安全團(tuán)隊(duì)需要保持良好“體態(tài)”，以便能以最佳的狀態(tài)運(yùn)轉(zhuǎn)，并能有效應(yīng)對(duì)今天這復(fù)雜又持續(xù)的攻擊。

[[205405]]

秋風(fēng)送爽，新的賽季拉開(kāi)序幕。隨著人們涌向體育場(chǎng)，或是打開(kāi)電視欣賞最喜歡的選手和球隊(duì)，我們都能感受到空氣中的那種興奮。賽季開(kāi)幕戰(zhàn)背后其實(shí)隱藏著很多的準(zhǔn)備工作。運(yùn)動(dòng)員們很早就開(kāi)始健身調(diào)整，向私人體能訓(xùn)練師、營(yíng)養(yǎng)師和教練尋求幫助，確保自己在競(jìng)爭(zhēng)加劇時(shí)還能保持巔峰競(jìng)技狀態(tài)。事實(shí)上，那些一直保持最佳狀態(tài)的運(yùn)動(dòng)員，整年都在接受場(chǎng)外專(zhuān)家團(tuán)隊(duì)的精心訓(xùn)練。

安全團(tuán)隊(duì)也應(yīng)采取類(lèi)似的方式以“保持體態(tài)”，緩解日益強(qiáng)大的對(duì)手的風(fēng)險(xiǎn)。

由于網(wǎng)絡(luò)安全人才持續(xù)緊缺，CIO、CSO和Computerworld網(wǎng)站聯(lián)合進(jìn)行了一次調(diào)查，發(fā)現(xiàn)56%的受訪者稱(chēng)自家公司招募外部顧問(wèn)輔助信息安全策略確立，40%稱(chēng)公司轉(zhuǎn)向托管安全服務(wù)提供商(MSSP)。Computer Economics 網(wǎng)站的《2017年IT開(kāi)支及人員配置展望》發(fā)現(xiàn)，在安全/隱私上的開(kāi)支位列IT優(yōu)先級(jí)列表首位，證實(shí)了外包趨勢(shì)——為了更好的服務(wù)質(zhì)量和成本節(jié)約。

MSSP可以緩和維護(hù)并管理安全產(chǎn)品及終端解決方案增殖的復(fù)雜度，讓其充分發(fā)揮價(jià)值。然而，現(xiàn)今的安全團(tuán)隊(duì)需要的不止這些。

大家都知道，公司遭到攻擊已經(jīng)不再是“會(huì)不會(huì)”，而是“什么時(shí)候”的問(wèn)題了。安全人員必須準(zhǔn)備好應(yīng)對(duì)這不可避免的狀況，而這意味著需要一支能夠幫你解答以下3個(gè)問(wèn)題的專(zhuān)家團(tuán)隊(duì)：

1. 數(shù)據(jù)泄露發(fā)生時(shí)，我的計(jì)劃是什么?
2. 如何知道自身網(wǎng)絡(luò)中有什么?
3. 如何確保有一支清楚本公司情況，且能在攻擊發(fā)生時(shí)快速采取行動(dòng)的團(tuán)隊(duì)?

為解決這些威脅檢測(cè)和事件響應(yīng)上的新要求，托管檢測(cè)和響應(yīng)(MDR)服務(wù)攜其額外的板凳實(shí)力(人員和先進(jìn)技術(shù))應(yīng)運(yùn)而生，提供如下功能：

1. 桌面推演(TTX)

采用專(zhuān)為客戶(hù)公司量身定制的場(chǎng)景，以及客戶(hù)最為關(guān)心的威脅類(lèi)型，桌面推演(TTX)是制定計(jì)劃處理數(shù)據(jù)泄露的極佳起始點(diǎn)。參與者應(yīng)涵蓋公司多個(gè)部門(mén)的主要利益相關(guān)者，而不僅僅是IT部門(mén)。測(cè)試當(dāng)天，場(chǎng)景討論過(guò)程中會(huì)不斷引入新的信息。這些側(cè)面信息會(huì)改變場(chǎng)景，模擬攻擊和調(diào)查的動(dòng)態(tài)本質(zhì)。推演結(jié)束，你便可以獲得對(duì)團(tuán)隊(duì)表現(xiàn)的客觀評(píng)價(jià)，包括強(qiáng)項(xiàng)、弱點(diǎn)、經(jīng)驗(yàn)教訓(xùn)，還有待改善領(lǐng)域的建議。

2. 威脅追捕

主動(dòng)找尋網(wǎng)絡(luò)中的壞人，盡快阻止他們以減輕傷害，是安全團(tuán)隊(duì)新的必做功課。威脅狩獵行動(dòng)，就是要找出潛在數(shù)據(jù)泄露的證據(jù)，調(diào)查該系統(tǒng)以確定發(fā)生了什么、怎么發(fā)生的，并確定可能受影響的其他系統(tǒng)以控制并修復(fù)攻擊。使用一系列工具，比如高級(jí)安全分析技術(shù)、大數(shù)據(jù)平臺(tái)和威脅情報(bào)，事件響應(yīng)專(zhuān)家可以在更好信息支持下更快采取行動(dòng)。他們可以將自己的狩獵專(zhuān)注在更易被入侵的資產(chǎn)上，并根據(jù)最新的威脅情報(bào)重新評(píng)估以往事件。

3. 聘用事件響應(yīng)服務(wù)

正如運(yùn)動(dòng)員需要持續(xù)接受教練團(tuán)隊(duì)的指導(dǎo)，才能在面對(duì)最強(qiáng)大對(duì)手時(shí)也表現(xiàn)良好，當(dāng)攻擊確實(shí)發(fā)生時(shí)，你也需要一支完整的團(tuán)隊(duì)隨時(shí)待命。鑒于市場(chǎng)上資深專(zhuān)家供不應(yīng)求的現(xiàn)狀，發(fā)現(xiàn)并留住菁英人才便成為了一項(xiàng)巨大的挑戰(zhàn)。這就是聘用事件響應(yīng)服務(wù)發(fā)揮作用的時(shí)候了。他們可以在攻擊中切入行動(dòng)，補(bǔ)充你的團(tuán)隊(duì)。即便在沒(méi)有積極參與事件響應(yīng)的時(shí)候，他們也能幫助專(zhuān)注和發(fā)展主動(dòng)防護(hù)工作。在過(guò)程中，他們將更加了解你的公司，提升他們?cè)陧憫?yīng)中的效率和有效性，而你的內(nèi)部團(tuán)隊(duì)則將能更好地處理需要注意的其他任務(wù)。

每一支安全團(tuán)隊(duì)都需要保持良好體型，以便能保持最佳狀態(tài)運(yùn)轉(zhuǎn)，并能有效應(yīng)對(duì)今天這復(fù)雜又持續(xù)的攻擊。托管檢測(cè)和響應(yīng)專(zhuān)家能提升你的表現(xiàn)——幫助你制定出有效計(jì)劃，弄清網(wǎng)絡(luò)中有什么，準(zhǔn)備好在攻擊發(fā)生時(shí)快速全面地緩解傷害。