本文讲的是 事件响应:更像艺术而非科学,网络安全业界需要建立最佳运作模式并打开事件响应通信的安全通道。
5到10年前网络安全业界主要关注事件预防,所用工具大多为终端反病毒软件、防火墙、入侵检测系统(IDS)/入侵防御系统(IPS)和网页威胁网关。这一认识模式在大约2010年左右发生了转变,源自于高级持续性威胁(APT)的兴起。
近年来大量的安全事件令网络安全社区逐渐达成一项共识:黑客可以轻易绕过合规标准,击败以预防为中心的安全控制。因此,终端和网络安全事件检测需要大程度的升级。
但在过去一年左右的时间里,网络安全风向又有了转变。随着一波新型检测引擎的袭来,首席信息安全官们需要找到可以及时收集、处理、分析并对事件监测数据做出反应的方法,以便可以切实地响应安全事件。为什么会发生这种改变?事件响应依赖人的直觉、经验、技术和方法论,这些技术高超的工程师以及他们创造性的工作处理,是每个组织得以有效发现和解决网络攻击的必要构成因素。
所以,事件响应建立在感觉敏锐,甚至有时可以说是古怪的处理方式基础之上。也就是说,事件响应工作更像是艺术工作而非科学工作。然而,绝大多数的企业是找不到事件响应的莫奈和毕加索的。这种短缺导致了很多事件响应方面的问题。以ESG的研究为例:
· 29%的企业在通过取证调查确定问题根源上存在事件响应的弱点。
· 28%的企业在通过回顾性调查(例:历史调查)和补救来确定爆发范围和来源上存在事件响应弱点。
· 27%的企业在通过分析威胁情报来检测和响应安全事件上存在事件响应弱点。
· 26%的企业在确定哪些资产依然无法应对未来攻击上存在事件响应弱点。
意识到这些事件响应弱点,网络安全业界目前正着手抓住这一成长机遇。已经出现了一些诸如火眼购入麦迪安(Mandiant)、Proofpoint纳入NetCitadel之类的并购案。增速惊人的事件响应需求也正以来自如CSG Invotas、Phantom Cyber、和Resilient Systems之类公司的产品开创集成网络安全业务流程平台(ICOP)市场。最后,像IBM 、RSA和赛门铁克这样的大公司强势挤入麦迪安之前主导的利润丰厚的事件响应服务市场。
总而言之,每个机构看起来都急于解决事件响应的缺陷。网络安全社区需要在以下几个方面推进更大范围的事件响应合作:
- 事件响应最佳实例
由于事件响应以人为基准,各家公司似乎都有各自的流程、分析方式和自动化响应方法,相互间略有差别。这也可以,但这种“各自为战”的理念对整个社区而言真是没什么帮助。企业或机构应该去研究和发现什么才是最有效的,企业该怎样使他们的事件响应实践随时间而成熟,以及学到所有类型的深刻教训。
- 事件响应教育
各大院校跟风开设网络安全课程,但大多只提供通用学位,教授基本网络常识、访问控制和密码学之类的。而我们需要的是针对事件响应更为具体的课程。赛门铁克的网络安全模拟和最近对Blackfin Security的并购在正确的方向踏出了一步,希望看到更多来自军事、情报机构和国家实验室等等公共部门的专家们的参与。
- 网络情报发展
今天的威胁情报集中在攻击指示器(IoC)、恶意软件和威胁执行者之类的事上。是的,大量数据花在了坏人做了什么上而几乎对好人该如何响应没什么表示。我们需要一个通用而标准的语法让网络安全专业人士可以很容易地与受信任的同僚无障碍沟通哪种IR策略有效而哪些无效。
- 事件响应最佳实践服务
有专业的服务公司可以帮企业打造SOC,也有托管安全服务提供商可以接手整件事情。所缺的,只是一个中间地带——帮助公司发展技术、从网络安全技术获取更多价值、创建形式化(且可量化)的事件响应流程的服务公司。
很多人都画画,但只有极少数能画出杰作。只要事件响应继续保持更像艺术而非科学的特性,专家少业余人员过多的情形就无法改变。网络安全社区需要通力合作才能填补这一缺陷。