安全编排、自动化与事件响应技术
|
目前国际上已经出现了很多SOAR专业厂商,很多SIEM大厂也纷纷收购并整合SOAR公司。例如:微软收购Hexadite,Splunk收购Phantom等。
国内对于安全事件的检测与告警的产品或算法种类很多,应用场景也非常广泛,在一个场景下往往需要多种安全产品来解决安全事件,目前各单位和公司采用的网络安全建设主流方案为部署大量的基于单点工作机制的网络安全防护产品。网络安全技术之间的整合度低、联动性不强使得在应对网络安全事件时不能高效率的处理事件。而且,安全操作仍然主要依赖手动创建和维护基于文档的操作过程,这将导致较长的分析师入职时间、陈旧的过程流程、群组知识和执行操作功能中的不一致性等问题。而SOAR技术因为具有定制化、灵活化、联动化的特点,可以将人员和流程编排在一起,从而解决设备孤立技术正合度低,人力不足且经验难以固化的问题[6]。
国内对于安全事件的检测与告警的产品或算法种类很多,应用场景也非常广泛,在一个场景下往往需要多种安全产品来解决安全事件,目前各单位和公司采用的网络安全建设主流方案为部署大量的基于单点工作机制的网络安全防护产品。网络安全技术之间的整合度低、联动性不强使得在应对网络安全事件时不能高效率的处理事件。而且,安全操作仍然主要依赖手动创建和维护基于文档的操作过程,这将导致较长的分析师入职时间、陈旧的过程流程、群组知识和执行操作功能中的不一致性等问题。而SOAR技术因为具有定制化、灵活化、联动化的特点,可以将人员和流程编排在一起,从而解决设备孤立技术正合度低,人力不足且经验难以固化的问题[6]。 遏制事件后,可能有必要消除系统被破坏的部分,例如删除恶意软件和禁用违规用户帐户,以及识别和处理漏洞。在消除期间,重要的是确定组织内所有受影响的主机,以便可以对其进行修复。有些事件消除不是必需的,或者可以在恢复期间执行。在恢复过程中,管理员将系统恢复到正常运行状态,确认系统正常运行,并修复漏洞以防止发生类似事件。 在事件处理过程中,有时需要标识攻击主机。在法律诉讼时有可能会需要用到证据,因此要清楚地记录所有证据的保存方式,应根据与法律人员先前讨论中制定的适用于法律和法规的程序收集证据,以便证据在法庭上受理。 事后处理阶段:事件发生后应当举行会议,回顾发生的事件,收集事件数据,形成事故处理清单,对事件进行客观评估,保留相应的证据,防止事件再次发生。 事件响应团队应不断学习改进来发现新的漏洞。在重大事件发生后应与相关方举行“经验教训”会议,这对改善安全措施和事件处理流程非常有帮助。一次会议可以涵盖多个事件,会议通过回顾发生的事件、采取的干预措施以及干预效果来预防事件再次发生。会议应在事件结束后的几天内举行。 小结:该标准从事件响应的准备阶段,检测与分析阶段,遏制、消除和恢复阶段和事后处理阶段四个阶段来阐述应对安全事件的策略。该指南可以有效地对事件的全生命周期进行管理,为我们处理安全事件提供了很好的理论基础。 在事件准备过程中需要准备好相应的工具和资源,根据不同性质的事件制定不同的处理机制。如果一个机制失败,一个组织应该具有多种沟通和协调机制,确保能够实时响应。组织需要实施安全控制措施将事件数量保持在合理的范围内来保护组织的业务流程。事件响应团队可能能够识别组织原本不知道的问题;通过检测漏洞,团队可以在风险评估中发挥关键作用。 检测与分析阶段:组织应准备好处理任何事件,但应着重于使用常见攻击媒介的事件,对于不同类型的事件应具有不同的响应策略。 事件可能以无数种方式发生,因此不可能制定出处理每个事件的分步指示。组织通常应准备好处理任何事件,但应着重于准备处理使用常见攻击媒介的事件。
事件响应过程中最具挑战性的部分是准确地检测和评估可能的事件。如果确定事件发生,需确定问题的类型、程度和严重性。事件的迹象表现为先兆和指标,通过不同的来源来识别前兆和指标,其中最常见的是计算机安全软件警报、日志、公开可用的信息和人员。 (编辑:江门站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
