政府會針對各種突發(fā)公共事件,例如地震,火災(zāi),流行疾病等設(shè)立各種應(yīng)急流程預(yù)案,通過該流程的執(zhí)行的可以在災(zāi)難突現(xiàn)時將社會損失減到最小。同樣辦公室所處的樓宇物業(yè)也會針對各種突發(fā)事件制定應(yīng)急響應(yīng)流程，我們都會參加過物業(yè)定期舉行的消防演練。

隨著移動互聯(lián)和云計算以及IOT設(shè)備的普及，企業(yè)面臨信息安全威脅會越多越復(fù)雜和有針對性，其中企業(yè)商業(yè)信息泄露的安全威脅最為突出。IBM和Ponemon Institute的一份關(guān)于“2015年數(shù)據(jù)泄露的損失”的研究顯示，企業(yè)每一次數(shù)據(jù)泄露的平均損失為379萬美元，這一數(shù)字將會在2016年內(nèi)持續(xù)增長。當(dāng)企業(yè)有了適當(dāng)及時的準(zhǔn)備來及時響應(yīng)信息安全攻擊威脅時，就可大幅度減少被網(wǎng)絡(luò)罪犯攻擊的機(jī)會。

當(dāng)前企業(yè)缺少完善的安全事件應(yīng)急響應(yīng)流程

企業(yè)中安全操作與事件響應(yīng)有很大的不足

在本人參與的安全項目中，真正制定和實(shí)施安全事件響應(yīng)平臺的企業(yè)比例很小，其中有些企業(yè)即使已經(jīng)開始設(shè)計和實(shí)施相應(yīng)的響應(yīng)流程依然很難做到完善和自動化，企業(yè)缺乏安全事件響應(yīng)的能力我認(rèn)為主要是因為以下幾點(diǎn)原因：

信息安全建設(shè)以主動防御為主

絕大部分企業(yè)在建設(shè)信息安全體系時僅注重主動防御，以為部署了防火墻，入侵防御設(shè)備和防病毒軟件就可以100%地應(yīng)對各種安全入侵。針對當(dāng)前復(fù)雜的安全攻擊缺少發(fā)現(xiàn)能力更沒有應(yīng)急響應(yīng)的意識。

技術(shù)欠缺，很難快速響應(yīng)

眾多復(fù)雜的安全攻擊行為是跨設(shè)備跨應(yīng)用的，對于企業(yè)現(xiàn)有的安全部門技術(shù)人員很難獨(dú)立應(yīng)對復(fù)雜的安全攻擊并進(jìn)行及時的響應(yīng)。

缺少事先定義好的流程

復(fù)雜的網(wǎng)絡(luò)攻擊往往跨越多個系統(tǒng)和應(yīng)用，影射到企業(yè)將會跨越不同的部門，因此建立完整的應(yīng)急響應(yīng)流程是非常復(fù)雜和耗時的事情，如果流程沒有及時定義將很難及時對復(fù)雜攻擊進(jìn)行響應(yīng)。

缺少對業(yè)務(wù)和行業(yè)法律法規(guī)以及合規(guī)要求的理解

企業(yè)一般認(rèn)為信息安全事件僅僅是安全小組的事情，安全小組的技術(shù)人員很難對基于企業(yè)商業(yè)的攻擊以及企業(yè)商業(yè)違規(guī)行為理解并及時判斷和響應(yīng)。

Resilient的事件響應(yīng)平臺幫助企業(yè)快速應(yīng)對安全事件

Resilient System的事件響應(yīng)平臺(IRP)

本人曾經(jīng)參與過多家企業(yè)安全事件應(yīng)急響應(yīng)流程的設(shè)計工作。傳統(tǒng)的安全事件應(yīng)急響應(yīng)流程設(shè)計過程是在企業(yè)現(xiàn)有的流程平臺上針對不同的攻擊類型手動地定義參與的部門和人員以及相應(yīng)的行動來應(yīng)對。在這種模式下一旦安全事件發(fā)生很難實(shí)現(xiàn)自動化，在部門協(xié)調(diào)和扯皮上浪費(fèi)非常多的時間，更多時候由于沒有被流程設(shè)定的攻擊類型發(fā)生時相關(guān)管理人員將很難有正確地響應(yīng)。

Resilient System的事件響應(yīng)平臺(IRP)是一個將流程(Process),人員(People)和技術(shù)(Technology)進(jìn)行緊密集成的自動化平臺,它基于世界上最大的監(jiān)管法規(guī)知識庫并通過內(nèi)置的行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐幫助企業(yè)進(jìn)行快速安全事件應(yīng)急響應(yīng)。參與流程的員工確切知道自己應(yīng)該做什么而不是將時間浪費(fèi)在內(nèi)部協(xié)調(diào)和不知所措上。企業(yè)安全管理人員只需要利用IRP中大量的已經(jīng)定義的流程或者適當(dāng)進(jìn)行定制就可以快速地應(yīng)對絕大多數(shù)的安全事件而無需手動過程。

Resilient System的事件響應(yīng)平臺(IRP)可以與企業(yè)現(xiàn)有的SIEM，GRC或者反惡意軟件等平臺進(jìn)行無縫集成，當(dāng)這些系統(tǒng)分析出安全事件時直接通過接口自動化調(diào)用IRP的相應(yīng)流程就可以實(shí)現(xiàn)自動化的事件響應(yīng)。

Resilient System的事件響應(yīng)平臺(IRP)內(nèi)置分析模塊，可以對每一次的事件響應(yīng)進(jìn)行分析，例如響應(yīng)的時間(TTR)，并可以發(fā)現(xiàn)流程中的不足點(diǎn)提醒企業(yè)相關(guān)人員進(jìn)行不斷地修正來改善現(xiàn)有流程。

就像樓宇物業(yè)經(jīng)常進(jìn)行消防演練一樣，對于安全事件防患于未然尤其重要。IRP中內(nèi)置了桌面演練和安全事件模擬平臺可以不斷地幫助企業(yè)安全事件響應(yīng)團(tuán)隊對各種潛在的安全威脅進(jìn)行演練和模擬，當(dāng)真正的威脅到來之時可以從容和快速地應(yīng)對。

IBM Security為企業(yè)提供從防護(hù)，到檢測再到響應(yīng)的全面安全防護(hù)能力

IBM Security從防護(hù)，到檢測再到響應(yīng)

在IBM安全框架中我們可以看到IBM安全解決方案四條產(chǎn)品線：身份安全，數(shù)據(jù)安全，應(yīng)用安全和基礎(chǔ)架構(gòu)安全致力于幫助企業(yè)建立全面的安全防護(hù)體系從而可以阻止典型網(wǎng)絡(luò)攻擊對企業(yè)的入侵。

由于當(dāng)前網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性，例如未能及時披露和修補(bǔ)的零日漏洞被利用，企業(yè)安全架構(gòu)中的短板，安全管理人員的錯誤配置等，企業(yè)僅僅依靠傳統(tǒng)的防護(hù)體系是很難100%應(yīng)對這些全新的安全挑戰(zhàn)。因此基于數(shù)據(jù)分析和威脅情報來發(fā)現(xiàn)潛在的未能被阻止的攻擊和威脅將對于傳統(tǒng)的安全防護(hù)體系提供有效的補(bǔ)充。IBM Qradar安全智能平臺基于X-Force威脅情報并將企業(yè)內(nèi)的各種日志，網(wǎng)絡(luò)流量，網(wǎng)絡(luò)配置，資產(chǎn)漏洞，人員和數(shù)據(jù)操作行為等進(jìn)行關(guān)聯(lián)分析可以幫助企業(yè)發(fā)現(xiàn)未被及時阻止的攻擊和威脅。

通過App exchange可以實(shí)現(xiàn)Qradar與IRP的緊急集成

IBM在收購Resilient IRP之前，Qradar安全智能平臺發(fā)現(xiàn)潛在的攻擊和威脅后將通過與企業(yè)現(xiàn)有的Ticket平臺集成實(shí)現(xiàn)安全事件的應(yīng)急響應(yīng)。在這種集成模式中，整個流程需要人為在Ticket系統(tǒng)進(jìn)行定制。

現(xiàn)在通過App Exchange ，Qradar安全智能平臺可以與Resilient IRP無縫集成，企業(yè)可以通過Resilient IRP內(nèi)置的標(biāo)準(zhǔn)流程，操作規(guī)程和行業(yè)最佳實(shí)踐快速地制定安全事件應(yīng)急響應(yīng)流程。

IBM Security現(xiàn)在可以為企業(yè)提供從防護(hù)，到檢測再到響應(yīng)的全面安全防護(hù)能力。