近些年,企業(yè)安全工作的關(guān)注點,一直聚焦在如何預(yù)防黑客攻擊。但是,頻發(fā)的大型跨國企業(yè)的數(shù)據(jù)泄露事件表明,即使是對網(wǎng)絡(luò)安全更為重視,同時也投入了更多成本的金融業(yè),也明白了“無論做了怎樣的安全防護,遲早會被黑客成功入侵”的道理。這已經(jīng)成為了所有企業(yè)必須認(rèn)清的事實。
因此,企業(yè)安全防護的重點,也隨之轉(zhuǎn)移到如何更快地發(fā)現(xiàn)安全問題,并及時針對這些安全事件,做出合理且有效的響應(yīng)上。
事件響應(yīng)的發(fā)展現(xiàn)狀
很長時間以來,事件響應(yīng)并不受安全廠商重視,而是作為產(chǎn)品的附加服務(wù),通過少數(shù)售后工程師駐場的方式,與甲方的IT(安全)運維部門合作,解決在安全事件發(fā)生后相關(guān)產(chǎn)品的運維問題。
但是,事件響應(yīng)流程本身的復(fù)雜性和多變形卻被嚴(yán)重低估。事件響應(yīng)流程本身因企業(yè)的IT資產(chǎn)和遭遇的網(wǎng)絡(luò)攻擊不同而多種多樣,流程的各步驟相互牽制,且要遵守企業(yè)不同所屬行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)和規(guī)范。這種相對低效且未經(jīng)詳細(xì)整體籌劃的響應(yīng)方式,在面對安全事件發(fā)生后,需要以秒為單位計算企業(yè)損失的情況下,不免有些過于無力。
為什么要重視事件響應(yīng)?Co3 Systems(在2015年初正式更名為Resilient Systems)的首席技術(shù)官布魯斯·施奈爾在2014年美國的黑帽大會的演講中談到,因為預(yù)防不可能做到完美,所以越來越多的企業(yè)如今正在加強事件響應(yīng)能力。這其中的主要原因包括:已經(jīng)失去了對計算環(huán)境的控制,很多防護機制無法實施;攻擊行為變得更加復(fù)雜,需要更多的響應(yīng)措施;身不由己地被卷入其他人的安全攻防戰(zhàn)斗;企業(yè)對安全防護和檢測措施從的投資往往不足。
事件響應(yīng)目前所面臨的主要問題有兩點,一是我們?nèi)詿o法實現(xiàn)完全的自動化,二是不能將人員從安全的循環(huán)中移除。我們應(yīng)當(dāng)采用工程化的手段,使得系統(tǒng)能夠支持響應(yīng)循環(huán)中的人員執(zhí)行關(guān)鍵任務(wù)。是技術(shù)來輔助人員,而不是反過來。
今年4月,IBM完成對Resilient Systems的收購,并以插件的方式實現(xiàn)Resilient Systems的事件響應(yīng)平臺與IBM QRadar的無縫集成。
Resilient Systems如何做事件響應(yīng)
Resilient Systems的事件響應(yīng)平臺(IRP)是一個將流程、人員和技術(shù)進(jìn)行緊密集成的自動化平臺。其最大的優(yōu)勢,在于以安全事件為導(dǎo)向,通過內(nèi)置的行業(yè)標(biāo)準(zhǔn)和最佳實踐,將響應(yīng)流程整體細(xì)化、分解,并自動化的對流程進(jìn)展?fàn)顩r進(jìn)行監(jiān)控,幫助企業(yè)快速進(jìn)行安全事件的應(yīng)急響應(yīng)。
IRP的核心價值在于對企業(yè)核心IT資產(chǎn)的安全防護,所以IRP要與企業(yè)網(wǎng)絡(luò)中現(xiàn)有可“掌控全局”的IBM QRadar等SIEM類平臺產(chǎn)品進(jìn)行對接,以獲取關(guān)于攻擊和資產(chǎn)狀態(tài)的信息。
確認(rèn)攻擊類型后,IRP會以企業(yè)IT資產(chǎn)為單位,將響應(yīng)流程進(jìn)行細(xì)致的分解,并下發(fā)給IT運維部門,分解后的響應(yīng)流程可以大致分為人工和自動兩個大類。目前Resilient Systems的IRP平臺仍是半人工半自動化的,但這兩種方式的結(jié)合使得整個處理進(jìn)度變得更加可控。同時,IRP平臺對整個事件響應(yīng)流程的定義是完全開放的,企業(yè)可以根據(jù)自身網(wǎng)絡(luò)環(huán)境、特殊的業(yè)務(wù)需求和相關(guān)標(biāo)準(zhǔn)來添加自定義流程,將僅有紙質(zhì)文檔的標(biāo)準(zhǔn)自定義到Resilient Systems的IRP平臺上,并作為可復(fù)用資產(chǎn),在不同企業(yè)或子公司之間進(jìn)行共享。
實現(xiàn)事件響應(yīng)演練
軍方需要常規(guī)性地軍事演練,以保證在戰(zhàn)時盡可能地最大程度發(fā)揮出部隊?wèi)?yīng)有的戰(zhàn)斗能力。安全事件發(fā)現(xiàn)后的響應(yīng)環(huán)節(jié)亦是爭分奪秒的戰(zhàn)場。
Resilient Systems和IBM QRadar可以通過搭建虛擬環(huán)境,和企業(yè)內(nèi)部驅(qū)動的滲透/眾測兩種方式,進(jìn)行事件響應(yīng)的演練。虛擬環(huán)境本身可以由IBM QRadar自身通過對某些規(guī)則的演練或者測試網(wǎng)絡(luò)環(huán)境的搭建來完成。滲透/眾測情況下,企業(yè)可以通過外包的方式,邀請滲透測試團隊駐場測試,或者是在協(xié)定測試基線的前提下(不觸碰業(yè)務(wù)數(shù)據(jù)等)進(jìn)行眾測,對企業(yè)網(wǎng)絡(luò)進(jìn)行“攻擊”。
經(jīng)常性的進(jìn)行響應(yīng)演練,不僅可以定期量化地評估QRadar檢測問題和IT運維部門事件響應(yīng)的能力,這也有助于企業(yè)有針對性地進(jìn)行安全防護和事件響應(yīng)能力的提升。但演練的形式和頻率,則由企業(yè)自行決定。
Resilient Systems和IBM QRadar
如果看過安全牛之前的文章,可以了解到IBM QRadar是IBM安全的大腦,也是終端、數(shù)據(jù)庫、身份管理等對應(yīng)安全設(shè)備間聯(lián)動的核心。
與IRP不同,QRadar是以企業(yè)IT資產(chǎn)為導(dǎo)向的,在QRadar定位攻擊及受影響資產(chǎn)及其狀態(tài)等信息后,每個確認(rèn)攻擊的詳細(xì)信息都可發(fā)送到IRP平臺,自動生成并開始事件響應(yīng)流程。在完成某個攻擊引發(fā)的安全事件的應(yīng)急響應(yīng)后,整個處理過程的相關(guān)信息,包括對應(yīng)攻擊類型、響應(yīng)流程細(xì)節(jié)、下發(fā)和完成時間等信息,都會被IRP平臺記錄。Resilient Systems可以自動將整個響應(yīng)過程評價量化,并提供相應(yīng)報表的生成。除了對安全部門的監(jiān)督外,它也是IT運維團隊的事件響應(yīng)能力的一個具體表現(xiàn)。
從CISO、CEO等高管角度考慮,當(dāng)管理層不再只是關(guān)心由安全部門還是IT部門承擔(dān)事故責(zé)任,而更多的是關(guān)注如何提高企業(yè)整體的事件響應(yīng)能力時,Resilient Systems能一份客觀詳盡地評估和答卷。
事件響應(yīng)的發(fā)展趨勢
目前事件響應(yīng)最大的挑戰(zhàn),是從誤報中甄別哪些是真正嚴(yán)重的攻擊,哪些只是腳本小子所為,以及攻擊行為是如何影響企業(yè)自身的網(wǎng)絡(luò)環(huán)境。QRadar自身通過黑客對不同資產(chǎn)發(fā)動的不同攻擊,將黑客的危險層級進(jìn)行區(qū)分。一些相對低端的行為,如通過某些成熟的自動化工具對外圍安全和網(wǎng)絡(luò)設(shè)備進(jìn)行的攻擊,在QRadar確認(rèn)后則會聯(lián)動相應(yīng)設(shè)備自動化的進(jìn)行攔截處理。而在問題變得相對復(fù)雜時,才會告警并提醒安全人員將攻擊信息提交到Resilient Systems,開啟事件響應(yīng)流程。但是,目前每天過多的攻擊告警,使得安全人員應(yīng)接不暇,疲于奔命。不光是真正的安全威脅會湮沒在其中,即使將攻擊細(xì)節(jié)提交給Resilient Systems,也已經(jīng)耗費了過多的人力。
可以說,自動化將會是目前事件響應(yīng)最大的進(jìn)化。
對威脅的預(yù)防、檢測、遏制、進(jìn)化以及學(xué)習(xí)能力,都會在對安全攻擊進(jìn)行響應(yīng)的時刻集中體現(xiàn)。安全響應(yīng)過程也必然會變得更具協(xié)調(diào)性。如果不能把預(yù)防、檢測和響應(yīng)這三者間的關(guān)系協(xié)調(diào)好,實現(xiàn)步調(diào)一致,那么安全性也就無從談起。
最后,如果從企業(yè)安全中延展開來,我們可以看到,物聯(lián)網(wǎng)的高速發(fā)展所帶來的新型安全威脅,對事件響應(yīng)的流程和理念,也勢必會產(chǎn)生影響,事件響應(yīng)也會隨之升級。不遠(yuǎn)的將來,事件響應(yīng)的保護的粒度可能將不再僅是IT資產(chǎn)和數(shù)據(jù),還要顧及企業(yè)的每個用戶甚至是用戶這個個體本身。從安全的整體性考慮,打造一個全網(wǎng)絡(luò)世界而不僅是某個企業(yè)網(wǎng)絡(luò)的“安全免疫系統(tǒng)”,已經(jīng)迫在眉睫。
安全牛評
事件響應(yīng)作為企業(yè)安全防護中至關(guān)重要的一環(huán),卻從近兩年開始行業(yè)內(nèi)的聲音才有所變大。這也是Resilient Systems的IRP平臺一直沒有直接“競品”的主要原因。雖然有部分IT服務(wù)管理平臺,或者安全廠商提供的應(yīng)急響應(yīng)小組駐場服務(wù),但是僅此兩者是不夠的。將安全行業(yè)的最佳實踐和成熟自動化的IT服務(wù)管理結(jié)合,是事件響應(yīng)發(fā)展的必然趨勢,也是Resilient Systems最大的優(yōu)勢。