在數(shù)字化時代，企業(yè)面臨著來自網(wǎng)絡攻擊的威脅與日俱增。一旦發(fā)生網(wǎng)絡攻擊，快速有效的事件響應/應急響應至關重要，是減少損失并保護業(yè)務連續(xù)性的關鍵措施。

事件響應是一個較為復雜的安全流程，需要多種工具和技術的協(xié)同配合。企業(yè)可以選擇合適工具自行建設事件響應能力(本地部署)，也可以外包給專業(yè)的安全服務提供商。

在介紹十大知名事件響應工具和服務商之前，我們先對事件響應工具和服務進行簡單的介紹：

事件響應工具

事件響應工具可以幫助企業(yè)自動化檢測、調(diào)查和響應安全事件。常見的事件響應工具包括以下幾類：

安全信息和事件管理(SIEM)系統(tǒng)：SIEM系統(tǒng)可以收集來自網(wǎng)絡、系統(tǒng)和應用程序的大量日志數(shù)據(jù)，并通過分析這些數(shù)據(jù)來識別潛在的安全威脅。

端點檢測和響應(EDR)系統(tǒng)：EDR系統(tǒng)可以監(jiān)控和分析端點設備的行為，以檢測和響應安全事件。

威脅情報(TI)系統(tǒng)：威脅情報系統(tǒng)可以提供有關已知和潛在威脅的信息，幫助企業(yè)提高安全態(tài)勢感知。

安全編排、協(xié)調(diào)和響應(SOAR)系統(tǒng)：SOAR系統(tǒng)可以自動化事件響應流程，提高響應效率。

事件響應服務

專業(yè)的安全服務提供商可以提供全面的事件響應服務，具體包括以下幾類：

• 24/7監(jiān)控和響應：安全服務提供商可以通過24/7監(jiān)控來檢測安全事件，并在發(fā)生事件時立即進行響應。
• 調(diào)查和分析：安全服務提供商可以利用其專業(yè)知識和經(jīng)驗來調(diào)查安全事件，并分析事件原因和影響。
• 恢復和修復：安全服務提供商可以幫助企業(yè)恢復受損系統(tǒng)和數(shù)據(jù)，并修復安全漏洞。
• 選擇事件響應解決方案

本地部署還是外包?

事件響應需要多種工具和技術，包括端點產(chǎn)品、網(wǎng)絡安全平臺、專門的惡意軟件分析工具和具有自動化功能的軟件，無法通過一體化平臺完成。

大多數(shù)企業(yè)已經(jīng)擁有事件響應相關安全工具，包括SIEM系統(tǒng)、漏洞掃描器、端點檢測和響應(EDR)、反惡意軟件和防火墻等。最近，用戶行為分析(UBA);安全編排、自動化和響應(SOAR);擴展檢測和響應(XDR)也開始進入企業(yè)的“武器庫”，已經(jīng)擁有上述工具的企業(yè)更適合嘗試本地部署和執(zhí)行事件響應任務。

選擇本地部署還是外包，還與企業(yè)所面臨威脅的性質(zhì)和復雜性有關。安全團隊需要使用風險分析和業(yè)務影響分析來確定事件響應的類型，并制定事件響應計劃。本地部署適合相對簡單的威脅。

如果風險和業(yè)務影響分析表明可能發(fā)生更嚴重的事件，企業(yè)可能需要考慮規(guī)劃流程外包給安全服務提供商。此外，在多地擁有分支機構的企業(yè)也可能更適合外包，因為每個地點可能有不同的風險、威脅和漏洞，并且每個地點可能需要定制方案來滿足其獨特的需求。

另外，企業(yè)還要考慮人員配置，以及是否擁有具備完成事件響應生命周期流程所需的專業(yè)員工，以及足夠的預算。

如何選擇事件響應工具

使用風險和業(yè)務影響分析來識別企業(yè)可能發(fā)生的安全事件，以此確定需要哪些工具。

在購買事件響應工具包時，請考慮這些工具是否及如何協(xié)同工作。工具的可集成性對于確保正確的分析、調(diào)查和響應非常重要。單個安全供應商通?？梢蕴峁┒喾N技術，來自不同供應商的工具也可以相互連接以共享信息并協(xié)同進行事件響應。

事件響應工具的選型還應該考慮事件響應標準和框架，并從合規(guī)性和審計的角度來評估，這一點也很重要。

十大事件響應工具

事件響應生命周期需要多種工具，為了便于用戶了解流行的事件響應工具功能、交付方式和定價模式，我們整理了全球較為知名的十種事件響應工具的信息如下：

1.AT&T USM Anywhere

AT&T的統(tǒng)一安全管理(USM) Anywhere提供自動威脅檢測，其威脅情報來自AT&T AlienLabs安全團隊和AT&T AlienLabs Open Threat Exchange。AT&T的USM產(chǎn)品具有發(fā)現(xiàn)功能(包括網(wǎng)絡資產(chǎn)發(fā)現(xiàn)和云資產(chǎn)發(fā)現(xiàn))、分析功能(包括SIEM事件關聯(lián)和用戶活動監(jiān)控)、檢測功能(包括云入侵檢測和EDR)、事件響應、漏洞掃描和暗網(wǎng)監(jiān)控功能，以及報告功能。

USM Anywhere是一款SaaS產(chǎn)品，提供Essentials、Standard和Premium三種套餐，起價分別為每月1075美元至2595美元。

2.CrowdStrike Falcon Insight

CrowdStrike Falcon Insight是一個XDR和EDR平臺，具有連續(xù)日志記錄、人工智能驅(qū)動的威脅檢測、威脅搜尋、態(tài)勢感知、響應、簡化的通知和威脅優(yōu)先級分類功能。Falcon Insight可與CrowdStrike的SOAR平臺FalconFusion集成實現(xiàn)自動響應功能。警報可映射到MitreATT&CK框架。

Falcon Insight也是一款SaaS產(chǎn)品，作為Falcon Enterprise和Elite軟件包的一部分提供，按端點數(shù)量銷售訂閱許可。

3.Cynet 360 AutoXDR平臺

Cynet 360 AutoXDR平臺將威脅檢測和預防、日志分析和數(shù)據(jù)關聯(lián)以及事件響應和自動化集成到一個平臺中。功能包括EDR、UBA、網(wǎng)絡檢測和響應(NDR)、欺騙技術、沙箱和威脅情報，以及SaaS安全態(tài)勢管理和云安全態(tài)勢管理。

該產(chǎn)品支持云端、混合或本地部署。集成了Cynet的24/7托管檢測和響應服務CyOps，無需額外付費。

4.Datadog云SIEM

平臺提供商Datadog提供基于云的SIEM和自動化事件管理集成。Cloud SIEM結(jié)合了可觀察性和安全調(diào)查，映射到Mitre ATT&CK框架，并具有自定義規(guī)則編輯器，可幫助團隊檢測和響應跨應用程序、網(wǎng)絡、工作負載和基礎設施的威脅。

產(chǎn)品定價標準為每月每百萬分析事件5美元，按年計費，自動化工作流程單獨計費。還可提供按需定價。

5.Exabeam Fusion

Exabeam Fusion是一個云端交付產(chǎn)品，結(jié)合了SIEM和XDR功能，Exabeam將其稱為“新一代SIEM”。Fusion具有威脅檢測、調(diào)查和響應、日志管理和分析功能。它還包括UBA、企業(yè)通用信息模型、警報優(yōu)先級以及報告和儀表板?？蛇x的事件響應程序附加組件可幫助協(xié)調(diào)和自動化響應。

Exabeam Fusion的威脅情報源基于其自身的威脅情報服務，無需額外付費。

6.IBM安全QRadar

IBM的事件響應安全產(chǎn)品套件QRadar包括以下功能：

• QRadar EDR，具有攻擊可見性、人工智能驅(qū)動的警報管理和勒索軟件預防功能。
• QRadar LogInsights，提供可見性、可觀察性、人工智能驅(qū)動的風險優(yōu)先級和自動威脅調(diào)查。
• QRadar SIEM，具有NDR、UBA和威脅情報功能。
• QRadar SOAR，提供自動化攻擊響應和工作流程以及可定制的劇本。

QRadar SIEM使用安全和行為分析來檢測異常，提供優(yōu)先級警報并與Mitre ATT&CK框架保持一致。它可以作為本地軟件、云部署或通過QRadar on Cloud的SaaS提供。

定價基于每秒的事件數(shù)或每分鐘的流量，作為無限制的基于服務器的許可證或基于訂閱的許可證。請聯(lián)系該公司了解定價。

7.KnowBe4 PhishER網(wǎng)絡釣魚事件響應

安全意識培訓和模擬網(wǎng)絡釣魚平臺供應商KnowBe4的PhishER是一個基于云的網(wǎng)絡釣魚事件響應平臺，可幫助事件響應團隊檢測和響應網(wǎng)絡釣魚相關的安全事件。該公司將其描述為一個輕量級的電子郵件SOAR平臺，可以分析傳入的消息(郵件)，根據(jù)威脅級別進行過濾，并自動對潛在威脅進行優(yōu)先級排序。其PhishRIP功能可隔離所有員工郵箱中的潛在威脅。

PhishER是一款SaaS產(chǎn)品，按用戶數(shù)量定價。

8.LogRhythm SIEM

LogRhythm的SIEM平臺結(jié)合了日志管理、分析、UBA、網(wǎng)絡流量分析、SOAR和端點監(jiān)控，可幫助安全團隊提高可見性、防止暴露，并快速有效地檢測和響應威脅。它與該公司的威脅情報服務以及第三方威脅源集成。

該產(chǎn)品可通過托管安全服務提供商在本地、云端部署，或作為Axon平臺中的SaaS進行部署。

9.Splunk Enterprise Security

Splunk Enterprise Security是一款SIEM產(chǎn)品，位于Splunk平臺之上。Splunk Enterprise Security可作在云端、本地或混合部署使用，提供基于風險的警報、威脅檢測以及分析和響應功能。該產(chǎn)品提供所謂的“自適應響應”的自動響應功能;為了進一步實現(xiàn)自動化，可以使用Splunk SOAR。其他集成包括Splunk UBA、Splunk On-Call(一種警報和消息傳遞事件響應工具)、IT服務情報(一個監(jiān)控和可見性插件)。Splunk Enterprise Security映射到MitreATT&CK框架、NIST、互聯(lián)網(wǎng)安全中心的關鍵安全控制和網(wǎng)絡殺傷鏈等框架。

Splunk Enterprise Security提供基于工作負載和數(shù)據(jù)處理量的多種定價模式。

10.XMatters

軟件公司Everbridge的XMatters是一個服務可靠性平臺，可實現(xiàn)自動化事件管理，同時也提供事件響應的分析、協(xié)作和報告功能。XMatter作為SaaS產(chǎn)品面向DevOps以及運營團隊和工程師，但它也可以幫助解決IT事件以及網(wǎng)絡安全事件響應。

XMatttters提供免費、基本、標準和高級四種定價，不同級別包含的事件響應功能不同。

十大事件響應服務提供商

以下是10家領先的事件響應服務提供商(全球市場)。大多數(shù)都提供一系列托管安全和相關服務，包括咨詢。上面列出的一些事件響應工具提供商也還提供托管事件響應服務：

1.AT&T托管威脅檢測和響應

AT&T是美國占主導地位的電信提供商，憑借其內(nèi)聯(lián)互聯(lián)網(wǎng)和WAN監(jiān)控服務，在事件響應服務市場中處于獨特的地位。AT&T利用其全球分布的安全運營中心(SOC)，通過其USM平臺提供24/7托管威脅檢測和響應。服務包括EDR、云安全、防火墻和安全遠程訪問。客戶還可以訪問AT&T Alien Labs Open Threat Exchange，深入了解全球網(wǎng)絡安全專家社區(qū)在威脅識別、可操作的見解和報告方面所采取的行動。

2.BAE Systems事件響應

BAE Systems成立于1999年，是全球最早的網(wǎng)絡安全事件響應供應商之一。這家總部位于英國的公司提供先發(fā)制人的威脅防御服務，包括定制威脅情報工具、滲透測試和攻擊準備工具。如果發(fā)生攻擊或違規(guī)，BAE Systems會使用英國、美國或澳大利亞的三個支持中心之一來進行事件響應。如果需要，BAE Systems可以將其專家部署到客戶所在地。該公司還可以協(xié)助證據(jù)獲取、逆向工程、技術和執(zhí)行響應以及公關管理。

3.Cyderes企業(yè)MDR

Cyderes總部位于多倫多，提供數(shù)字取證和事件響應(DFIR)服務。該公司在全球擁有六個SOC，提供24/7事件歸因、取證和分析、事件遏制和事件后審查服務。保留服務還包括規(guī)劃、咨詢和咨詢服務以及桌面演習。

4.Cynet CyOps

Cynet總部位于波士頓，提供CyOps(24/7MDR服務)。該公司在美國和以色列設有辦事處，并在歐盟設有聯(lián)系電話。MDR提供商提供檢測、調(diào)查和響應服務;點播和實時建議;定期報告，包括時事通訊、技術和惡意軟件報告。

5.Mandiant事件響應

Mandiant現(xiàn)在是Google Cloud的一部分，提供24/7事件響應和安全服務。該提供商在全球30多個國家/地區(qū)設有事件響應人員，提供調(diào)查、危機管理、遏制和恢復服務。Mandiant還提供兩種模式的事件響應預約服務：免費預約或預付費時數(shù)。

6.NTT數(shù)據(jù)MDR

總部位于東京的NTT是一家全球電信和技術集成商。其安全服務部門的MDR提供云原生安全分析和響應平臺，具有DFIR、威脅搜尋、持續(xù)監(jiān)控和遠程隔離功能，并提供24/7技術指導。NTT Data還提供云安全、應用程序安全、端點管理、以及治理、風險和合規(guī)服務。

7.Secureworks應急響應

Secureworks反威脅部門研究團隊在全球分布的五個SOC中運作，為事件預防、檢測和響應提供評估、測試和演練服務。其緊急事件響應服務提供遠程或現(xiàn)場技術和咨詢服務，包括取證和威脅分析、遏制、系統(tǒng)恢復和事件后改進建議。該公司還在八個國家設有24/7緊急熱線電話。

8.Sygnia事件響應

Sygnia總部位于以色列，在紐約、新加坡和倫敦設有辦事處，提供事件響應服務、事件響應準備服務、數(shù)字取證、威脅搜尋、高級監(jiān)控和訴訟支持以及托管XDR。它還提供事件響應保留器，以及主動防御和對抗性安全服務。

9.Trustwave MDR

總部位于美國的Trustwave在全球擁有八個SOC，提供MDR服務，以及24/7威脅監(jiān)控、威脅搜尋、事件響應和遏制以及漏洞和滲透測試服務。該公司與各種電信和服務提供商合作，提供本地化支持和更快的事件響應。購買DFIR保留服務的客戶可以獲得遠程和現(xiàn)場事件支持，并可以聯(lián)系Trustwave內(nèi)部SpiderLabs網(wǎng)絡安全專家團隊。

10.Verizon事件響應和調(diào)查

全球電信巨頭Verizon在全球運營著9個SOC和6個數(shù)字取證中心。該公司提供事件響應計劃和調(diào)查服務以及事件后支持。購買快速響應保留服務的客戶可以協(xié)商服務合同、獲得24/7支持并與指定的調(diào)查聯(lián)絡人合作。附加組件包括暗網(wǎng)狩獵、網(wǎng)絡和端點遙測分析、數(shù)據(jù)恢復和惡意軟件逆向工程等。

注：上述名單排名不分先后，主要評選依據(jù)來自Gartner、G2和SoftwareTestingHelp的市場報告和供應商排名。

其他建議

除了選擇合適的事件響應解決方案之外，企業(yè)還應采取以下措施來加強安全事件響應能力：

定期更新安全軟件：及時更新安全軟件可以幫助修復漏洞，降低被攻擊的風險。

進行安全意識培訓：員工的安全意識培訓可以幫助他們識別和應對安全威脅。

建立事件響應計劃：事件響應計劃可以幫助企業(yè)在發(fā)生事件時快速有效地響應。