512
如何回答這三個問題 反映著事件響應小組的準備程度
安全團隊需要保持良好“體態”,以便能以最佳的狀態運轉,並能有效應對今天這複雜又持續的攻擊。
秋風送爽,新的賽季拉開序幕。隨著人們湧向體育場,或是打開電視欣賞最喜歡的選手和球隊,我們都能感受到空氣中的那種興奮。賽季開幕戰背後其實隱藏著很多的準備工作。運動員們很早就開始健身調整,向私人體能訓練師、營養師和教練尋求幫助,確保自己在競爭加劇時還能保持巔峰競技狀態。事實上,那些一直保持最佳狀態的運動員,整年都在接受場外專家團隊的精心訓練。
安全團隊也應采取類似的方式以“保持體態”,緩解日益強大的對手的風險。
由於網絡安全人才持續緊缺,CIO、CSO和Computerworld網站聯合進行了一次調查,發現56%的受訪者稱自家公司招募外部顧問輔助信息安全策略確立,40%稱公司轉向托管安全服務提供商(MSSP)。Computer Economics 網站的《2017年IT開支及人員配置展望》發現,在安全/隱私上的開支位列IT優先級列表首位,證實了外包趨勢——為了更好的服務質量和成本節約。
MSSP可以緩和維護並管理安全產品及終端解決方案增殖的複雜度,讓其充分發揮價值。然而,現今的安全團隊需要的不止這些。
大家都知道,公司遭到攻擊已經不再是“會不會”,而是“什麼時候”的問題了。安全人員必須準備好應對這不可避免的狀況,而這意味著需要一支能夠幫你解答以下3個問題的專家團隊:
- 數據泄露發生時,我的計劃是什麼?
- 如何知道自身網絡中有什麼?
- 如何確保有一支清楚本公司情況,且能在攻擊發生時快速采取行動的團隊?
為解決這些威脅檢測和事件響應上的新要求,托管檢測和響應(MDR)服務攜其額外的板凳實力(人員和先進技術)應運而生,提供如下功能:
1. 桌麵推演(TTX)
采用專為客戶公司量身定製的場景,以及客戶最為關心的威脅類型,桌麵推演(TTX)是製定計劃處理數據泄露的極佳起始點。參與者應涵蓋公司多個部門的主要利益相關者,而不僅僅是IT部門。測試當天,場景討論過程中會不斷引入新的信息。這些側麵信息會改變場景,模擬攻擊和調查的動態本質。推演結束,你便可以獲得對團隊表現的客觀評價,包括強項、弱點、經驗教訓,還有待改善領域的建議。
2. 威脅追捕
主動找尋網絡中的壞人,盡快阻止他們以減輕傷害,是安全團隊新的必做功課。威脅狩獵行動,就是要找出潛在數據泄露的證據,調查該係統以確定發生了什麼、怎麼發生的,並確定可能受影響的其他係統以控製並修複攻擊。使用一係列工具,比如高級安全分析技術、大數據平台和威脅情報,事件響應專家可以在更好信息支持下更快采取行動。他們可以將自己的狩獵專注在更易被入侵的資產上,並根據最新的威脅情報重新評估以往事件。
3. 聘用事件響應服務
正如運動員需要持續接受教練團隊的指導,才能在麵對最強大對手時也表現良好,當攻擊確實發生時,你也需要一支完整的團隊隨時待命。鑒於市場上資深專家供不應求的現狀,發現並留住菁英人才便成為了一項巨大的挑戰。這就是聘用事件響應服務發揮作用的時候了。他們可以在攻擊中切入行動,補充你的團隊。即便在沒有積極參與事件響應的時候,他們也能幫助專注和發展主動防護工作。在過程中,他們將更加了解你的公司,提升他們在響應中的效率和有效性,而你的內部團隊則將能更好地處理需要注意的其他任務。
每一支安全團隊都需要保持良好體型,以便能保持最佳狀態運轉,並能有效應對今天這複雜又持續的攻擊。托管檢測和響應專家能提升你的表現——幫助你製定出有效計劃,弄清網絡中有什麼,準備好在攻擊發生時快速全麵地緩解傷害。
本文作者:nana
來源:51CTO
最後更新:2017-11-02 16:04:25