手机网站制作推荐,网站速度优化工具,网站建设百度搜不到,优化网站视频近些年#xff0c;企业安全工作的关注点#xff0c;一直聚焦在如何预防黑客攻击。但是#xff0c;频发的大型跨国企业的数据泄露事件表明#xff0c;即使是对网络安全更为重视#xff0c;同时也投入了更多成本的金融业#xff0c;也明白了“无论做了怎样的安全防护#… 近些年企业安全工作的关注点一直聚焦在如何预防黑客攻击。但是频发的大型跨国企业的数据泄露事件表明即使是对网络安全更为重视同时也投入了更多成本的金融业也明白了“无论做了怎样的安全防护迟早会被黑客成功入侵”的道理。这已经成为了所有企业必须认清的事实。 因此企业安全防护的重点也随之转移到如何更快地发现安全问题并及时针对这些安全事件做出合理且有效的响应上。 事件响应的发展现状 很长时间以来事件响应并不受安全厂商重视而是作为产品的附加服务通过少数售后工程师驻场的方式与甲方的IT安全运维部门合作解决在安全事件发生后相关产品的运维问题。 但是事件响应流程本身的复杂性和多变形却被严重低估。事件响应流程本身因企业的IT资产和遭遇的网络攻击不同而多种多样流程的各步骤相互牵制且要遵守企业不同所属行业的数据安全标准和规范。这种相对低效且未经详细整体筹划的响应方式在面对安全事件发生后需要以秒为单位计算企业损失的情况下不免有些过于无力。 为什么要重视事件响应Co3 Systems在2015年初正式更名为Resilient Systems的首席技术官布鲁斯·施奈尔在2014年美国的黑帽大会的演讲中谈到因为预防不可能做到完美所以越来越多的企业如今正在加强事件响应能力。这其中的主要原因包括已经失去了对计算环境的控制很多防护机制无法实施攻击行为变得更加复杂需要更多的响应措施身不由己地被卷入其他人的安全攻防战斗企业对安全防护和检测措施从的投资往往不足。 事件响应目前所面临的主要问题有两点一是我们仍无法实现完全的自动化二是不能将人员从安全的循环中移除。我们应当采用工程化的手段使得系统能够支持响应循环中的人员执行关键任务。是技术来辅助人员而不是反过来。 今年4月IBM完成对Resilient Systems的收购并以插件的方式实现Resilient Systems的事件响应平台与IBM QRadar的无缝集成。 Resilient Systems如何做事件响应 Resilient Systems的事件响应平台(IRP)是一个将流程、人员和技术进行紧密集成的自动化平台。其最大的优势在于以安全事件为导向通过内置的行业标准和最佳实践将响应流程整体细化、分解并自动化的对流程进展状况进行监控帮助企业快速进行安全事件的应急响应。 IRP的核心价值在于对企业核心IT资产的安全防护所以IRP要与企业网络中现有可“掌控全局”的IBM QRadar等SIEM类平台产品进行对接以获取关于攻击和资产状态的信息。 确认攻击类型后IRP会以企业IT资产为单位将响应流程进行细致的分解并下发给IT运维部门分解后的响应流程可以大致分为人工和自动两个大类。目前Resilient Systems的IRP平台仍是半人工半自动化的但这两种方式的结合使得整个处理进度变得更加可控。同时IRP平台对整个事件响应流程的定义是完全开放的企业可以根据自身网络环境、特殊的业务需求和相关标准来添加自定义流程将仅有纸质文档的标准自定义到Resilient Systems的IRP平台上并作为可复用资产在不同企业或子公司之间进行共享。 实现事件响应演练 军方需要常规性地军事演练以保证在战时尽可能地最大程度发挥出部队应有的战斗能力。安全事件发现后的响应环节亦是争分夺秒的战场。 Resilient Systems和IBM QRadar可以通过搭建虚拟环境和企业内部驱动的渗透/众测两种方式进行事件响应的演练。虚拟环境本身可以由IBM QRadar自身通过对某些规则的演练或者测试网络环境的搭建来完成。渗透/众测情况下企业可以通过外包的方式邀请渗透测试团队驻场测试或者是在协定测试基线的前提下不触碰业务数据等进行众测对企业网络进行“攻击”。 经常性的进行响应演练不仅可以定期量化地评估QRadar检测问题和IT运维部门事件响应的能力这也有助于企业有针对性地进行安全防护和事件响应能力的提升。但演练的形式和频率则由企业自行决定。 Resilient Systems和IBM QRadar 如果看过安全牛之前的文章可以了解到IBM QRadar是IBM安全的大脑也是终端、数据库、身份管理等对应安全设备间联动的核心。 与IRP不同QRadar是以企业IT资产为导向的在QRadar定位攻击及受影响资产及其状态等信息后每个确认攻击的详细信息都可发送到IRP平台自动生成并开始事件响应流程。在完成某个攻击引发的安全事件的应急响应后整个处理过程的相关信息包括对应攻击类型、响应流程细节、下发和完成时间等信息都会被IRP平台记录。Resilient Systems可以自动将整个响应过程评价量化并提供相应报表的生成。除了对安全部门的监督外它也是IT运维团队的事件响应能力的一个具体表现。 从CISO、CEO等高管角度考虑当管理层不再只是关心由安全部门还是IT部门承担事故责任而更多的是关注如何提高企业整体的事件响应能力时Resilient Systems能一份客观详尽地评估和答卷。 事件响应的发展趋势 目前事件响应最大的挑战是从误报中甄别哪些是真正严重的攻击哪些只是脚本小子所为以及攻击行为是如何影响企业自身的网络环境。QRadar自身通过黑客对不同资产发动的不同攻击将黑客的危险层级进行区分。一些相对低端的行为如通过某些成熟的自动化工具对外围安全和网络设备进行的攻击在QRadar确认后则会联动相应设备自动化的进行拦截处理。而在问题变得相对复杂时才会告警并提醒安全人员将攻击信息提交到Resilient Systems开启事件响应流程。但是目前每天过多的攻击告警使得安全人员应接不暇疲于奔命。不光是真正的安全威胁会湮没在其中即使将攻击细节提交给Resilient Systems也已经耗费了过多的人力。 可以说自动化将会是目前事件响应最大的进化。 对威胁的预防、检测、遏制、进化以及学习能力都会在对安全攻击进行响应的时刻集中体现。安全响应过程也必然会变得更具协调性。如果不能把预防、检测和响应这三者间的关系协调好实现步调一致那么安全性也就无从谈起。 最后如果从企业安全中延展开来我们可以看到物联网的高速发展所带来的新型安全威胁对事件响应的流程和理念也势必会产生影响事件响应也会随之升级。不远的将来事件响应的保护的粒度可能将不再仅是IT资产和数据还要顾及企业的每个用户甚至是用户这个个体本身。从安全的整体性考虑打造一个全网络世界而不仅是某个企业网络的“安全免疫系统”已经迫在眉睫。 安全牛评 事件响应作为企业安全防护中至关重要的一环却从近两年开始行业内的声音才有所变大。这也是Resilient Systems的IRP平台一直没有直接“竞品”的主要原因。虽然有部分IT服务管理平台或者安全厂商提供的应急响应小组驻场服务但是仅此两者是不够的。将安全行业的最佳实践和成熟自动化的IT服务管理结合是事件响应发展的必然趋势也是Resilient Systems最大的优势。 本文转自d1net转载
