信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

網(wǎng)絡(luò)安全事件的發(fā)生，往往意味著一家企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)將受到重大影響，甚至?xí)媾R法律層面的違規(guī)處罰。因此，企業(yè)必須提前準(zhǔn)備好響應(yīng)網(wǎng)絡(luò)安全事件的措施，并制定流程清晰、目標(biāo)明確的事件響應(yīng)計(jì)劃。而為了有效提升企業(yè)的網(wǎng)絡(luò)安全事件響應(yīng)能力，減小網(wǎng)絡(luò)攻擊破壞損失，并降低響應(yīng)的成本，部署應(yīng)用強(qiáng)大的網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)已必不可少。

網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)概述

網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)是一種專門用于檢測(cè)、分析、響應(yīng)和處置應(yīng)對(duì)網(wǎng)絡(luò)安全事件的軟件系統(tǒng)，能夠有效支持安全運(yùn)營(yíng)團(tuán)隊(duì)事件響應(yīng)預(yù)案的建立、執(zhí)行和處置，提升組織應(yīng)對(duì)突發(fā)性網(wǎng)絡(luò)攻擊的能力，并滿足行業(yè)主管機(jī)構(gòu)的監(jiān)管要求，保障重要信息系統(tǒng)、關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行。

在不斷發(fā)展的網(wǎng)絡(luò)威脅環(huán)境下，部署建立一個(gè)強(qiáng)大的、可用的網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)，不僅能夠幫助企業(yè)打造一種防患未然、完整可靠的安全文化，而且能夠更好地確保業(yè)務(wù)連續(xù)性，并維護(hù)組織商譽(yù)，獲得客戶和利益相關(guān)者的信任。

為了更好地了解和認(rèn)知安全事件響應(yīng)管理系統(tǒng)，我們首先了解以下常見(jiàn)的問(wèn)題：

1、網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)可以防范網(wǎng)絡(luò)攻擊嗎？

安全事件響應(yīng)管理系統(tǒng)并不是為了直接防范網(wǎng)絡(luò)攻擊而設(shè)計(jì)的。但是，它提供了一種體系化、結(jié)構(gòu)化和流程化的高效方法來(lái)檢測(cè)和響應(yīng)可能出現(xiàn)的網(wǎng)絡(luò)攻擊事件，并降低其發(fā)生后所造成的影響。通過(guò)實(shí)現(xiàn)更加快速和有效的安全事件響應(yīng)，該系統(tǒng)可以幫助企業(yè)最大限度地減少網(wǎng)絡(luò)攻擊造成的損害，并防止它們升級(jí)為更嚴(yán)重的監(jiān)管違規(guī)行為。

2、網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)是否適用于所有類型的企業(yè)組織？

隨著數(shù)字化轉(zhuǎn)型的深入，所有企業(yè)都會(huì)面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)和挑戰(zhàn)，因此，部署應(yīng)用安全事件響應(yīng)管理系統(tǒng)對(duì)于各種規(guī)模和各種行業(yè)的企業(yè)組織都至關(guān)重要。但是，由于不同企業(yè)的業(yè)務(wù)需求和風(fēng)險(xiǎn)狀況各不相同，在實(shí)際應(yīng)用時(shí)，其所需的系統(tǒng)特性和功能可能會(huì)有較大的差異。企業(yè)需要選擇符合自身特定要求的解決方案，選型因素包括行業(yè)法規(guī)、IT基礎(chǔ)架構(gòu)的復(fù)雜性以及組織當(dāng)前面臨的網(wǎng)絡(luò)威脅級(jí)別等。

3、通過(guò)安全事件響應(yīng)管理系統(tǒng)可以實(shí)現(xiàn)全自動(dòng)化的安全事件響應(yīng)嗎？

雖然安全事件響應(yīng)管理系統(tǒng)可以將安全事件響應(yīng)流程中的許多環(huán)節(jié)自動(dòng)化，例如威脅檢測(cè)、事件分類和部分補(bǔ)救工作，但它的設(shè)計(jì)宗旨并不是要實(shí)現(xiàn)整個(gè)流程的完全自動(dòng)化。人工干預(yù)和決策仍然是安全事件響應(yīng)中必不可少的，尤其是在分析和應(yīng)對(duì)復(fù)雜或獨(dú)特的高級(jí)（新型）威脅攻擊事件時(shí)。

應(yīng)用安全事件響應(yīng)管理系統(tǒng)的價(jià)值主要體現(xiàn)在增強(qiáng)和支持人工分析師和事件響應(yīng)團(tuán)隊(duì)，而不是為了完全取代他們。通過(guò)自動(dòng)執(zhí)行重復(fù)性任務(wù)并提供有價(jià)值的見(jiàn)解和數(shù)據(jù)，系統(tǒng)將使安全團(tuán)隊(duì)能夠?qū)⒕性谑录憫?yīng)的更復(fù)雜和戰(zhàn)略方面。

4、部署安全事件響應(yīng)管理系統(tǒng)能夠滿足合規(guī)性和審計(jì)要求嗎？

安全事件響應(yīng)管理系統(tǒng)通常包括強(qiáng)大的取證、報(bào)告和審計(jì)功能，可幫助企業(yè)組織在面對(duì)網(wǎng)絡(luò)攻擊時(shí)更好地滿足監(jiān)管合規(guī)要求，并證明公司已經(jīng)嚴(yán)格遵守了行業(yè)法規(guī)要求和最佳實(shí)踐。這些功能提供了所有事件響應(yīng)活動(dòng)的詳細(xì)審計(jì)跟蹤，使組織能夠展示他們對(duì)安全事件的準(zhǔn)備和有效響應(yīng)情況。

通過(guò)利用安全事件響應(yīng)管理系統(tǒng)的審計(jì)功能，組織不僅可以展示其事件響應(yīng)準(zhǔn)備情況，還可以確定需要改進(jìn)得領(lǐng)域并實(shí)施糾正措施，以提高其整體安全狀況并滿足不斷變化得法規(guī)要求。

5、網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)需要與現(xiàn)有的安全工具集成嗎？

安全事件響應(yīng)管理系統(tǒng)需要支持實(shí)時(shí)威脅檢測(cè)、自動(dòng)事件創(chuàng)建以及跨多個(gè)安全控件啟動(dòng)遏制和補(bǔ)救操作的能力，而系統(tǒng)和現(xiàn)有安全工具之間的有效集成對(duì)于實(shí)現(xiàn)網(wǎng)絡(luò)安全事件的全面協(xié)調(diào)和響應(yīng)能力至關(guān)重要。

目前，大多數(shù)的安全事件響應(yīng)管理系統(tǒng)在設(shè)計(jì)時(shí)，都會(huì)要求無(wú)縫集成廣泛的現(xiàn)有安全工具，如防火墻、入侵檢測(cè)系統(tǒng)（IDS）、安全信息和事件管理（SIEM）系統(tǒng)以及威脅情報(bào)平臺(tái)等。這種集成可以實(shí)現(xiàn)安全數(shù)據(jù)的充分共享和利用，并實(shí)現(xiàn)所有安全管控措施之間的協(xié)調(diào)響應(yīng)。

系統(tǒng)核心功能分析

為了確保幫助企業(yè)應(yīng)對(duì)最嚴(yán)重的網(wǎng)絡(luò)攻擊事件，網(wǎng)絡(luò)安全事件響應(yīng)管理系統(tǒng)應(yīng)該具備以下核心功能：

1

實(shí)時(shí)威脅檢測(cè)和告警

在網(wǎng)絡(luò)安全事件響應(yīng)過(guò)程中需要分秒必爭(zhēng)，如果出現(xiàn)響應(yīng)延遲可能使小事故演變成全面危機(jī)。因此，安全事件響應(yīng)管理系統(tǒng)必須配備先進(jìn)的威脅檢測(cè)功能，能夠?qū)崟r(shí)識(shí)別并提醒潛在的網(wǎng)絡(luò)攻擊事件。這項(xiàng)功能至關(guān)重要，因?yàn)樗拱踩珗F(tuán)隊(duì)能夠快速響應(yīng)，盡量減小破壞損失，并防止攻擊范圍的進(jìn)一步擴(kuò)散。借助實(shí)時(shí)威脅檢測(cè)，系統(tǒng)會(huì)在攻擊發(fā)生時(shí)立即發(fā)出警報(bào)，使團(tuán)隊(duì)能夠迅速采取行動(dòng)，比如隔離受影響的系統(tǒng)、實(shí)施遏制措施以及啟動(dòng)事件響應(yīng)流程。

2

集中式的事件管控中心

有效的安全事件響應(yīng)需要組織中多個(gè)團(tuán)隊(duì)和部門協(xié)調(diào)和協(xié)作，包括安全分析師、IT專業(yè)人員、法務(wù)合規(guī)團(tuán)隊(duì)以及組織領(lǐng)導(dǎo)層。集中式事件管控中心能夠大大簡(jiǎn)化協(xié)作過(guò)程，并為管理和跟蹤所有事件提供統(tǒng)一策略。精心設(shè)計(jì)的集中式事件管理控制臺(tái)應(yīng)該提供一系列功能，比如：

•實(shí)時(shí)事件跟蹤和狀態(tài)更新

•易于定制的儀表板和報(bào)告

•任務(wù)分配和工作流管理

•集成式溝通渠道

•安全的文件共享和文檔協(xié)作

•基于角色的訪問(wèn)控制和權(quán)限

3

自動(dòng)化事件分類和優(yōu)先級(jí)確定

當(dāng)企業(yè)面對(duì)嚴(yán)重的網(wǎng)絡(luò)攻擊活動(dòng)時(shí)，確定優(yōu)先級(jí)非常重要。因?yàn)槎鄠€(gè)網(wǎng)絡(luò)攻擊事件可能同時(shí)發(fā)生，所以團(tuán)隊(duì)需要先關(guān)注最棘手的問(wèn)題。這就要求管理系統(tǒng)應(yīng)該能夠根據(jù)實(shí)現(xiàn)定義的標(biāo)準(zhǔn)自動(dòng)化進(jìn)行事件分類和優(yōu)先級(jí)確定，比如威脅的嚴(yán)重程度、受影響系統(tǒng)的嚴(yán)重程度或?qū)I(yè)務(wù)的潛在影響。

自動(dòng)化事件分類和優(yōu)先級(jí)確定算法需要分析多個(gè)因素，包括威脅情報(bào)數(shù)據(jù)、資產(chǎn)關(guān)鍵程度評(píng)級(jí)和法規(guī)合規(guī)要求，以確定每個(gè)事件的適當(dāng)緊急級(jí)別。這項(xiàng)功能可以幫助團(tuán)隊(duì)做出有關(guān)資源分配的明智決策，確保先解決最重要的威脅，而優(yōu)先級(jí)較低的事件可等待后續(xù)處理關(guān)注。

4

全面的事件跟蹤和報(bào)告

完整的事件調(diào)查文檔無(wú)疑可以幫助實(shí)現(xiàn)高效的事件響應(yīng)和事件后分析。如果為所有事件響應(yīng)活動(dòng)維護(hù)一份詳細(xì)記錄，企業(yè)不僅可以實(shí)現(xiàn)合規(guī)和審計(jì)工作，還便于從過(guò)去的事件中汲取教訓(xùn)。這些知識(shí)在加強(qiáng)安全態(tài)勢(shì)、改進(jìn)事件響應(yīng)程序以及防止將來(lái)發(fā)生類似事件方面顯得無(wú)比重要。

全面的事件跟蹤涉及捕獲和記錄眾多的數(shù)據(jù)點(diǎn)，包括：

•事件時(shí)間線和年表

•受影響的系統(tǒng)和資產(chǎn)

•事件響應(yīng)團(tuán)隊(duì)采取的行動(dòng)

•收集的證據(jù)和取證數(shù)據(jù)

•溝通日志和協(xié)作活動(dòng)

•根本原因分析和教訓(xùn)汲取

5

與現(xiàn)有安全工具全面整合

在復(fù)雜安全環(huán)境下，組織會(huì)部署大量的單點(diǎn)式安全工具，從防火墻、入侵檢測(cè)系統(tǒng)到安全信息和事件管理解決方案以及威脅情報(bào)平臺(tái)，不一而足。事件響應(yīng)管理系統(tǒng)應(yīng)該與這些現(xiàn)有工具無(wú)縫整合，確保信息順暢流動(dòng)，并在所有方面實(shí)現(xiàn)協(xié)調(diào)一致的響應(yīng)。

將事件響應(yīng)管理軟件與其他安全工具整合具有幾個(gè)優(yōu)點(diǎn)：

•集中式數(shù)據(jù)收集

•自動(dòng)化事件創(chuàng)建

•豐富的事件上下文

•協(xié)調(diào)一致的響應(yīng)行動(dòng)

6

安全協(xié)作和溝通

當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)，所有利益相關(guān)者保持清晰安全地溝通很有必要。響應(yīng)管理系統(tǒng)應(yīng)提供強(qiáng)大的協(xié)作和溝通工具，比如安全會(huì)議、視頻會(huì)議和數(shù)據(jù)共享功能。這類功能使團(tuán)隊(duì)得以有效協(xié)作，共享重要信息，并共同協(xié)力快速解決問(wèn)題，無(wú)論他們?cè)谑裁吹胤健?/p>

網(wǎng)絡(luò)安全事件事件響應(yīng)場(chǎng)景中的有效協(xié)作需要：

•實(shí)時(shí)溝通

•受控制的信息共享

•審計(jì)跟蹤和日志記錄

•集成式任務(wù)管理

7

可定制的工作流和劇本

對(duì)安全事件響應(yīng)，每家組織都會(huì)有獨(dú)特的響應(yīng)流程和規(guī)則要求。事件響應(yīng)管理系統(tǒng)應(yīng)該提供易于定制的工作流和劇本，以便組織根據(jù)特定需求定制解決方案。這項(xiàng)功能確保團(tuán)隊(duì)遵守既定的規(guī)程和最佳實(shí)踐，降低人為錯(cuò)誤的風(fēng)險(xiǎn)，并確保響應(yīng)過(guò)程更有效。

易于定制的工作流使貴組織能夠定義和自動(dòng)化處理事件響應(yīng)場(chǎng)景中需要執(zhí)行的一系列操作和任務(wù)。這些工作流可以針對(duì)不同類型的事件加以定制，比如數(shù)據(jù)泄露、勒索軟件攻擊或拒絕服務(wù)事件。通過(guò)將貴組織的事件響應(yīng)程序規(guī)范成條理化的工作流，就可以確保一致性和可重復(fù)性，減少忽略關(guān)鍵步驟的機(jī)會(huì)。

8

強(qiáng)大的訪問(wèn)控制和合規(guī)審計(jì)

安全事件響應(yīng)時(shí)通常涉及大量的敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)系統(tǒng)。因此，響應(yīng)管理系統(tǒng)必須具有強(qiáng)大的訪問(wèn)控制和審計(jì)功能，以確保只有授權(quán)人員才能訪問(wèn)和修改與事件相關(guān)的信息。這項(xiàng)功能有助于維護(hù)數(shù)據(jù)的完整性，并提供清晰的審計(jì)跟蹤記錄，這對(duì)于合規(guī)和取證分析至關(guān)重要。

事件響應(yīng)管理系統(tǒng)中的訪問(wèn)控制應(yīng)該遵循最小特權(quán)和職責(zé)分離的原則。這意味著用戶應(yīng)該只能訪問(wèn)他們履行角色所需的特定數(shù)據(jù)和功能，敏感操作應(yīng)予以隔離，以防止利益沖突或未經(jīng)授權(quán)的操作。

9

全面的知識(shí)庫(kù)和培訓(xùn)資源

有效的安全事件響應(yīng)需要訓(xùn)練有素、知識(shí)淵博的安全團(tuán)隊(duì)。事件響應(yīng)管理系統(tǒng)應(yīng)該附帶全面的知識(shí)庫(kù)和培訓(xùn)資源，以便組織的安全運(yùn)營(yíng)團(tuán)隊(duì)及時(shí)獲取最佳實(shí)踐、響應(yīng)指南和持續(xù)教育。這項(xiàng)功能可確保團(tuán)隊(duì)始終了解最新的事件響應(yīng)技術(shù)和策略。通過(guò)為團(tuán)隊(duì)提供易于訪問(wèn)的最新知識(shí)資源，事件響應(yīng)管理系統(tǒng)可以幫助安全團(tuán)隊(duì)做出明智的決策，隨時(shí)了解行業(yè)最佳實(shí)踐，并不斷提升技能和能力。

10

可擴(kuò)展性和持續(xù)優(yōu)化能力

網(wǎng)絡(luò)攻擊隨時(shí)可能發(fā)生，事件響應(yīng)管理軟件必須準(zhǔn)備好處理突增的大量事件。因此，可擴(kuò)展性和高性能是響應(yīng)管理系統(tǒng)的基本功能要求，應(yīng)確保軟件可以適應(yīng)增加的工作負(fù)載，而不影響速度或可靠性。

此外，安全事件響應(yīng)是一個(gè)不斷發(fā)展的過(guò)程，軟件應(yīng)該支持持續(xù)改進(jìn)，并要求提供穩(wěn)健的分析和報(bào)告功能的解決方案，以便識(shí)別趨勢(shì)、發(fā)現(xiàn)有待改進(jìn)的方面，并逐步改善事件響應(yīng)策略。如果充分利用這些分析和報(bào)告功能，貴組織可以不斷評(píng)估和改進(jìn)事件響應(yīng)策略，打造持續(xù)改進(jìn)的文化，并確保網(wǎng)絡(luò)安全防御始終強(qiáng)大、高效，以應(yīng)對(duì)不斷變化的威脅。