十大事件響應(yīng)安全工具和服務(wù)商（含選型指南）

作者：佚名 2024-01-24 14:50:56

在數(shù)字化時(shí)代，企業(yè)面臨著來自網(wǎng)絡(luò)攻擊的威脅與日俱增。一旦發(fā)生網(wǎng)絡(luò)攻擊，快速有效的事件響應(yīng)/應(yīng)急響應(yīng)至關(guān)重要，是減少損失并保護(hù)業(yè)務(wù)連續(xù)性的關(guān)鍵措施。

事件響應(yīng)是一個(gè)較為復(fù)雜的安全流程，需要多種工具和技術(shù)的協(xié)同配合。企業(yè)可以選擇合適工具自行建設(shè)事件響應(yīng)能力(本地部署)，也可以外包給專業(yè)的安全服務(wù)提供商。

在介紹十大知名事件響應(yīng)工具和服務(wù)商之前，我們先對(duì)事件響應(yīng)工具和服務(wù)進(jìn)行簡單的介紹：

事件響應(yīng)工具

事件響應(yīng)工具可以幫助企業(yè)自動(dòng)化檢測、調(diào)查和響應(yīng)安全事件。常見的事件響應(yīng)工具包括以下幾類：

安全信息和事件管理(SIEM)系統(tǒng)：SIEM系統(tǒng)可以收集來自網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序的大量日志數(shù)據(jù)，并通過分析這些數(shù)據(jù)來識(shí)別潛在的安全威脅。

端點(diǎn)檢測和響應(yīng)(EDR)系統(tǒng)：EDR系統(tǒng)可以監(jiān)控和分析端點(diǎn)設(shè)備的行為，以檢測和響應(yīng)安全事件。

威脅情報(bào)(TI)系統(tǒng)：威脅情報(bào)系統(tǒng)可以提供有關(guān)已知和潛在威脅的信息，幫助企業(yè)提高安全態(tài)勢(shì)感知。

安全編排、協(xié)調(diào)和響應(yīng)(SOAR)系統(tǒng)：SOAR系統(tǒng)可以自動(dòng)化事件響應(yīng)流程，提高響應(yīng)效率。

事件響應(yīng)服務(wù)

專業(yè)的安全服務(wù)提供商可以提供全面的事件響應(yīng)服務(wù)，具體包括以下幾類：

24/7監(jiān)控和響應(yīng)：安全服務(wù)提供商可以通過24/7監(jiān)控來檢測安全事件，并在發(fā)生事件時(shí)立即進(jìn)行響應(yīng)。
調(diào)查和分析：安全服務(wù)提供商可以利用其專業(yè)知識(shí)和經(jīng)驗(yàn)來調(diào)查安全事件，并分析事件原因和影響。
恢復(fù)和修復(fù)：安全服務(wù)提供商可以幫助企業(yè)恢復(fù)受損系統(tǒng)和數(shù)據(jù)，并修復(fù)安全漏洞。
選擇事件響應(yīng)解決方案

本地部署還是外包?

事件響應(yīng)需要多種工具和技術(shù)，包括端點(diǎn)產(chǎn)品、網(wǎng)絡(luò)安全平臺(tái)、專門的惡意軟件分析工具和具有自動(dòng)化功能的軟件，無法通過一體化平臺(tái)完成。

大多數(shù)企業(yè)已經(jīng)擁有事件響應(yīng)相關(guān)安全工具，包括SIEM系統(tǒng)、漏洞掃描器、端點(diǎn)檢測和響應(yīng)(EDR)、反惡意軟件和防火墻等。最近，用戶行為分析(UBA);安全編排、自動(dòng)化和響應(yīng)(SOAR);擴(kuò)展檢測和響應(yīng)(XDR)也開始進(jìn)入企業(yè)的“武器庫”，已經(jīng)擁有上述工具的企業(yè)更適合嘗試本地部署和執(zhí)行事件響應(yīng)任務(wù)。

選擇本地部署還是外包，還與企業(yè)所面臨威脅的性質(zhì)和復(fù)雜性有關(guān)。安全團(tuán)隊(duì)需要使用風(fēng)險(xiǎn)分析和業(yè)務(wù)影響分析來確定事件響應(yīng)的類型，并制定事件響應(yīng)計(jì)劃。本地部署適合相對(duì)簡單的威脅。

如果風(fēng)險(xiǎn)和業(yè)務(wù)影響分析表明可能發(fā)生更嚴(yán)重的事件，企業(yè)可能需要考慮規(guī)劃流程外包給安全服務(wù)提供商。此外，在多地?fù)碛蟹种C(jī)構(gòu)的企業(yè)也可能更適合外包，因?yàn)槊總€(gè)地點(diǎn)可能有不同的風(fēng)險(xiǎn)、威脅和漏洞，并且每個(gè)地點(diǎn)可能需要定制方案來滿足其獨(dú)特的需求。

另外，企業(yè)還要考慮人員配置，以及是否擁有具備完成事件響應(yīng)生命周期流程所需的專業(yè)員工，以及足夠的預(yù)算。

如何選擇事件響應(yīng)工具

使用風(fēng)險(xiǎn)和業(yè)務(wù)影響分析來識(shí)別企業(yè)可能發(fā)生的安全事件，以此確定需要哪些工具。

在購買事件響應(yīng)工具包時(shí)，請(qǐng)考慮這些工具是否及如何協(xié)同工作。工具的可集成性對(duì)于確保正確的分析、調(diào)查和響應(yīng)非常重要。單個(gè)安全供應(yīng)商通常可以提供多種技術(shù)，來自不同供應(yīng)商的工具也可以相互連接以共享信息并協(xié)同進(jìn)行事件響應(yīng)。

事件響應(yīng)工具的選型還應(yīng)該考慮事件響應(yīng)標(biāo)準(zhǔn)和框架，并從合規(guī)性和審計(jì)的角度來評(píng)估，這一點(diǎn)也很重要。

十大事件響應(yīng)工具

事件響應(yīng)生命周期需要多種工具，為了便于用戶了解流行的事件響應(yīng)工具功能、交付方式和定價(jià)模式，我們整理了全球較為知名的十種事件響應(yīng)工具的信息如下：

1.AT&T USM Anywhere

AT&T的統(tǒng)一安全管理(USM) Anywhere提供自動(dòng)威脅檢測，其威脅情報(bào)來自AT&T AlienLabs安全團(tuán)隊(duì)和AT&T AlienLabs Open Threat Exchange。AT&T的USM產(chǎn)品具有發(fā)現(xiàn)功能(包括網(wǎng)絡(luò)資產(chǎn)發(fā)現(xiàn)和云資產(chǎn)發(fā)現(xiàn))、分析功能(包括SIEM事件關(guān)聯(lián)和用戶活動(dòng)監(jiān)控)、檢測功能(包括云入侵檢測和EDR)、事件響應(yīng)、漏洞掃描和暗網(wǎng)監(jiān)控功能，以及報(bào)告功能。

USM Anywhere是一款SaaS產(chǎn)品，提供Essentials、Standard和Premium三種套餐，起價(jià)分別為每月1075美元至2595美元。

2.CrowdStrike Falcon Insight

CrowdStrike Falcon Insight是一個(gè)XDR和EDR平臺(tái)，具有連續(xù)日志記錄、人工智能驅(qū)動(dòng)的威脅檢測、威脅搜尋、態(tài)勢(shì)感知、響應(yīng)、簡化的通知和威脅優(yōu)先級(jí)分類功能。Falcon Insight可與CrowdStrike的SOAR平臺(tái)FalconFusion集成實(shí)現(xiàn)自動(dòng)響應(yīng)功能。警報(bào)可映射到MitreATT&CK框架。

Falcon Insight也是一款SaaS產(chǎn)品，作為Falcon Enterprise和Elite軟件包的一部分提供，按端點(diǎn)數(shù)量銷售訂閱許可。

3.Cynet 360 AutoXDR平臺(tái)

Cynet 360 AutoXDR平臺(tái)將威脅檢測和預(yù)防、日志分析和數(shù)據(jù)關(guān)聯(lián)以及事件響應(yīng)和自動(dòng)化集成到一個(gè)平臺(tái)中。功能包括EDR、UBA、網(wǎng)絡(luò)檢測和響應(yīng)(NDR)、欺騙技術(shù)、沙箱和威脅情報(bào)，以及SaaS安全態(tài)勢(shì)管理和云安全態(tài)勢(shì)管理。

該產(chǎn)品支持云端、混合或本地部署。集成了Cynet的24/7托管檢測和響應(yīng)服務(wù)CyOps，無需額外付費(fèi)。

4.Datadog云SIEM

平臺(tái)提供商Datadog提供基于云的SIEM和自動(dòng)化事件管理集成。Cloud SIEM結(jié)合了可觀察性和安全調(diào)查，映射到Mitre ATT&CK框架，并具有自定義規(guī)則編輯器，可幫助團(tuán)隊(duì)檢測和響應(yīng)跨應(yīng)用程序、網(wǎng)絡(luò)、工作負(fù)載和基礎(chǔ)設(shè)施的威脅。

產(chǎn)品定價(jià)標(biāo)準(zhǔn)為每月每百萬分析事件5美元，按年計(jì)費(fèi)，自動(dòng)化工作流程單獨(dú)計(jì)費(fèi)。還可提供按需定價(jià)。

5.Exabeam Fusion

Exabeam Fusion是一個(gè)云端交付產(chǎn)品，結(jié)合了SIEM和XDR功能，Exabeam將其稱為“新一代SIEM”。Fusion具有威脅檢測、調(diào)查和響應(yīng)、日志管理和分析功能。它還包括UBA、企業(yè)通用信息模型、警報(bào)優(yōu)先級(jí)以及報(bào)告和儀表板。可選的事件響應(yīng)程序附加組件可幫助協(xié)調(diào)和自動(dòng)化響應(yīng)。

Exabeam Fusion的威脅情報(bào)源基于其自身的威脅情報(bào)服務(wù)，無需額外付費(fèi)。

6.IBM安全QRadar

IBM的事件響應(yīng)安全產(chǎn)品套件QRadar包括以下功能：

QRadar EDR，具有攻擊可見性、人工智能驅(qū)動(dòng)的警報(bào)管理和勒索軟件預(yù)防功能。
QRadar LogInsights，提供可見性、可觀察性、人工智能驅(qū)動(dòng)的風(fēng)險(xiǎn)優(yōu)先級(jí)和自動(dòng)威脅調(diào)查。
QRadar SIEM，具有NDR、UBA和威脅情報(bào)功能。
QRadar SOAR，提供自動(dòng)化攻擊響應(yīng)和工作流程以及可定制的劇本。

QRadar SIEM使用安全和行為分析來檢測異常，提供優(yōu)先級(jí)警報(bào)并與Mitre ATT&CK框架保持一致。它可以作為本地軟件、云部署或通過QRadar on Cloud的SaaS提供。

定價(jià)基于每秒的事件數(shù)或每分鐘的流量，作為無限制的基于服務(wù)器的許可證或基于訂閱的許可證。請(qǐng)聯(lián)系該公司了解定價(jià)。

7.KnowBe4 PhishER網(wǎng)絡(luò)釣魚事件響應(yīng)

安全意識(shí)培訓(xùn)和模擬網(wǎng)絡(luò)釣魚平臺(tái)供應(yīng)商KnowBe4的PhishER是一個(gè)基于云的網(wǎng)絡(luò)釣魚事件響應(yīng)平臺(tái)，可幫助事件響應(yīng)團(tuán)隊(duì)檢測和響應(yīng)網(wǎng)絡(luò)釣魚相關(guān)的安全事件。該公司將其描述為一個(gè)輕量級(jí)的電子郵件SOAR平臺(tái)，可以分析傳入的消息(郵件)，根據(jù)威脅級(jí)別進(jìn)行過濾，并自動(dòng)對(duì)潛在威脅進(jìn)行優(yōu)先級(jí)排序。其PhishRIP功能可隔離所有員工郵箱中的潛在威脅。

PhishER是一款SaaS產(chǎn)品，按用戶數(shù)量定價(jià)。

8.LogRhythm SIEM

LogRhythm的SIEM平臺(tái)結(jié)合了日志管理、分析、UBA、網(wǎng)絡(luò)流量分析、SOAR和端點(diǎn)監(jiān)控，可幫助安全團(tuán)隊(duì)提高可見性、防止暴露，并快速有效地檢測和響應(yīng)威脅。它與該公司的威脅情報(bào)服務(wù)以及第三方威脅源集成。

該產(chǎn)品可通過托管安全服務(wù)提供商在本地、云端部署，或作為Axon平臺(tái)中的SaaS進(jìn)行部署。

9.Splunk Enterprise Security

Splunk Enterprise Security是一款SIEM產(chǎn)品，位于Splunk平臺(tái)之上。Splunk Enterprise Security可作在云端、本地或混合部署使用，提供基于風(fēng)險(xiǎn)的警報(bào)、威脅檢測以及分析和響應(yīng)功能。該產(chǎn)品提供所謂的“自適應(yīng)響應(yīng)”的自動(dòng)響應(yīng)功能;為了進(jìn)一步實(shí)現(xiàn)自動(dòng)化，可以使用Splunk SOAR。其他集成包括Splunk UBA、Splunk On-Call(一種警報(bào)和消息傳遞事件響應(yīng)工具)、IT服務(wù)情報(bào)(一個(gè)監(jiān)控和可見性插件)。Splunk Enterprise Security映射到MitreATT&CK框架、NIST、互聯(lián)網(wǎng)安全中心的關(guān)鍵安全控制和網(wǎng)絡(luò)殺傷鏈等框架。

Splunk Enterprise Security提供基于工作負(fù)載和數(shù)據(jù)處理量的多種定價(jià)模式。

10.XMatters

軟件公司Everbridge的XMatters是一個(gè)服務(wù)可靠性平臺(tái)，可實(shí)現(xiàn)自動(dòng)化事件管理，同時(shí)也提供事件響應(yīng)的分析、協(xié)作和報(bào)告功能。XMatter作為SaaS產(chǎn)品面向DevOps以及運(yùn)營團(tuán)隊(duì)和工程師，但它也可以幫助解決IT事件以及網(wǎng)絡(luò)安全事件響應(yīng)。

XMatttters提供免費(fèi)、基本、標(biāo)準(zhǔn)和高級(jí)四種定價(jià)，不同級(jí)別包含的事件響應(yīng)功能不同。

十大事件響應(yīng)服務(wù)提供商

以下是10家領(lǐng)先的事件響應(yīng)服務(wù)提供商(全球市場)。大多數(shù)都提供一系列托管安全和相關(guān)服務(wù)，包括咨詢。上面列出的一些事件響應(yīng)工具提供商也還提供托管事件響應(yīng)服務(wù)：

1.AT&T托管威脅檢測和響應(yīng)

AT&T是美國占主導(dǎo)地位的電信提供商，憑借其內(nèi)聯(lián)互聯(lián)網(wǎng)和WAN監(jiān)控服務(wù)，在事件響應(yīng)服務(wù)市場中處于獨(dú)特的地位。AT&T利用其全球分布的安全運(yùn)營中心(SOC)，通過其USM平臺(tái)提供24/7托管威脅檢測和響應(yīng)。服務(wù)包括EDR、云安全、防火墻和安全遠(yuǎn)程訪問。客戶還可以訪問AT&T Alien Labs Open Threat Exchange，深入了解全球網(wǎng)絡(luò)安全專家社區(qū)在威脅識(shí)別、可操作的見解和報(bào)告方面所采取的行動(dòng)。

2.BAE Systems事件響應(yīng)

BAE Systems成立于1999年，是全球最早的網(wǎng)絡(luò)安全事件響應(yīng)供應(yīng)商之一。這家總部位于英國的公司提供先發(fā)制人的威脅防御服務(wù)，包括定制威脅情報(bào)工具、滲透測試和攻擊準(zhǔn)備工具。如果發(fā)生攻擊或違規(guī)，BAE Systems會(huì)使用英國、美國或澳大利亞的三個(gè)支持中心之一來進(jìn)行事件響應(yīng)。如果需要，BAE Systems可以將其專家部署到客戶所在地。該公司還可以協(xié)助證據(jù)獲取、逆向工程、技術(shù)和執(zhí)行響應(yīng)以及公關(guān)管理。

3.Cyderes企業(yè)MDR

Cyderes總部位于多倫多，提供數(shù)字取證和事件響應(yīng)(DFIR)服務(wù)。該公司在全球擁有六個(gè)SOC，提供24/7事件歸因、取證和分析、事件遏制和事件后審查服務(wù)。保留服務(wù)還包括規(guī)劃、咨詢和咨詢服務(wù)以及桌面演習(xí)。

4.Cynet CyOps

Cynet總部位于波士頓，提供CyOps(24/7MDR服務(wù))。該公司在美國和以色列設(shè)有辦事處，并在歐盟設(shè)有聯(lián)系電話。MDR提供商提供檢測、調(diào)查和響應(yīng)服務(wù);點(diǎn)播和實(shí)時(shí)建議;定期報(bào)告，包括時(shí)事通訊、技術(shù)和惡意軟件報(bào)告。

5.Mandiant事件響應(yīng)

Mandiant現(xiàn)在是Google Cloud的一部分，提供24/7事件響應(yīng)和安全服務(wù)。該提供商在全球30多個(gè)國家/地區(qū)設(shè)有事件響應(yīng)人員，提供調(diào)查、危機(jī)管理、遏制和恢復(fù)服務(wù)。Mandiant還提供兩種模式的事件響應(yīng)預(yù)約服務(wù)：免費(fèi)預(yù)約或預(yù)付費(fèi)時(shí)數(shù)。

6.NTT數(shù)據(jù)MDR

總部位于東京的NTT是一家全球電信和技術(shù)集成商。其安全服務(wù)部門的MDR提供云原生安全分析和響應(yīng)平臺(tái)，具有DFIR、威脅搜尋、持續(xù)監(jiān)控和遠(yuǎn)程隔離功能，并提供24/7技術(shù)指導(dǎo)。NTT Data還提供云安全、應(yīng)用程序安全、端點(diǎn)管理、以及治理、風(fēng)險(xiǎn)和合規(guī)服務(wù)。

7.Secureworks應(yīng)急響應(yīng)

Secureworks反威脅部門研究團(tuán)隊(duì)在全球分布的五個(gè)SOC中運(yùn)作，為事件預(yù)防、檢測和響應(yīng)提供評(píng)估、測試和演練服務(wù)。其緊急事件響應(yīng)服務(wù)提供遠(yuǎn)程或現(xiàn)場技術(shù)和咨詢服務(wù)，包括取證和威脅分析、遏制、系統(tǒng)恢復(fù)和事件后改進(jìn)建議。該公司還在八個(gè)國家設(shè)有24/7緊急熱線電話。

8.Sygnia事件響應(yīng)

Sygnia總部位于以色列，在紐約、新加坡和倫敦設(shè)有辦事處，提供事件響應(yīng)服務(wù)、事件響應(yīng)準(zhǔn)備服務(wù)、數(shù)字取證、威脅搜尋、高級(jí)監(jiān)控和訴訟支持以及托管XDR。它還提供事件響應(yīng)保留器，以及主動(dòng)防御和對(duì)抗性安全服務(wù)。

9.Trustwave MDR

總部位于美國的Trustwave在全球擁有八個(gè)SOC，提供MDR服務(wù)，以及24/7威脅監(jiān)控、威脅搜尋、事件響應(yīng)和遏制以及漏洞和滲透測試服務(wù)。該公司與各種電信和服務(wù)提供商合作，提供本地化支持和更快的事件響應(yīng)。購買DFIR保留服務(wù)的客戶可以獲得遠(yuǎn)程和現(xiàn)場事件支持，并可以聯(lián)系Trustwave內(nèi)部SpiderLabs網(wǎng)絡(luò)安全專家團(tuán)隊(duì)。

10.Verizon事件響應(yīng)和調(diào)查

全球電信巨頭Verizon在全球運(yùn)營著9個(gè)SOC和6個(gè)數(shù)字取證中心。該公司提供事件響應(yīng)計(jì)劃和調(diào)查服務(wù)以及事件后支持。購買快速響應(yīng)保留服務(wù)的客戶可以協(xié)商服務(wù)合同、獲得24/7支持并與指定的調(diào)查聯(lián)絡(luò)人合作。附加組件包括暗網(wǎng)狩獵、網(wǎng)絡(luò)和端點(diǎn)遙測分析、數(shù)據(jù)恢復(fù)和惡意軟件逆向工程等。

注：上述名單排名不分先后，主要評(píng)選依據(jù)來自Gartner、G2和SoftwareTestingHelp的市場報(bào)告和供應(yīng)商排名。