有關事件回應(IR)自動化和協同的幾點反思

IR(incidentresponse),顧名思義,事件回應,旨在對一些潛在的危機,如數據外泄、DoS或DDoS攻擊、防火牆外泄、病毒或惡意軟體爆發等威脅進行回應。

隨著各種項目互聯網化,商業事件回應工具增勢甚猛。

就在本周,我重新回顧了幾個有關事件回應(IR)自動化和協同的採訪。很多專業從事網路安全的專業人士參與了這些採訪,他們共同指出了一些值得我們反思的問題:

1、IR通常由基本工具、手動過程和關鍵人員組成。

雖然故障標籤和ITSM(information technology service management 資訊技術服務管理)工具是非常普遍且相當成熟的,但是太多的企業組織仍然使用非常古老的方法應對突發事件。

換句話說,他們依然依賴紙張、試算表、電子郵件交接以及很擅長找到受損的系統和惡意網路流量的安全分析師。

2、組織嘗試並使用商業工具。

很多組織機構或企業嘗試使用Remedy或ServerceNow ITSM來湊出一種回應方式,但是這些工具是為IT操作員設計的、用於技術支援,並不是專門的事件回應工具。

通常來說,SOC(security operation center 安全管理中心)團隊希望在整個生命週期中進行事件跟蹤,但是使用IT管理工具並不是一種有效的方式。

3、太多公司使用自建IR軟體。

很多公司嘗試手動之外的方式,但是他們選擇的是拼湊腳本、應用和資料庫以達到事件回應的目的。有些時候,他們使用開源工具,比如來自Netflix或RTIR的FIDO。

雖然他們是出於好意做出這些努力,但是當拼湊出來的東西缺少某些功能、規模又不夠大、又非常易於整合時,這些公司似乎又失敗了。此外,大多數的安全性群組織並不想參與開發和維護軟體的業務。

4、IR正從即可回應轉成提前預應。

過去,嚴重事件的發現會引發一些行動,比如捕獲網路資料包(PCAP)、部署斷電取證工具等以查找可疑人為痕跡、檔、記憶體進程等。

許多組織已經或正在轉向使用來自Arbor Networks、Cisco、ExtraHop、RSA或Symantec的工具進行連續監測以進行網路安全分析,並在端點使用來自Carbon Black、Countertack、Cybereason、Endgame或Guidance Software的工具。

 

IBM Resilient System 提供完整的事件響應管理(Incident Response Platform)