有关事件响应（IR）自动化和协同的几点反思

有关事件响应（IR）自动化和协同的几点反思

IR（incident response），顾名思义，事件响应，旨在对一些潜在的危机，如数据外泄、DoS或DDoS攻击、防火墙外泄、病毒或恶意软件爆发等威胁进行响应。

随着各种项目互联网化，商业事件响应工具增势甚猛。

就在本周，我重新回顾了几个有关事件响应（IR）自动化和协同的采访。很多专业从事网络安全的专业人士参与了这些采访，他们共同指出了一些值得我们反思的问题：

1、IR通常由基本工具、手动过程和关键人员组成。

虽然故障标签和ITSM（information technology service management 信息技术服务管理）工具是非常普遍且相当成熟的，但是太多的企业组织仍然使用非常古老的方法应对突发事件。

换句话说，他们依然依赖纸张、电子表格、电子邮件交接以及很擅长找到受损的系统和恶意网路流量的安全分析师。

2、组织尝试并使用商业工具。

很多组织机构或企业尝试使用Remedy或ServerceNow ITSM来凑出一种响应方式，但是这些工具是为IT操作员设计的、用于技术支持，并不是专门的事件响应工具。

通常来说，SOC（security operation center 安全管理中心）团队希望在整个生命周期中进行事件跟踪，但是使用IT管理工具并不是一种有效的方式。

3、太多公司使用自建IR软件。

很多公司尝试手动之外的方式，但是他们选择的是拼凑脚本、应用和数据库以达到事件响应的目的。有些时候，他们使用开源工具，比如来自Netflix或RTIR的FIDO。

虽然他们是出于好意做出这些努力，但是当拼凑出来的东西缺少某些功能、规模又不够大、又非常易于集成时，这些公司似乎又失败了。此外，大多数的安全组织并不想参与开发和维护软件的业务。

4、IR正从即可响应转成提前预应。

过去，严重事件的发现会引发一些行动，比如捕获网络数据包（PCAP）、部署断电取证工具等以查找可疑人为痕迹、文件、内存进程等。

许多组织已经或正在转向使用来自Arbor Networks、Cisco、ExtraHop、RSA或Symantec的工具进行连续监测以进行网络安全分析，并在端点使用来自Carbon Black、Countertack、Cybereason、Endgame或Guidance Software的工具。

5、初始目标倾向于之前的协同

安全专家意识到某些类型的IR过程，例如收集和丰富安全数据、调查电子邮件钓鱼或在主机和网络上寻找loC活动等，都需要大量的手动操作，需要几个小时或几天才能完成。

我发现许多组织都通过映射其中一个步骤开始他们的IR自动化和协同项目，然后使用协同工具缓解繁重的工作量。一旦协同了一个流程，组织倾向于使用以前学到的知识来协同其他复杂的任务。

其实这样做非常有道理，因为几乎每个组织都缺少网络安全技能，同时还希望现有员工所做的工作有所成效。

6、自动化快速跟进

组织倾向于从基础开始——终止网络连接、隔离系统、阻止与IP地址的连接等。尤其是经验丰富的组织对其威胁情报程序进行操作时。

IR自动化和协同正在进化成为不断发展的安全操作分析平台架构（sercurity operations and analytics platform architecture）的关键功能。

当我几年前初涉IR这个领域时，各个企业组织要么卷起袖子拼凑自己的时间响应自动化协同方案、要么被警报淹没进行手动干涉。 但是时至2017年，IR自动化和协同项目似乎正在顺利进行，至少它出现在了每个首席信息安全官的重要事项中。

鉴于IR自动化和协同的兴起，很多大型厂商，如CyberSponse, FireEye (Invotas), Hexadite, IBM (Resilient), Phantom Cyber, ServiceNow, Simplify 和 Swimlane 都将出现在即将举行的RSA安全会议上。

*参考来源：network，FB小编FireFrank编译，转载请注明来自Freebuf.COM