近些年，企業安全工作的關注點，一直聚焦在如何預防黑客攻擊。但是，頻發的大型跨國企業的數據泄露事件表明，即使是對網絡安全更為重視，同時也投入了更多成本的金融業，也明白了“無論做了怎樣的安全防護，遲早會被黑客成功入侵”的道理。這已經成為了所有企業必須認清的事實。

因此，企業安全防護的重點，也隨之轉移到如何更快地發現安全問題，并及時針對這些安全事件，做出合理且有效的響應上。

事件響應的發展現狀

很長時間以來，事件響應并不受安全廠商重視，而是作為產品的附加服務，通過少數售后工程師駐場的方式，與甲方的IT（安全）運維部門合作，解決在安全事件發生后相關產品的運維問題。

但是，事件響應流程本身的復雜性和多變形卻被嚴重低估。事件響應流程本身因企業的IT資產和遭遇的網絡攻擊不同而多種多樣，流程的各步驟相互牽制，且要遵守企業不同所屬行業的數據安全標準和規范。這種相對低效且未經詳細整體籌劃的響應方式，在面對安全事件發生后，需要以秒為單位計算企業損失的情況下，不免有些過于無力。

為什么要重視事件響應？Co3 Systems（在2015年初正式更名為Resilient Systems）的首席技術官布魯斯·施奈爾在2014年美國的黑帽大會的演講中談到，因為預防不可能做到完美，所以越來越多的企業如今正在加強事件響應能力。這其中的主要原因包括：已經失去了對計算環境的控制，很多防護機制無法實施；攻擊行為變得更加復雜，需要更多的響應措施；身不由己地被卷入其他人的安全攻防戰斗；企業對安全防護和檢測措施從的投資往往不足。

事件響應目前所面臨的主要問題有兩點，一是我們仍無法實現完全的自動化，二是不能將人員從安全的循環中移除。我們應當采用工程化的手段，使得系統能夠支持響應循環中的人員執行關鍵任務。是技術來輔助人員，而不是反過來。

今年4月，IBM完成對Resilient Systems的收購，并以插件的方式實現Resilient Systems的事件響應平臺與IBM QRadar的無縫集成。

Resilient Systems如何做事件響應

Resilient Systems的事件響應平臺(IRP)是一個將流程、人員和技術進行緊密集成的自動化平臺。其最大的優勢，在于以安全事件為導向，通過內置的行業標準和最佳實踐，將響應流程整體細化、分解，并自動化的對流程進展狀況進行監控，幫助企業快速進行安全事件的應急響應。

IRP的核心價值在于對企業核心IT資產的安全防護，所以IRP要與企業網絡中現有可“掌控全局”的IBM QRadar等SIEM類平臺產品進行對接，以獲取關于攻擊和資產狀態的信息。

確認攻擊類型后，IRP會以企業IT資產為單位，將響應流程進行細致的分解，并下發給IT運維部門，分解后的響應流程可以大致分為人工和自動兩個大類。目前Resilient Systems的IRP平臺仍是半人工半自動化的，但這兩種方式的結合使得整個處理進度變得更加可控。同時，IRP平臺對整個事件響應流程的定義是完全開放的，企業可以根據自身網絡環境、特殊的業務需求和相關標準來添加自定義流程，將僅有紙質文檔的標準自定義到Resilient Systems的IRP平臺上，并作為可復用資產，在不同企業或子公司之間進行共享。

實現事件響應演練

軍方需要常規性地軍事演練，以保證在戰時盡可能地最大程度發揮出部隊應有的戰斗能力。安全事件發現后的響應環節亦是爭分奪秒的戰場。

Resilient Systems和IBM QRadar可以通過搭建虛擬環境，和企業內部驅動的滲透/眾測兩種方式，進行事件響應的演練。虛擬環境本身可以由IBM QRadar自身通過對某些規則的演練或者測試網絡環境的搭建來完成。滲透/眾測情況下，企業可以通過外包的方式，邀請滲透測試團隊駐場測試，或者是在協定測試基線的前提下（不觸碰業務數據等）進行眾測，對企業網絡進行“攻擊”。

經常性的進行響應演練，不僅可以定期量化地評估QRadar檢測問題和IT運維部門事件響應的能力，這也有助于企業有針對性地進行安全防護和事件響應能力的提升。但演練的形式和頻率，則由企業自行決定。

Resilient Systems和IBM QRadar

如果看過安全牛之前的文章，可以了解到IBM QRadar是IBM安全的大腦，也是終端、數據庫、身份管理等對應安全設備間聯動的核心。

與IRP不同，QRadar是以企業IT資產為導向的，在QRadar定位攻擊及受影響資產及其狀態等信息后，每個確認攻擊的詳細信息都可發送到IRP平臺，自動生成并開始事件響應流程。在完成某個攻擊引發的安全事件的應急響應后，整個處理過程的相關信息，包括對應攻擊類型、響應流程細節、下發和完成時間等信息，都會被IRP平臺記錄。Resilient Systems可以自動將整個響應過程評價量化，并提供相應報表的生成。除了對安全部門的監督外，它也是IT運維團隊的事件響應能力的一個具體表現。

從CISO、CEO等高管角度考慮，當管理層不再只是關心由安全部門還是IT部門承擔事故責任，而更多的是關注如何提高企業整體的事件響應能力時，Resilient Systems能一份客觀詳盡地評估和答卷。

事件響應的發展趨勢

目前事件響應最大的挑戰，是從誤報中甄別哪些是真正嚴重的攻擊，哪些只是腳本小子所為，以及攻擊行為是如何影響企業自身的網絡環境。QRadar自身通過黑客對不同資產發動的不同攻擊，將黑客的危險層級進行區分。一些相對低端的行為，如通過某些成熟的自動化工具對外圍安全和網絡設備進行的攻擊，在QRadar確認后則會聯動相應設備自動化的進行攔截處理。而在問題變得相對復雜時，才會告警并提醒安全人員將攻擊信息提交到Resilient Systems，開啟事件響應流程。但是，目前每天過多的攻擊告警，使得安全人員應接不暇，疲于奔命。不光是真正的安全威脅會湮沒在其中，即使將攻擊細節提交給Resilient Systems，也已經耗費了過多的人力。

可以說，自動化將會是目前事件響應最大的進化。

對威脅的預防、檢測、遏制、進化以及學習能力，都會在對安全攻擊進行響應的時刻集中體現。安全響應過程也必然會變得更具協調性。如果不能把預防、檢測和響應這三者間的關系協調好，實現步調一致，那么安全性也就無從談起。

最后，如果從企業安全中延展開來，我們可以看到，物聯網的高速發展所帶來的新型安全威脅，對事件響應的流程和理念，也勢必會產生影響，事件響應也會隨之升級。不遠的將來，事件響應的保護的粒度可能將不再僅是IT資產和數據，還要顧及企業的每個用戶甚至是用戶這個個體本身。從安全的整體性考慮，打造一個全網絡世界而不僅是某個企業網絡的“安全免疫系統”，已經迫在眉睫。

安全牛評

事件響應作為企業安全防護中至關重要的一環，卻從近兩年開始行業內的聲音才有所變大。這也是Resilient Systems的IRP平臺一直沒有直接“競品”的主要原因。雖然有部分IT服務管理平臺，或者安全廠商提供的應急響應小組駐場服務，但是僅此兩者是不夠的。將安全行業的最佳實踐和成熟自動化的IT服務管理結合，是事件響應發展的必然趨勢，也是Resilient Systems最大的優勢。