IR（incident response），顧名思義，事件響應，旨在對一些潛在的危機，如數據外泄、DoS或DDoS攻擊、防火墻外泄、病毒或惡意軟件爆發等威脅進行響應。

隨著各種項目互聯網化，商業事件響應工具增勢甚猛。

就在本周，我重新回顧了幾個有關事件響應（IR）自動化和協同的采訪。很多專業從事網絡安全的專業人士參與了這些采訪，他們共同指出了一些值得我們反思的問題：

1、IR通常由基本工具、手動過程和關鍵人員組成。

雖然故障標簽和ITSM（information technology service management 信息技術服務管理）工具是非常普遍且相當成熟的，但是太多的企業組織仍然使用非常古老的方法應對突發事件。換句話說，他們依然依賴紙張、電子表格、電子郵件交接以及很擅長找到受損的系統和惡意網路流量的安全分析師。

2、組織嘗試并使用商業工具。

很多組織機構或企業嘗試使用Remedy或ServerceNow ITSM來湊出一種響應方式，但是這些工具是為IT操作員設計的、用于技術支持，并不是專門的事件響應工具。通常來說，SOC（security operation center 安全管理中心）團隊希望在整個生命周期中進行事件跟蹤，但是使用IT管理工具并不是一種有效的方式。

3、太多公司使用自建IR軟件。

很多公司嘗試手動之外的方式，但是他們選擇的是拼湊腳本、應用和數據庫以達到事件響應的目的。有些時候，他們使用開源工具，比如來自Netflix或RTIR的FIDO。雖然他們是出于好意做出這些努力，但是當拼湊出來的東西缺少某些功能、規模又不夠大、又非常易于集成時，這些公司似乎又失敗了。此外，大多數的安全組織并不想參與開發和維護軟件的業務。

4、IR正從即可響應轉成提前預應。

過去，嚴重事件的發現會引發一些行動，比如捕獲網絡數據包（PCAP）、部署斷電取證工具等以查找可疑人為痕跡、文件、內存進程等。許多組織已經或正在轉向使用來自Arbor Networks、Cisco、ExtraHop、RSA或Symantec的工具進行連續監測以進行網絡安全分析，并在端點使用來自Carbon Black、Countertack、Cybereason、Endgame或Guidance Software的工具。

5、初始目標傾向于之前的協同

安全專家意識到某些類型的IR過程，例如收集和豐富安全數據、調查電子郵件釣魚或在主機和網絡上尋找loC活動等，都需要大量的手動操作，需要幾個小時或幾天才能完成。我發現許多組織都通過映射其中一個步驟開始他們的IR自動化和協同項目，然后使用協同工具緩解繁重的工作量。一旦協同了一個流程，組織傾向于使用以前學到的知識來協同其他復雜的任務。其實這樣做非常有道理，因為幾乎每個組織都缺少網絡安全技能，同時還希望現有員工所做的工作有所成效。

6、自動化快速跟進

組織傾向于從基礎開始——終止網絡連接、隔離系統、阻止與IP地址的連接等。尤其是經驗豐富的組織對其威脅情報程序進行操作時。

IR自動化和協同正在進化成為不斷發展的安全操作分析平臺架構（sercurity operations and analytics platform architecture）的關鍵功能。

當我幾年前初涉IR這個領域時，各個企業組織要么卷起袖子拼湊自己的時間響應自動化協同方案、要么被警報淹沒進行手動干涉。但是時至2017年，IR自動化和協同項目似乎正在順利進行，至少它出現在了每個首席信息安全官的重要事項中。

鑒于IR自動化和協同的興起，很多大型廠商，如CyberSponse, FireEye (Invotas), Hexadite, IBM (Resilient), Phantom Cyber, ServiceNow, Simplify 和 Swimlane 都將出現在即將舉行的RSA安全會議上。

*參考來源：network，FB小編FireFrank編譯，轉載請注明來自Freebuf.COM