政府會(huì)針對各種突發(fā)公共事件,例如地震,火災(zāi),流行疾病等設(shè)立各種應(yīng)急流程預(yù)案,通過該流程的執(zhí)行的可以在災(zāi)難突現(xiàn)時(shí)將社會(huì)損失減到最小。同樣辦公室所處的樓宇物業(yè)也會(huì)針對各種突發(fā)事件制定應(yīng)急響應(yīng)流程，我們都會(huì)參加過物業(yè)定期舉行的消防演練。

隨著移動(dòng)互聯(lián)和云計(jì)算以及IOT設(shè)備的普及，企業(yè)面臨信息安全威脅會(huì)越多越復(fù)雜和有針對性，其中企業(yè)商業(yè)信息泄露的安全威脅最為突出。IBM和Ponemon Institute的一份關(guān)于“2015年數(shù)據(jù)泄露的損失”的研究顯示，企業(yè)每一次數(shù)據(jù)泄露的平均損失為379萬美元，這一數(shù)字將會(huì)在2016年內(nèi)持續(xù)增長。當(dāng)企業(yè)有了適當(dāng)及時(shí)的準(zhǔn)備來及時(shí)響應(yīng)信息安全攻擊威脅時(shí)，就可大幅度減少被網(wǎng)絡(luò)罪犯攻擊的機(jī)會(huì)。

當(dāng)前企業(yè)缺少完善的安全事件應(yīng)急響應(yīng)流程

企業(yè)中安全操作與事件響應(yīng)有很大的不足

在本人參與的安全項(xiàng)目中，真正制定和實(shí)施安全事件響應(yīng)平臺(tái)的企業(yè)比例很小，其中有些企業(yè)即使已經(jīng)開始設(shè)計(jì)和實(shí)施相應(yīng)的響應(yīng)流程依然很難做到完善和自動(dòng)化，企業(yè)缺乏安全事件響應(yīng)的能力我認(rèn)為主要是因?yàn)橐韵聨c(diǎn)原因：

信息安全建設(shè)以主動(dòng)防御為主

絕大部分企業(yè)在建設(shè)信息安全體系時(shí)僅注重主動(dòng)防御，以為部署了防火墻，入侵防御設(shè)備和防病毒軟件就可以100%地應(yīng)對各種安全入侵。針對當(dāng)前復(fù)雜的安全攻擊缺少發(fā)現(xiàn)能力更沒有應(yīng)急響應(yīng)的意識。

技術(shù)欠缺，很難快速響應(yīng)

眾多復(fù)雜的安全攻擊行為是跨設(shè)備跨應(yīng)用的，對于企業(yè)現(xiàn)有的安全部門技術(shù)人員很難獨(dú)立應(yīng)對復(fù)雜的安全攻擊并進(jìn)行及時(shí)的響應(yīng)。

缺少事先定義好的流程

復(fù)雜的網(wǎng)絡(luò)攻擊往往跨越多個(gè)系統(tǒng)和應(yīng)用，影射到企業(yè)將會(huì)跨越不同的部門，因此建立完整的應(yīng)急響應(yīng)流程是非常復(fù)雜和耗時(shí)的事情，如果流程沒有及時(shí)定義將很難及時(shí)對復(fù)雜攻擊進(jìn)行響應(yīng)。

缺少對業(yè)務(wù)和行業(yè)法律法規(guī)以及合規(guī)要求的理解

企業(yè)一般認(rèn)為信息安全事件僅僅是安全小組的事情，安全小組的技術(shù)人員很難對基于企業(yè)商業(yè)的攻擊以及企業(yè)商業(yè)違規(guī)行為理解并及時(shí)判斷和響應(yīng)。

Resilient的事件響應(yīng)平臺(tái)幫助企業(yè)快速應(yīng)對安全事件

Resilient System的事件響應(yīng)平臺(tái)(IRP)

本人曾經(jīng)參與過多家企業(yè)安全事件應(yīng)急響應(yīng)流程的設(shè)計(jì)工作。傳統(tǒng)的安全事件應(yīng)急響應(yīng)流程設(shè)計(jì)過程是在企業(yè)現(xiàn)有的流程平臺(tái)上針對不同的攻擊類型手動(dòng)地定義參與的部門和人員以及相應(yīng)的行動(dòng)來應(yīng)對。在這種模式下一旦安全事件發(fā)生很難實(shí)現(xiàn)自動(dòng)化，在部門協(xié)調(diào)和扯皮上浪費(fèi)非常多的時(shí)間，更多時(shí)候由于沒有被流程設(shè)定的攻擊類型發(fā)生時(shí)相關(guān)管理人員將很難有正確地響應(yīng)。

Resilient System的事件響應(yīng)平臺(tái)(IRP)是一個(gè)將流程(Process),人員(People)和技術(shù)(Technology)進(jìn)行緊密集成的自動(dòng)化平臺(tái),它基于世界上最大的監(jiān)管法規(guī)知識庫并通過內(nèi)置的行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐幫助企業(yè)進(jìn)行快速安全事件應(yīng)急響應(yīng)。參與流程的員工確切知道自己應(yīng)該做什么而不是將時(shí)間浪費(fèi)在內(nèi)部協(xié)調(diào)和不知所措上。企業(yè)安全管理人員只需要利用IRP中大量的已經(jīng)定義的流程或者適當(dāng)進(jìn)行定制就可以快速地應(yīng)對絕大多數(shù)的安全事件而無需手動(dòng)過程。

Resilient System的事件響應(yīng)平臺(tái)(IRP)可以與企業(yè)現(xiàn)有的SIEM，GRC或者反惡意軟件等平臺(tái)進(jìn)行無縫集成，當(dāng)這些系統(tǒng)分析出安全事件時(shí)直接通過接口自動(dòng)化調(diào)用IRP的相應(yīng)流程就可以實(shí)現(xiàn)自動(dòng)化的事件響應(yīng)。

Resilient System的事件響應(yīng)平臺(tái)(IRP)內(nèi)置分析模塊，可以對每一次的事件響應(yīng)進(jìn)行分析，例如響應(yīng)的時(shí)間(TTR)，并可以發(fā)現(xiàn)流程中的不足點(diǎn)提醒企業(yè)相關(guān)人員進(jìn)行不斷地修正來改善現(xiàn)有流程。

就像樓宇物業(yè)經(jīng)常進(jìn)行消防演練一樣，對于安全事件防患于未然尤其重要。IRP中內(nèi)置了桌面演練和安全事件模擬平臺(tái)可以不斷地幫助企業(yè)安全事件響應(yīng)團(tuán)隊(duì)對各種潛在的安全威脅進(jìn)行演練和模擬，當(dāng)真正的威脅到來之時(shí)可以從容和快速地應(yīng)對。

IBM Security為企業(yè)提供從防護(hù)，到檢測再到響應(yīng)的全面安全防護(hù)能力

IBM Security從防護(hù)，到檢測再到響應(yīng)

在IBM安全框架中我們可以看到IBM安全解決方案四條產(chǎn)品線：身份安全，數(shù)據(jù)安全，應(yīng)用安全和基礎(chǔ)架構(gòu)安全致力于幫助企業(yè)建立全面的安全防護(hù)體系從而可以阻止典型網(wǎng)絡(luò)攻擊對企業(yè)的入侵。

由于當(dāng)前網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性，例如未能及時(shí)披露和修補(bǔ)的零日漏洞被利用，企業(yè)安全架構(gòu)中的短板，安全管理人員的錯(cuò)誤配置等，企業(yè)僅僅依靠傳統(tǒng)的防護(hù)體系是很難100%應(yīng)對這些全新的安全挑戰(zhàn)。因此基于數(shù)據(jù)分析和威脅情報(bào)來發(fā)現(xiàn)潛在的未能被阻止的攻擊和威脅將對于傳統(tǒng)的安全防護(hù)體系提供有效的補(bǔ)充。IBM Qradar安全智能平臺(tái)基于X-Force威脅情報(bào)并將企業(yè)內(nèi)的各種日志，網(wǎng)絡(luò)流量，網(wǎng)絡(luò)配置，資產(chǎn)漏洞，人員和數(shù)據(jù)操作行為等進(jìn)行關(guān)聯(lián)分析可以幫助企業(yè)發(fā)現(xiàn)未被及時(shí)阻止的攻擊和威脅。

通過App exchange可以實(shí)現(xiàn)Qradar與IRP的緊急集成

IBM在收購Resilient IRP之前，Qradar安全智能平臺(tái)發(fā)現(xiàn)潛在的攻擊和威脅后將通過與企業(yè)現(xiàn)有的Ticket平臺(tái)集成實(shí)現(xiàn)安全事件的應(yīng)急響應(yīng)。在這種集成模式中，整個(gè)流程需要人為在Ticket系統(tǒng)進(jìn)行定制。

現(xiàn)在通過App Exchange ，Qradar安全智能平臺(tái)可以與Resilient IRP無縫集成，企業(yè)可以通過Resilient IRP內(nèi)置的標(biāo)準(zhǔn)流程，操作規(guī)程和行業(yè)最佳實(shí)踐快速地制定安全事件應(yīng)急響應(yīng)流程。

IBM Security現(xiàn)在可以為企業(yè)提供從防護(hù)，到檢測再到響應(yīng)的全面安全防護(hù)能力。