事件响应 (IR) 是快速识别攻击、最小化其影响、控制损害并修复原因以降低未来事件风险的努力。
让我们定义事件响应
几乎每家公司在某种程度上都有一个事件响应流程。但是,对于那些希望建立更正式流程的公司,必须提出的相关问题是:
- 如果出现事件,激活参与响应事件的责任方的步骤是什么?
- 你的应对计划应该有多全面和具体?
- 你有足够的人(和合适的人)做出适当的回应吗?
- 对于事件响应和恢复正常运营,您可接受的 SLA 是什么?
根据 Ponemon Institute的一项研究,这些问题的答案很可能不是最优的,因为大多数公司在一个或多个领域都存在不足:
- 77% 的公司没有正式的、始终如一的应用计划
- 57% 表示响应时间有所增加
- 77% 的人表示他们很难聘用和留住安保人员*
平均而言,识别恶意或犯罪攻击需要 214 天,控制和恢复需要 77 天。很明显,需要更好的事件响应管理来充分保护组织免受他们每天面临的不断增长和加速的威胁。
事件响应的 ABC
A. 合适的团队 ——为了提供最有效的事件响应,行业专家建议在您的团队中包括以下角色,无论您的公司规模如何。显然,技术团队将带头,但您公司的其他职能领域也应该参与其中,尤其是在发生严重攻击时。一旦确定了这些角色的人员,教育他们在发生具有广泛影响的严重、广泛的攻击时他们的责任是什么:事件响应、安全分析、IT、威胁研究、法律、人力资源、企业通信、风险管理、执行和外部安全取证专家。
B. 正确的计划 ——全面的事件响应计划至少包括以下策略和流程:
- 准备好团队以应对任何威胁
- 检测并识别事件发生后的类型和严重性
- 遏制和限制损害
- 确定其影响和相关风险
- 找到并根除根本原因
- 缓解和解决攻击
- 分析和修改计划后攻击以防止未来的攻击
当攻击正在进行时,沟通是关键,因此请确保建立良好的沟通流程作为响应计划的一部分。
C. 正确的工具 ——随着未知攻击数量的增加,正确的工具可能能够为您的公司节省大量时间和金钱——这将有助于保护您的客户和您的品牌忠诚度。
信息是任何事件响应计划的关键资产。因此,基于云的端点安全解决方案通常为您提供最全面的工具,以最快的方式缓解攻击,包括通过以下方式访问关键数据:
- 未经过滤的数据捕获为响应团队提供了对端点行为的洞察,而不仅仅是先前发现的攻击模式和行为。这是将攻击调查从几天缩短到几分钟的关键,尤其是考虑到当今利用越来越多的未知攻击方法。
- 数据分析提供对所有端点活动的可见性,包括当前的和历史的。有了正确的数据,您就可以看到攻击从哪里开始并确定攻击的路径,所有这些都将有助于更快地修复它。
- 外部威胁情报有助于快速识别您尚未发现但其他公司已发现的威胁。再一次,如果你知道你在处理什么,你可以更快地做出反应。
- 实时响应功能可帮助您修复远程端点并消除不必要的重新映像。
行业脉搏:外包是事件响应不佳的解决方案吗?
几乎所有关于公司面临的安全挑战的研究都包括有关雇用和留住熟练安全人员的难度的统计数据,上述 Ponemon 研究中 77% 的人也是如此。在全球范围内迅速接近的关键安全职位短缺近 200 万人。
缺乏合适的安全人员会严重影响任何事件响应,以至于公司正在寻求外包这样的安全功能。事实上, Gartner 认为,2018 年安全外包服务支出将超过 180 亿美元,是仅次于咨询的第二大安全支出部分。
考虑到招聘合适人员的困难,这是有道理的,因为托管服务可以快速填补您在安全团队中的任何空白。它可以帮助您确定警报的优先级、发现新威胁并加速调查。这些服务通常由技术娴熟的威胁专家组成,他们可以持续关注您公司的环境,识别新出现的威胁并在您的团队最需要帮助时提供对关键安全服务的访问。
答案:合适的人员、计划、工具和合适的供应商
即使你有合适的人、合适的计划和合适的工具,仍然有可能发生一些事情,那么为什么要冒这个险呢?它有助于与合适的供应商合作,为您提供基于云的端点安全平台以及高级威胁搜寻功能。
如上所述,托管威胁搜寻专家可以监视您的环境并通知您的团队新出现的威胁。这些专家可以:
- 分析、验证警报并确定警报的优先级,以帮助推动正确的行动。
- 识别早期预警信号和趋势,并主动发送建议以确保做出自信的响应。
- 使用路线图发现根本原因,该路线图提供额外的上下文以简化调查和根本原因分析。
威胁猎手团队还可以为您提供整个端点部署的覆盖范围和威胁分类,因此您的团队可以专注于最关键的警报。您还可以访问全球威胁情报,帮助您在未来的攻击中领先一步。