在激烈的市场竞争下,技术驱动创新和数字化转型成为企业发展的必然方向。在这个过程中,应用程序变得更加模块化和容器化;不仅是企业部门之间,合作伙伴之间对数据开放的要求也越来越高,需要数据共享,以AI的形式提供更多的洞察力;同时基础设施也跨越本地数据中心、私有云、公有云,形成混合多云分布。这些变化一方面增加了安全攻击面,同时需要更快、更有弹性地处理安全威胁。RSAConference2021于5月17日完美落幕。这是RSAConference历史上第一次以虚拟会议的形式举行。本次会议的主题是Resilience(复原力)。IBMSOAR网络安全编排自动化响应软件的产品名称为Resilient,与本次RSA的主题不谋而合。中国道家修行讲“财、法、地”几个要素。对于SOAR安全事件响应,安全人员心性的考验和培养也需要这些方面的支持。IBMResilient作为专业的SOAR平台,从各个方面为SOAR提供了良好的支持。“财”是指财力和物质上的支持。对于SOAR,需要充分发挥现有安全工具的能力,以自动化的方式提高效率和降低成本。提高效率是目的,自动化是手段。Gartner在报告中还特别指出,自动化最适合定义明确且经过验证的流程(SOAR:AssessingReadinessThroughUse-CaseAnalytics,Gartner2020),因此需要在自动化中选择目标并确定相应的效率过程指标,并持续跟踪和改进。同时,自动化是一个更广泛的概念。比如IT运维、安全补丁等很多方面都需要自动化支持。在安全响应中,需要对接企业的自动化平台,无论是自研平台还是Ansible等开源平台。或商业平台。“法”是指道家的正确修行。在安全事件响应中,也需要相应的最佳实践和SOP。在SOAR里,大家用脚本来组织和固化SOP。但是,每次攻击的范围和变化都会有所不同。如果把所有的情况都包含在SOP中,就好像程序员在写一个完整但复杂的代码,有各种跳转和分支。维护和理解是一个很大的障碍。IBMResilient支持以流程为纲,以规则为目的。一方面,通过流程规范整体响应环节。比如勒索,包括最开始的隔离环节,首先隔离被感染的机器,避免进一步传播,然后根据IOC和类型分析勒索病毒,做相应的阻断,同时检查数据是否可以被恢复,判断数据的价值,决定是从备份中恢复数据还是支付敲诈勒索。同时,在处理每一个事件的过程中,根据实际情况使用规则做出不同的反应。比如感染资产涉及企业高层,需要公关、法务同事进来评估;如果有鬼,需要在做好取证工作的同时联系相关执法部门;如果出现数据泄露,还需要有专门的数据泄露处理流程等。“夫妻”,志同道合的道侣,相互扶持。对应SOAR,就是提倡多人协作。当今的安全事件变得越来越复杂。不是一个人几分钟就能搞定的。需要安全人员、IT人员,甚至法务人员的配合。因此,SOAR平台有必要提供一个统一的入口,让所有相关人员对整个事件有一个统一的认识,从已经完成和需要执行的任务,到之前的调查结果,等,在IBMResilient中通过可定制的扩展,以结构化的方式,将任务和调查结果分类呈现给用户,帮助用户快速了解情况,并通过与其他即时通讯工具如slack和teams的集成,提高用户沟通效率。除了人员之间的协作,还有一个很重要的方面就是与外部威胁情报的整合,利用IBMX-Force等外部情报更好地理解所面临的安全事件,并与内部发现的IOC进行关联,逐步积累内部威胁情报企业。“地”,一个适合安全事件响应的环境,非常重要但也容易被忽视的是响应过程中的合规性。不同的国家和地区都有相关的合规要求,尤其是与数据泄露相关的要求。举个例子,一家知名酒店管理公司去年因数据泄露被ICO罚款1800万英镑,但这个数额远低于最初预估的9000万英镑。迅速联系监管部门,即ICO和受影响的客户,并采取相关行动,降低客户受损的风险。与隐私数据泄露相关的法律在世界范围内不断实施,包括之前的网络安全法和中国的个人信息安全法规。IBMResilient在事件响应脚本中集成数据泄露相关规则,通过内置数据库涵盖全球180多种不同法规,将需要法律专业人士解读的复杂条款转化为清晰可执行的任务、模板和截止日期,帮助客户满足复杂的数据泄露通知需求并保持合规性。MicrosoftInternetExplorer402DocumentNotSpecified7.8lbsNormal0扫描下方二维码,相约一年一度的IBMThink中国论坛*即刻前往2021安全新专区,掌握最新安全技术动态历史精彩文章推荐*IBM安全历史精彩文章推荐关于IBM安全IBM介绍安全是IBM的信息安全解决方案和服务部门,在全球和本地各行各业的客户中拥有多年经验。IBMSecurity保护着全球95%的世界500强企业和组织的信息安全。其客户涵盖金融、医疗、汽车、科技、电信、航空等行业的公司和集团,包括全球50家最大的金融和银行机构。49、全球最大的15家医疗机构中的14家、全球最大的15家科技公司中的14家等。IBMSecurity在Gartner、Forrester、IDC发布的12份不同分析报告中被列为Leaders的12项技术解决方案位居行业第一,和别的。
