時盡可能地最大程度發揮出部隊應有的戰鬥能力。安全事件發現後的回應環節亦是爭分奪秒的戰場。

Resilient SystemsIBM QRadar可以通過搭建虛擬環境,和企業內部驅動的滲透/眾測兩種方式,進行事件回應的演練。虛擬環境本身可以由IBM QRadar自身通過對某些規則的演練或者測試網路環境的搭建來完成。滲透/眾測情況下,企業可以通過外包的方式,邀請滲透測試團隊駐場測試,或者是在協定測試基線的前提下(不觸碰業務資料等)進行眾測,對企業網路進行攻擊

經常性的進行回應演練,不僅可以定期量化地評估QRadar檢測問題和IT運維部門事件回應的能力,這也有助於企業有針對性地進行安全防護和事件回應能力的提升。但演練的形式和頻率,則由企業自行決定。

Resilient SystemsIBM QRadar

如果看過安全牛之前的文章,可以瞭解到IBM QRadarIBM安全的大腦,也是終端、資料庫、身份管理等對應安全設備間聯動的核心。

IRP不同,QRadar是以企業IT資產為導向的,在QRadar定位攻擊及受影響資產及其狀態等資訊後,每個確認攻擊的詳細資訊都可發送到IRP平臺,自動生成並開始事件回應流程。在完成某個攻擊引發的安全事件的應急回應後,整個處理過程的相關資訊,包括對應攻擊類型、回應流程細節、下發和完成時間等資訊,都會被IRP平臺記錄。Resilient Systems可以自動將整個回應過程評價量化,並提供相應報表的生成。除了對安全部門的監督外,它也是IT運維團隊的事件回應能力的一個具體表現。

Resilient IRP 3

CISOCEO等高管角度考慮,當管理層不再只是關心由安全部門還是IT部門承擔事故責任,而更多的是關注如何提高企業整體的事件回應能力時,Resilient Systems能一份客觀詳盡地評估和答卷。

事件回應的發展趨勢

目前事件響應最大的挑戰,是從誤報中甄別哪些是真正嚴重的攻擊,哪些只是腳本小子所為,以及攻擊行為是如何影響企業自身的網路環境。QRadar自身通過駭客對不同資產發動的不同攻擊,將駭客的危險層級進行區分。一些相對低端的行為,如通過某些成熟的自動化工具對週邊安全和網路設備進行的攻擊,在QRadar確認後則會聯動相應設備自動化的進行攔截處理。而在問題變得相對複雜時,才會告警並提醒安全人員將攻擊資訊提交到Resilient Systems,開啟事件響應流程。但是,目前每天過多的攻擊告警,使得安全人員應接不暇,疲於奔命。不光是真正的安全威脅會湮沒在其中,即使將攻擊細節提交給Resilient Systems,也已經耗費了過多的人力。

可以說,自動化將會是目前事件響應最大的進化。

對威脅的預防、檢測、遏制、進化以及學習能力,都會在對安全攻擊進行回應的時刻集中體現。安全回應過程也必然會變得更具協調性。如果不能把預防、檢測和回應這三者間的關係協調好,實現步調一致,那麼安全性也就無從談起。

最後,如果從企業安全中延展開來,我們可以看到,物聯網的高速發展所帶來的新型安全威脅,對事件回應的流程和理念,也勢必會產生影響,事件響應也會隨之升級。不遠的將來,事件回應的保護的細微性可能將不再僅是IT資產和資料,還要顧及企業的每個用戶甚至是用戶這個個體本身。從安全的整體性考慮,打造一個全網路世界而不僅是某個企業網路的安全免疫系統,已經迫在眉睫。

安全牛評

事件回應作為企業安全防護中至關重要的一環,卻從近兩年開始行業內的聲音才有所變大。這也是Resilient SystemsIRP平臺一直沒有直接競品的主要原因。雖然有部分IT服務管理平臺,或者安全廠商提供的應急回應小組駐場服務,但是僅此兩者是不夠的。將安全行業的最佳實踐和成熟自動化的IT服務管理結合,是事件回應發展的必然趨勢,也是Resilient Systems最大的優勢。