近些年,企业安全工作的关注点,一直聚焦在如何预防黑客攻击。但是,频发的大型跨国企业的数据泄露事件表明,即使是对网络安全更为重视,同时也投入了更多成本的金融业,也明白了“无论做了怎样的安全防护,迟早会被黑客成功入侵”的道理。这已经成为了所有企业必须认清的事实。
因此,企业安全防护的重点,也随之转移到如何更快地发现安全问题,并及时针对这些安全事件,做出合理且有效的响应上。
事件响应的发展现状
很长时间以来,事件响应并不受安全厂商重视,而是作为产品的附加服务,通过少数售后工程师驻场的方式,与甲方的IT(安全)运维部门合作,解决在安全事件发生后相关产品的运维问题。
但是,事件响应流程本身的复杂性和多变形却被严重低估。事件响应流程本身因企业的IT资产和遭遇的网络攻击不同而多种多样,流程的各步骤相互牵制,且要遵守企业不同所属行业的数据安全标准和规范。这种相对低效且未经详细整体筹划的响应方式,在面对安全事件发生后,需要以秒为单位计算企业损失的情况下,不免有些过于无力。
为什么要重视事件响应?Co3 Systems(在2015年初正式更名为Resilient Systems)的首席技术官布鲁斯·施奈尔在2014年美国的黑帽大会的演讲中谈到,因为预防不可能做到完美,所以越来越多的企业如今正在加强事件响应能力。这其中的主要原因包括:已经失去了对计算环境的控制,很多防护机制无法实施;攻击行为变得更加复杂,需要更多的响应措施;身不由己地被卷入其他人的安全攻防战斗;企业对安全防护和检测措施从的投资往往不足。
事件响应目前所面临的主要问题有两点,一是我们仍无法实现完全的自动化,二是不能将人员从安全的循环中移除。我们应当采用工程化的手段,使得系统能够支持响应循环中的人员执行关键任务。是技术来辅助人员,而不是反过来。
今年4月,IBM完成对Resilient Systems的收购,并以插件的方式实现Resilient Systems的事件响应平台与IBM QRadar的无缝集成。
Resilient Systems如何做事件响应
Resilient Systems的事件响应平台(IRP)是一个将流程、人员和技术进行紧密集成的自动化平台。其最大的优势,在于以安全事件为导向,通过内置的行业标准和最佳实践,将响应流程整体细化、分解,并自动化的对流程进展状况进行监控,帮助企业快速进行安全事件的应急响应。
IRP的核心价值在于对企业核心IT资产的安全防护,所以IRP要与企业网络中现有可“掌控全局”的IBM QRadar等SIEM类平台产品进行对接,以获取关于攻击和资产状态的信息。
确认攻击类型后,IRP会以企业IT资产为单位,将响应流程进行细致的分解,并下发给IT运维部门,分解后的响应流程可以大致分为人工和自动两个大类。目前Resilient Systems的IRP平台仍是半人工半自动化的,但这两种方式的结合使得整个处理进度变得更加可控。同时,IRP平台对整个事件响应流程的定义是完全开放的,企业可以根据自身网络环境、特殊的业务需求和相关标准来添加自定义流程,将仅有纸质文档的标准自定义到Resilient Systems的IRP平台上,并作为可复用资产,在不同企业或子公司之间进行共享。
实现事件响应演练
军方需要常规性地军事演练,以保证在战时尽可能地最大程度发挥出部队应有的战斗能力。安全事件发现后的响应环节亦是争分夺秒的战场。
Resilient Systems和IBM QRadar可以通过搭建虚拟环境,和企业内部驱动的渗透/众测两种方式,进行事件响应的演练。虚拟环境本身可以由IBM QRadar自身通过对某些规则的演练或者测试网络环境的搭建来完成。渗透/众测情况下,企业可以通过外包的方式,邀请渗透测试团队驻场测试,或者是在协定测试基线的前提下(不触碰业务数据等)进行众测,对企业网络进行“攻击”。
经常性的进行响应演练,不仅可以定期量化地评估QRadar检测问题和IT运维部门事件响应的能力,这也有助于企业有针对性地进行安全防护和事件响应能力的提升。但演练的形式和频率,则由企业自行决定。
Resilient Systems和IBM QRadar
如果看过安全牛之前的文章,可以了解到IBM QRadar是IBM安全的大脑,也是终端、数据库、身份管理等对应安全设备间联动的核心。
与IRP不同,QRadar是以企业IT资产为导向的,在QRadar定位攻击及受影响资产及其状态等信息后,每个确认攻击的详细信息都可发送到IRP平台,自动生成并开始事件响应流程。在完成某个攻击引发的安全事件的应急响应后,整个处理过程的相关信息,包括对应攻击类型、响应流程细节、下发和完成时间等信息,都会被IRP平台记录。Resilient Systems可以自动将整个响应过程评价量化,并提供相应报表的生成。除了对安全部门的监督外,它也是IT运维团队的事件响应能力的一个具体表现。
从CISO、CEO等高管角度考虑,当管理层不再只是关心由安全部门还是IT部门承担事故责任,而更多的是关注如何提高企业整体的事件响应能力时,Resilient Systems能一份客观详尽地评估和答卷。
事件响应的发展趋势
目前事件响应最大的挑战,是从误报中甄别哪些是真正严重的攻击,哪些只是脚本小子所为,以及攻击行为是如何影响企业自身的网络环境。QRadar自身通过黑客对不同资产发动的不同攻击,将黑客的危险层级进行区分。一些相对低端的行为,如通过某些成熟的自动化工具对外围安全和网络设备进行的攻击,在QRadar确认后则会联动相应设备自动化的进行拦截处理。而在问题变得相对复杂时,才会告警并提醒安全人员将攻击信息提交到Resilient Systems,开启事件响应流程。但是,目前每天过多的攻击告警,使得安全人员应接不暇,疲于奔命。不光是真正的安全威胁会湮没在其中,即使将攻击细节提交给Resilient Systems,也已经耗费了过多的人力。
可以说,自动化将会是目前事件响应最大的进化。
对威胁的预防、检测、遏制、进化以及学习能力,都会在对安全攻击进行响应的时刻集中体现。安全响应过程也必然会变得更具协调性。如果不能把预防、检测和响应这三者间的关系协调好,实现步调一致,那么安全性也就无从谈起。
最后,如果从企业安全中延展开来,我们可以看到,物联网的高速发展所带来的新型安全威胁,对事件响应的流程和理念,也势必会产生影响,事件响应也会随之升级。不远的将来,事件响应的保护的粒度可能将不再仅是IT资产和数据,还要顾及企业的每个用户甚至是用户这个个体本身。从安全的整体性考虑,打造一个全网络世界而不仅是某个企业网络的“安全免疫系统”,已经迫在眉睫。
安全牛评
事件响应作为企业安全防护中至关重要的一环,却从近两年开始行业内的声音才有所变大。这也是Resilient Systems的IRP平台一直没有直接“竞品”的主要原因。虽然有部分IT服务管理平台,或者安全厂商提供的应急响应小组驻场服务,但是仅此两者是不够的。将安全行业的最佳实践和成熟自动化的IT服务管理结合,是事件响应发展的必然趋势,也是Resilient Systems最大的优势。
本文转自d1net(转载)