预防和检测如日中天?事件响应表示不服

近些年,企业安全工作的关注点,一直聚焦在如何预防黑客攻击。但是,频发的大型跨国企业的数据泄露事件表明,即使是对网络安全更为重视,同时也投入了更多成本的金融业,也明白了“无论做了怎样的安全防护,迟早会被黑客成功入侵”的道理。这已经成为了所有企业必须认清的事实。

因此,企业安全防护的重点,也随之转移到如何更快地发现安全问题,并及时针对这些安全事件,做出合理且有效的响应上。

事件响应的发展现状

很长时间以来,事件响应并不受安全厂商重视,而是作为产品的附加服务,通过少数售后工程师驻场的方式,与甲方的IT(安全)运维部门合作,解决在安全事件发生后相关产品的运维问题。

但是,事件响应流程本身的复杂性和多变形却被严重低估。事件响应流程本身因企业的IT资产和遭遇的网络攻击不同而多种多样,流程的各步骤相互牵制,且要遵守企业不同所属行业的数据安全标准和规范。这种相对低效且未经详细整体筹划的响应方式,在面对安全事件发生后,需要以秒为单位计算企业损失的情况下,不免有些过于无力。

为什么要重视事件响应?Co3 Systems(在2015年初正式更名为Resilient Systems)的首席技术官布鲁斯·施奈尔在2014年美国的黑帽大会的演讲中谈到,因为预防不可能做到完美,所以越来越多的企业如今正在加强事件响应能力。这其中的主要原因包括:已经失去了对计算环境的控制,很多防护机制无法实施;攻击行为变得更加复杂,需要更多的响应措施;身不由己地被卷入其他人的安全攻防战斗;企业对安全防护和检测措施从的投资往往不足。

事件响应目前所面临的主要问题有两点,一是我们仍无法实现完全的自动化,二是不能将人员从安全的循环中移除。我们应当采用工程化的手段,使得系统能够支持响应循环中的人员执行关键任务。是技术来辅助人员,而不是反过来。

今年4月,IBM完成对Resilient Systems的收购,并以插件的方式实现Resilient Systems的事件响应平台与IBM QRadar的无缝集成。

Resilient Systems如何做事件响应

Resilient Systems的事件响应平台(IRP)是一个将流程、人员和技术进行紧密集成的自动化平台。其最大的优势,在于以安全事件为导向,通过内置的行业标准和最佳实践,将响应流程整体细化、分解,并自动化的对流程进展状况进行监控,帮助企业快速进行安全事件的应急响应。

IRP的核心价值在于对企业核心IT资产的安全防护,所以IRP要与企业网络中现有可“掌控全局”的IBM QRadar等SIEM类平台产品进行对接,以获取关于攻击和资产状态的信息。

确认攻击类型后,IRP会以企业IT资产为单位,将响应流程进行细致的分解,并下发给IT运维部门,分解后的响应流程可以大致分为人工和自动两个大类。目前Resilient Systems的IRP平台仍是半人工半自动化的,但这两种方式的结合使得整个处理进度变得更加可控。同时,IRP平台对整个事件响应流程的定义是完全开放的,企业可以根据自身网络环境、特殊的业务需求和相关标准来添加自定义流程,将仅有纸质文档的标准自定义到Resilient Systems的IRP平台上,并作为可复用资产,在不同企业或子公司之间进行共享。

实现事件响应演练

军方需要常规性地军事演练,以保证在战时尽可能地最大程度发挥出部队应有的战斗能力。安全事件发现后的响应环节亦是争分夺秒的战场。

Resilient Systems和IBM QRadar可以通过搭建虚拟环境,和企业内部驱动的渗透/众测两种方式,进行事件响应的演练。虚拟环境本身可以由IBM QRadar自身通过对某些规则的演练或者测试网络环境的搭建来完成。渗透/众测情况下,企业可以通过外包的方式,邀请渗透测试团队驻场测试,或者是在协定测试基线的前提下(不触碰业务数据等)进行众测,对企业网络进行“攻击”。

经常性的进行响应演练,不仅可以定期量化地评估QRadar检测问题和IT运维部门事件响应的能力,这也有助于企业有针对性地进行安全防护和事件响应能力的提升。但演练的形式和频率,则由企业自行决定。

Resilient Systems和IBM QRadar

如果看过安全牛之前的文章,可以了解到IBM QRadar是IBM安全的大脑,也是终端、数据库、身份管理等对应安全设备间联动的核心。

与IRP不同,QRadar是以企业IT资产为导向的,在QRadar定位攻击及受影响资产及其状态等信息后,每个确认攻击的详细信息都可发送到IRP平台,自动生成并开始事件响应流程。在完成某个攻击引发的安全事件的应急响应后,整个处理过程的相关信息,包括对应攻击类型、响应流程细节、下发和完成时间等信息,都会被IRP平台记录。Resilient Systems可以自动将整个响应过程评价量化,并提供相应报表的生成。除了对安全部门的监督外,它也是IT运维团队的事件响应能力的一个具体表现。

从CISO、CEO等高管角度考虑,当管理层不再只是关心由安全部门还是IT部门承担事故责任,而更多的是关注如何提高企业整体的事件响应能力时,Resilient Systems能一份客观详尽地评估和答卷。

事件响应的发展趋势

目前事件响应最大的挑战,是从误报中甄别哪些是真正严重的攻击,哪些只是脚本小子所为,以及攻击行为是如何影响企业自身的网络环境。QRadar自身通过黑客对不同资产发动的不同攻击,将黑客的危险层级进行区分。一些相对低端的行为,如通过某些成熟的自动化工具对外围安全和网络设备进行的攻击,在QRadar确认后则会联动相应设备自动化的进行拦截处理。而在问题变得相对复杂时,才会告警并提醒安全人员将攻击信息提交到Resilient Systems,开启事件响应流程。但是,目前每天过多的攻击告警,使得安全人员应接不暇,疲于奔命。不光是真正的安全威胁会湮没在其中,即使将攻击细节提交给Resilient Systems,也已经耗费了过多的人力。

可以说,自动化将会是目前事件响应最大的进化。

对威胁的预防、检测、遏制、进化以及学习能力,都会在对安全攻击进行响应的时刻集中体现。安全响应过程也必然会变得更具协调性。如果不能把预防、检测和响应这三者间的关系协调好,实现步调一致,那么安全性也就无从谈起。

最后,如果从企业安全中延展开来,我们可以看到,物联网的高速发展所带来的新型安全威胁,对事件响应的流程和理念,也势必会产生影响,事件响应也会随之升级。不远的将来,事件响应的保护的粒度可能将不再仅是IT资产和数据,还要顾及企业的每个用户甚至是用户这个个体本身。从安全的整体性考虑,打造一个全网络世界而不仅是某个企业网络的“安全免疫系统”,已经迫在眉睫。

安全牛评

事件响应作为企业安全防护中至关重要的一环,却从近两年开始行业内的声音才有所变大。这也是Resilient Systems的IRP平台一直没有直接“竞品”的主要原因。虽然有部分IT服务管理平台,或者安全厂商提供的应急响应小组驻场服务,但是仅此两者是不够的。将安全行业的最佳实践和成熟自动化的IT服务管理结合,是事件响应发展的必然趋势,也是Resilient Systems最大的优势。

本文转自d1net(转载)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/456082.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python中的内部函数和闭包函数

内部函数 在函数内部声明的函数就是内部函数。 格式: def 函数名():局部变量...def 内部函数名():Python功能代码...示例: def funName():name dragon#定义一个内部函数def inner():print(我是内部函数)‘’‘注释: 1.内部函数的本质就是局…

【机器学习】K-Means(非监督学习)学习及实例使用其将图片压缩

非监督学习之k-means K-means通常被称为劳埃德算法,这在数据聚类中是最经典的,也是相对容易理解的模型。算法执行的过程分为4个阶段。 1、从数据中选择k个对象作为初始聚类中心; 2、计算每个聚类对象到聚类中心的距离来划分; 3、再次计算…

CloudCC CRM:物联网必将成为CRM的推动力

CRM热门话题背后的主要推动力包括云、社交、移动和大数据,CloudCC CRM认为物联网必将成为CRM的推动力,也就是传感器将事物连接到互联网,创建之前我们从未想到的新型服务。 社交:在销售、市场和客户服务部门,营销人员正…

关于Video Renderer和Overlay Mixer

原文作者: 陆其明 整理日期: 2004/12/27 大家知道,Video Renderer (VR)是接收RGB/YUV裸数据,然后在显示器上显示的Filter。为提高计算机画图性能,根据你计算机显卡的能力,VR会优先使用DirectDraw以及Overlay表面;如果…

【tensorflow】tensorflow -gpu安装及jupyter环境更改

tensorflow -gpu安装 首先,安装Anoconda 1. 官网下载点我:2.安装 点击 python 3.6 version自动下载x64版,下载好之后,然后安装。 如图,打上勾之后,一路next3.打开终端 1)输入conda –-version …

张震博士:SDT是未来安防发展方向

如何挖掘安防大数据价值是未来发展方向 发展实践证明,科技强警已经成为未来发展的必然选择,发展科技强警,必须用技术实力说话。作为科技强警的重要组成部分,安防视频非常重要,但是,目前,安防视频…

关于虚拟机第二块网卡eth1(仅主机模式)的配置问题

这里发生了一个想不明白的事情,我的真机的网卡上面并没有192.168.100.0网段的网卡 但是我在虚拟机上面添加了一块网卡(仅主机模式)eth1 并配置为192.168.100.60(配置文件已经写好) 开机却能用eth1连接上xhell&#xff…

【机器学习】朴素贝叶斯介绍及实例--对短信进行二分类 使用多项式分布

贝叶斯 首先什么是贝叶斯? 一个例子,现分别有 A、B 两个容器,在容器 A 里分别有 7 个红球和 3 个白球,在容器 B 里有 1 个红球和 9 个白球,现已知从这两个容器里任意抽出了一个球,且是红球,问这…

H.264码流结构

a、对照:H.263的码流结构H.263定义的码流结构是分级结构,共四层。自上而下分别为:图像层(picture layer)、块组层(GOB layer)、宏块层(macroblock layer)和块层(block layer)。 PSC TR PTYPE PQUANT CPM PSBI TRB DBQUANT PEI PSPARE PEI…

Gartner分享物联网和智慧城市最新数据

主题为“移我所想 Mobile is me”的2016世界移动大会上海展正在上海如火如荼的举行,Gartner也在第一时间分享了最新的市场数据,包括企业级用户最为关注的物联网和智慧城市的调查预测报告,下面就一起来看看吧! 智慧城市与物联网 物…

python中格式化字符串

format格式字符串 语法: 它通过{}和:来代替%。 注意: 字符串的format函数可以接受无限个参数,位置可以不按顺序,可以不用或者用多次,不过2.6不能为空{},2.7才可以。 “映射”示例 通过位置 In [1]: {0},{…

让360安全浏览器默认使用谷歌内核

浏览器默认内核的指定只需在head标签中添加一行代码即可&#xff1a; 若页面需默认用极速核&#xff0c;增加标签&#xff1a;<meta name"renderer" content"webkit"> 若页面需默认用ie兼容内核&#xff0c;增加标签&#xff1a;<meta name"…

作业帮电脑版在线使用_作业帮:创新科技驱动在线教育新模式

10月15日&#xff0c;在线教育领军企业作业帮在中国校长大会在线教育论坛上&#xff0c;独家发布《学习的真相&#xff1a;全国K12学情大数据及学习洞察》&#xff0c;宣布已推出作业帮直播课“名师大招”课程体系&#xff0c;集中展示多款面向K12人群的教育黑科技和硬件产品。…

【机器学习】DBSCAN聚类算法—优于Kmean—(理论+图解+python代码)

一、前言 二、DBSCAN聚类算法 三、参数选择 四、DBSCAN算法迭代可视化展示 五、常用的评估方法&#xff1a;轮廓系数 六、用Python实现DBSCAN聚类算法 一、前言 去年学聚类算法的R语言的时候&#xff0c;有层次聚类、系统聚类、K-means聚类、K中心聚类&#xff0c;最后呢…

H264白皮书

理论上我是知道一点点的mpeg4的&#xff0c;但是貌似忘记了&#xff0c;本来要重新看mpeg4&#xff0c;结果有人告诉我h264肯定比mpeg4要好&#xff0c;结果就被派去看h264了&#xff0c;看完了一个什么白皮书以后&#xff0c;只好替h264吹嘘一下了&#xff1a; 1。Intra pred…

python中的内建函数

内建函数 以下是目前我们已经渗透过的内建函数: 类型相关 int() 创建或者将其他数据转化为整型float() 创建或者将其他数据转化为浮点型bool() 创建或者将其他数据转化为布尔型complex() 创建或者将其他数据转化为复数str() 创建或者将其他数据转化为字符串list() 创建或…

卡巴斯基:风险无国界 网络安全从业者要与小网民保持一致

“互联网没有国界&#xff0c;每个国家碰到的问题基本上是类似的。对于网络犯罪这件事&#xff0c;并不针对哪个国家&#xff0c;任何有弱点、有机会的地方&#xff0c;黑客都会去。”卡巴斯基公司CEO尤金卡巴斯基在接受未来网&#xff08;微信公众号lovek618&#xff09;记者采…

js/jquery循环提取table单元格值

<table id"tbitem"><tr><td>测试数据1</td></tr><tr><td>测试数据2</td></tr><tr><td>测试数据3</td></tr><tr><td>测试数据4</td></tr><tr><td&g…

windows无法访问指定设备路径或文件_完全免费的文件数据恢复工具:Microsoft Windows File Recovery...

意外删除文件的经历是大多数人都遇到过&#xff0c;但是幸运的是有一种“后悔药”可以吃&#xff0c;因为我们可以使用一些【数据恢复软件】以找回一些已删除的文件。市面上有很多这类型的软件&#xff0c;例如EasyRecovery、DiskGenius、Recuva 等软件。但是&#xff0c;功能强…

【机器学习】XGBoost集成算法——(理论+图解+python代码比较其他算法使用天池蒸汽数据)

一、集成算法思想 二、XGBoost基本思想 三、用python实现XGBoost算法 在竞赛题中经常会用到XGBoost算法&#xff0c;用这个算法通常会使我们模型的准确率有一个较大的提升。既然它效果这么好&#xff0c;那么它从头到尾做了一件什么事呢&#xff1f;以及它是怎么样去做的呢&a…