有关事件响应(IR)自动化和协同的几点反思

有关事件响应(IR)自动化和协同的几点反思

IR(incident response),顾名思义,事件响应,旨在对一些潜在的危机,如数据外泄、DoS或DDoS攻击、防火墙外泄、病毒或恶意软件爆发等威胁进行响应。

随着各种项目互联网化,商业事件响应工具增势甚猛。

就在本周,我重新回顾了几个有关事件响应(IR)自动化和协同的采访。很多专业从事网络安全的专业人士参与了这些采访,他们共同指出了一些值得我们反思的问题:

1、IR通常由基本工具、手动过程和关键人员组成。

虽然故障标签和ITSM(information technology service management 信息技术服务管理)工具是非常普遍且相当成熟的,但是太多的企业组织仍然使用非常古老的方法应对突发事件。

换句话说,他们依然依赖纸张、电子表格、电子邮件交接以及很擅长找到受损的系统和恶意网路流量的安全分析师。

2、组织尝试并使用商业工具。

很多组织机构或企业尝试使用Remedy或ServerceNow ITSM来凑出一种响应方式,但是这些工具是为IT操作员设计的、用于技术支持,并不是专门的事件响应工具。

通常来说,SOC(security operation center 安全管理中心)团队希望在整个生命周期中进行事件跟踪,但是使用IT管理工具并不是一种有效的方式。

3、太多公司使用自建IR软件。

很多公司尝试手动之外的方式,但是他们选择的是拼凑脚本、应用和数据库以达到事件响应的目的。有些时候,他们使用开源工具,比如来自Netflix或RTIR的FIDO。

虽然他们是出于好意做出这些努力,但是当拼凑出来的东西缺少某些功能、规模又不够大、又非常易于集成时,这些公司似乎又失败了。此外,大多数的安全组织并不想参与开发和维护软件的业务。

4、IR正从即可响应转成提前预应。

过去,严重事件的发现会引发一些行动,比如捕获网络数据包(PCAP)、部署断电取证工具等以查找可疑人为痕迹、文件、内存进程等。

许多组织已经或正在转向使用来自Arbor Networks、Cisco、ExtraHop、RSA或Symantec的工具进行连续监测以进行网络安全分析,并在端点使用来自Carbon Black、Countertack、Cybereason、Endgame或Guidance Software的工具。

5、初始目标倾向于之前的协同

安全专家意识到某些类型的IR过程,例如收集和丰富安全数据、调查电子邮件钓鱼或在主机和网络上寻找loC活动等,都需要大量的手动操作,需要几个小时或几天才能完成。

我发现许多组织都通过映射其中一个步骤开始他们的IR自动化和协同项目,然后使用协同工具缓解繁重的工作量。一旦协同了一个流程,组织倾向于使用以前学到的知识来协同其他复杂的任务。

其实这样做非常有道理,因为几乎每个组织都缺少网络安全技能,同时还希望现有员工所做的工作有所成效。

6、自动化快速跟进

组织倾向于从基础开始——终止网络连接、隔离系统、阻止与IP地址的连接等。尤其是经验丰富的组织对其威胁情报程序进行操作时。

IR自动化和协同正在进化成为不断发展的安全操作分析平台架构(sercurity operations and analytics platform architecture)的关键功能。

当我几年前初涉IR这个领域时,各个企业组织要么卷起袖子拼凑自己的时间响应自动化协同方案、要么被警报淹没进行手动干涉。 但是时至2017年,IR自动化和协同项目似乎正在顺利进行,至少它出现在了每个首席信息安全官的重要事项中。

鉴于IR自动化和协同的兴起,很多大型厂商,如CyberSponse, FireEye (Invotas), Hexadite, IBM (Resilient), Phantom Cyber, ServiceNow, Simplify 和 Swimlane 都将出现在即将举行的RSA安全会议上。

*参考来源:network,FB小编FireFrank编译,转载请注明来自Freebuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-01-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java学习网

5种类型的程序员

5种类型的程序员 在我的代码旅程和编程冒险中,我遇到过很多奇怪的敌人,以及陌生的盟友。我发现至少有五种不同类型的代码战士,有的人能成为并肩合作的战友,而有些人似...

2998
来自专栏新智元

谷歌被爆强制追踪用户位置信息,以此获利高达954亿美元!

正如hCaptcha的创始人Eli-shaoul Khedouri所说:“大多数人都没有意识到,每次他们登录网站进行验证,点击那些小汽车的时候,他们正在帮助谷歌...

1002
来自专栏FreeBuf

一个人的企业安全建设之路

前言 如今很多中小型互联网公司对安全需求不高,安全资源贫乏,领导只重视业务忽略安全,在这种情况下可能安全人员很难立足,推动公司做好安全,从而进入了进退两难的窘境...

4075
来自专栏速成应用小程序开发平台

喜茶如何打造一款效率至上的小程序 三个月累积百万用户?

估计十有八九的人都会回答“排队”。在喜茶门店门口,这是最常见的情况:十几、二十岁的年轻人,他们刷着手机、玩着自拍,通常排一两个,甚至是三四个小时的队等待一杯他们...

1923
来自专栏黑白安全

我的渗透测试之道

我做渗透测试也有一段时间了,服务了很多企事业单位,由于我所在的单位性质的关系,也接触到了很多其他公司接触不到的项目,从中也积累了很多的经验。

1292
来自专栏大数据文摘

从成人网站年终数据统计看各操作系统的份额表现

4277
来自专栏程序员宝库

法国政府搞的一个软件项目,坑出新境界

【编者按】:很多软件项目开发时间大大超出了规划的时间,投入大量资金和人力,都没有实在的结果。如果你讨厌你的编程工作,请认真阅读这篇 2008 年的文章吧。法国科...

1483
来自专栏about云

老外对中国式App设计趋势的分析:中国移动应用设计趋势解读

导读: 作为一个开发者,如果你还不关注移动云开发,那么你很快就被淘汰了。下面来看看老外对中国移动的分析 ? 今年夏天,我收拾好所有行李,从旧金山搬到了广州工...

51312
来自专栏养码场

Python终极版!250G视频教程,73套电子书,一网打尽决不放弃!

场主听说过有技术人用Python画画:通过Python的深度学习算法包,训练计算机模仿世界名画的风格,然后应用到一张画上面。

1112
来自专栏vue学习

用vue实现简易的音乐webApp

1、前言 学了半个月的vue,做这个小项目也做了半个月;数据是实时抓取自QQ音乐的api接口,主要的功能实现是对网页版的qq音乐功能来做参考。 2、关于项目

2012

扫码关注云+社区

领取腾讯云代金券