預防不可能做到完美,所以越來越多的企業如今正在加強事件回應能力。這其中的主要原因包括:已經失去了對計算環境的控制,很多防護機制無法實施;攻擊行為變得更加複雜,需要更多的回應措施;身不由己地被捲入其他人的安全攻防戰鬥;企業對安全防護和檢測措施從的投資往往不足。

IBM QRadar SOAR 安全運維、自動化及響應(SOAR)平台

IBM QRadar SOAR平台不只是Ticket 管理而已,它結合了事件回應平臺(Incident Response Platform , IRP) , 威脅情資平台 (Threat Intelligence Platform,TIP) 與 安全自動化 (Security Orchestration and Automation , SOA) , 將流程、人員和技術進行緊密整合的自動化平臺。

Resilient Process

IBM QRadar SOAR 其最大的優勢,在於以安全事件為導向,通過內置的行業標準和最佳實踐,將響應流程整體細化、分解,並自動化的對流程進展狀況進行監控,幫助企業快速進行安全事件的應急回應。

 Resilient IRP 1


 

IBM QRadar SOAR 的核心價值在於對企業核心IT資產的安全防護,透過不同的應用(App)方式與SOC/SIEM的無縫整合,因此能與企業網路中現有可“掌控全局”的IBM QRadar、ArcSight、Splunk等SOC/SIEM類平臺產品進行介接,以獲取關於攻擊和資產狀態的資訊。

Resilient IRP 2

確認攻擊類型後,IBM QRadar SOAR 會以企業IT資產為單位,將回應流程進行細緻的分解,並下發給IT運維部門,分解後的回應流程可以大致分為人工和自動兩個大類。目前IBM QRadar SOAR平臺仍是半人工半自動化的,但這兩種方式的結合使得整個處理進度變得更加可控。同時,平臺對整個事件回應流程的定義是完全開放的,企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程,將僅有紙質文檔的標準自訂到IBM QRadar SOAR平臺上,並作為可複用資產,在不同企業或子公司之間進行共用。

IBM QRadar SOAR可與Threat Intelligence (TI) 威脅情報進行整合,包含IBM X-Force Exchange, VirusTotal, Symantec DeepSight, FireEye iSight, 以及Open Source 例如 abuse.ch Zeus, SANS, Malware Partrol…等,資安人員在調查事故過程中,可輕易了解目前被攻擊的來源以及其相關的攻擊資訊,以有效阻止資安事故的發生。

Resilient Feed 1

Resilient Feed 2

實現事件回應演練

IBM QRadar SOAR 可以通過搭建虛擬環境,和企業內部驅動的滲透/眾測兩種方式,進行事件回應的演練。虛擬環境本身可以由IBM QRadar SIEM 自身通過對某些規則的演練或者測試網路環境的搭建來完成。滲透/眾測情況下,企業可以通過外包的方式,邀請滲透測試團隊駐場測試,或者是在協定測試基線的前提下(不觸碰業務資料等)進行眾測,對企業網路進行“攻擊”。

經常性的進行回應演練,不僅可以定期量化地評估QRadar SIEM 檢測問題和IT運維部門事件回應的能力,這也有助於企業有針對性地進行安全防護和事件回應能力的提升。但演練的形式和頻率,則由企業自行決定。

IBM QRadar SOAR

在SOC/SIEM定位攻擊及受影響資產及其狀態等資訊後,每個確認攻擊的詳細資訊都可發送到IBM QRadar SOAR平臺,自動生成並開始事件回應流程。在完成某個攻擊引發的安全事件的應急回應後,整個處理過程的相關資訊,包括對應攻擊類型、回應流程細節、下發和完成時間等資訊,都會被IBM QRadar SOAR平臺記錄。IBM QRadar SOAR 可以自動將整個回應過程評價量化,並提供相應報表的生成。除了對安全部門的監督外,它也是IT運維團隊的事件回應能力的一個具體表現。

從CISO、CEO等管理階層角度考慮,當管理層不再只是關心由安全部門還是IT部門承擔事故責任,而更多的是關注如何提高企業整體的事件回應能力時,IBM QRadar SOAR 能一份客觀詳盡地評估和答卷。

Resilient Dashboard 1

Resilient Dashboard 2

IBM QRadar SOAR平台的特色與功能

  • 根據最佳實踐以及對資料違規通知法規的全面瞭解,即時動態地制定行動計畫,迅速而自信地做出反應
  • 通過全面、可定制的報告、儀表板和深度資料分析,快速存取可操作的關鍵資訊
  • 在整個企業範圍內協調回應,分配任務以及通知團隊成員採取行動
  • 事件行動計畫:該平台包含超過 18 項基於最新行業標準和最佳實踐的全面的事件回應計畫或預案。這些計畫與組織的標準操作規程 (SOP) 對應,確保回應計畫的一致性、可靠性和可重複性。
  • 通過敏捷和可定制的事件優先順序劃分和任務管理,隨著事件的發展,調整應對計畫
  • 通過整合的即時威脅情報訂閱源,智慧地進行回應
  • 與 IBM 和協力廠商安全解決方案無縫整合,實現自動化的事件回應,擴大其他安全投資的價值。
  • 事件跟蹤:能夠輕鬆便捷地建立和跟蹤事件,更深入地洞悉事件,並幫助企業確認事件已被捕獲、跟蹤和完全解決。
  • 事件模擬:該產品能夠説明企業輕鬆測試回應計畫,在真實的事件發生之前,發現差距並優化流程。
  • 協作:包含許多協作工具,支援企業中所有可能的利益相關方(如 IT、法務、市場行銷、人力資源和高管團隊)共同合作,定義各自的角色,並在事件發生時迅速果斷地採取行動。
  • 報告:包含儀表板和分析功能,支持安全團隊向高管和董事會成員報告情況,使他們全面瞭解面臨的事件、回應流程和結果。IBM QRadar SOAR報告功能還説明企業輕鬆滿足資訊披露和報告要求。
  • 電子郵件整合:電子郵件連接器説明企業輕鬆便捷地通過現有的網路安全工具,將威脅警報升級為事件。利用 IT 問題單系統或安全檢測系統(SIEM、IDS/IPS 等)之類的工具,可通過自動化的電子郵件在平台中建立事件。
  • 事件視覺化:使安全分析人員能夠洞悉正在進行的攻擊,直觀地瞭解環境中的元件和事件之間的動態關係。
  • 整合:IBM QRadar SOAR 是事件回應的核心組件。它與其他安全解決方案整合,幫助回應者收集情報,更迅速更有效地採取行動。電子郵件連接器説明企業輕鬆便捷地通過現有的網路安全工具,將威脅警報升級為事件。利用 IT 問題單系統或安全檢測系統(SIEM、IDS/IPS 等)之類的工具,可通過自動化的電子郵件在平台中建立事件。
  • 統籌安排:IBM QRadar SOAR 具有事件工作流功能,能夠實現統籌的流程和回應,説明安全團隊獲得更深入的情報,從而更快地採取行動。
  • 自動化:IBM QRadar SOAR 可以自動運行腳本操作,例如建立和更新 IT 問題單、收集情報或取證資料,以及隔離或重裝受感染的機器。通過自動執行這些任務,分析人員就可以節省出更多時間,用來解決更高層次的戰略問題,而不是關注細枝末節。
  • 避免違規:IBM QRadar SOAR 基於對資料違規通知法規要求的全面瞭解,並由內部隱私和法律專業人士組成的團隊進行維護和更新。

事件回應的發展趨勢

目前事件響應最大的挑戰,是從誤報中甄別哪些是真正嚴重的攻擊,哪些只是腳本小子所為,以及攻擊行為是如何影響企業自身的網路環境。SOC/SIEM自身通過駭客對不同資產發動的不同攻擊,將駭客的危險層級進行區分。一些相對低端的行為,如通過某些成熟的自動化工具對週邊安全和網路設備進行的攻擊,在SOC/SIEM確認後則會聯動相應設備自動化的進行攔截處理。而在問題變得相對複雜時,才會告警並提醒安全人員將攻擊資訊提交到IBM QRadar SOAR,開啟事件響應流程。但是,目前每天過多的攻擊告警,使得安全人員應接不暇,疲於奔命。不光是真正的安全威脅會湮沒在其中,即使將攻擊細節提交給IBM QRadar SOAR,也已經耗費了過多的人力。

可以說,自動化將會是目前事件響應最大的進化。

客戶誠心推薦

「我們花費兩年時間改善安全狀況。IBM QRadar SOAR 的事件應變平臺是專案的運作核心 串起所有環節。」— CISO,前三大信用卡網路

「使用IBM QRadar SOAR平台 3 個月後,只需要過去一半的時間就能解決突發事件,而且效率持續快速進化」— Senior Director of Incident Response,美國財富雜誌排名
第五的客戶

「這是我們最棒的採購決策。」— CSO,美國財富雜誌前 500 大保健醫療機構中前五大企業組織

Resilient Award

Resilient Gartner