在激烈的市場競爭下，以技術(shù)驅(qū)動創(chuàng)新、數(shù)字化轉(zhuǎn)型成為企業(yè)發(fā)展的一個必然方向。在這個過程中，應(yīng)用變得更加模塊化、容器化；數(shù)據(jù)的開放要求越來越高，不僅僅企業(yè)部門之間，甚至需要合作伙伴之間共享數(shù)據(jù)，用 AI 的方式提供更多洞察；同時基礎(chǔ)架構(gòu)也橫跨本地數(shù)據(jù)中心、私有云、公有云，形成一個混合多云的分布。這些變化一方面增加了安全攻擊面，同時又要求更快更有彈性的處理安全威脅。

RSA Conference 2021 于 5月 17日完美落幕，這是 RSA 大會有史以來第一次采用網(wǎng)絡(luò)虛擬會議的形式舉辦，本次大會的主題是 Resilience（譯為彈性）。IBM SOAR 網(wǎng)絡(luò)安全編排自動化響應(yīng)軟件產(chǎn)品名正是 Resilient，與本次 RSA  主題不謀而合。

中國道家的修行講“財法侶地”幾個要素，對于 SOAR 安全事件響應(yīng)來說，考驗和修煉安全人員的心性，同樣需要這幾個方面的支持。IBM Resilient 作為專業(yè)的 SOAR 平臺，從各個方面為 SOAR 提供了很好的支持。

“財”，也就是財力和物力支撐。對于 SOAR 來說，就是要充分發(fā)揮現(xiàn)有安全工具的能力，用自動化的方式提高效率，降低成本。提升效率是目標，自動化是手段。Gartner 在報告中也曾特別指出自動化最合適于已經(jīng)定義清楚且久經(jīng)考驗的流程（SOAR: Assessing Readiness Through Use-Case Analytics, Gartner 2020），因此在自動化過程中需要選定目標，確定對應(yīng)的效率指標，并持續(xù)跟蹤和改進。同時自動化是一個更大范圍的概念，例如 IT 運維、安全補丁等很多方面都需要自動化支持，在安全響應(yīng)中需要和企業(yè)的自動化平臺對接，不管是自研平臺，還是基于開源例如 Ansible 平臺，或者商業(yè)化平臺。

“法”，要有正確的修行道法。在安全事件響應(yīng)中，也需要對應(yīng)的最佳實踐和 SOP。在 SOAR 中大家都用劇本來整理和固化體現(xiàn) SOP。但是每次攻擊的范圍，變化都會有所不同，如果在 SOP 中包括所有的情況，這就像程序員寫了一段完整但很復雜的代碼，里面有各種跳轉(zhuǎn)和分支，這對于后續(xù)的維護和理解會帶來很大的障礙。IBM Resilient 支持以流程為綱，以規(guī)則為目，一方面用流程來規(guī)范整體的響應(yīng)環(huán)節(jié)，比如說對于勒索，包括最開始的隔離環(huán)節(jié)，先隔離感染的機器，避免進一步擴散，然后分析勒索病毒的 IOC 和種類，去做相應(yīng)的阻斷，同時看看數(shù)據(jù)是否可以恢復，判斷數(shù)據(jù)的價值，決定是從備份中恢復數(shù)據(jù)，還是支付勒索。同時在每個事件的處置過程中，利用規(guī)則，根據(jù)實際情況做出不同的響應(yīng)，比如說如果被感染的資產(chǎn)涉及企業(yè)內(nèi)的高層，需要有 PR 和 legal 的同事進來評估；如果說發(fā)現(xiàn)有內(nèi)鬼，則需要在做好取證的同時聯(lián)系相關(guān)的執(zhí)法部門；如果有數(shù)據(jù)泄露，還需要有專門的數(shù)據(jù)泄露處置過程等等。

“侶”，志同道合的道侶，一起互相扶持。對應(yīng)到 SOAR 來說，就是要促進多人協(xié)作，現(xiàn)在的安全事件都越來越復雜，不是一個人幾分鐘就可以處置完，需要安全人員，IT 人員，甚至法務(wù)等多人的共同協(xié)作。因此需要 SOAR 平臺提供一個統(tǒng)一的門戶，讓所有的相關(guān)人員對整個事件有一個統(tǒng)一的認識，從已經(jīng)完成和需要進行的任務(wù)，到之前調(diào)查的發(fā)現(xiàn)等，在 IBM Resilient 中通過可自定義擴展的結(jié)構(gòu)化方式把任務(wù)和調(diào)查發(fā)現(xiàn)分門別類的展現(xiàn)給用戶，幫助用戶快速的了解情況，并通過和其他即時通訊工具例如 slack，teams 等的集成提高用戶的溝通效率。除了人員之間的協(xié)作外，還有一個很重要的方面是和外部威脅情報的整合，利用 IBM X-Force等外部情報來更好的理解所面臨的安全事件，并和內(nèi)部發(fā)現(xiàn)的 IOC 做關(guān)聯(lián)，逐步積累企業(yè)內(nèi)部的威脅情報。

“地”，有契合的環(huán)境，對于安全事件響應(yīng)來說，很重要但也容易被忽視的就是響應(yīng)過程中的合規(guī)性。不同的國家和地區(qū)都有相關(guān)的合規(guī)要求，尤其是數(shù)據(jù)泄露相關(guān)的合規(guī)要求。舉一個例子，某知名酒店管理公司去年因為數(shù)據(jù)泄露被 ICO 罰款 1800萬英鎊，但是這個金額比原先估計的 9000萬英鎊少很多，其中一個很重要的原因就是 ICO 認可這家公司在發(fā)生數(shù)據(jù)泄露后迅速和監(jiān)管部門，也就是 ICO，以及受影響客戶進行聯(lián)系，采取相關(guān)行動，降低客戶遭受損害的風險。隱私數(shù)據(jù)泄露相關(guān)的法律在世界各地持續(xù)的落地，在國內(nèi)包括之前的網(wǎng)安法，個人信息安全規(guī)范等。IBM Resilient 在事件響應(yīng)劇本中集成數(shù)據(jù)泄露相關(guān)的規(guī)則，通過內(nèi)置的數(shù)據(jù)庫覆蓋全球超過 180個不同的法規(guī)，把復雜的、需要法律專業(yè)解讀的條款轉(zhuǎn)換成明確可執(zhí)行的任務(wù)、模板和期限，幫助客戶滿足復雜的數(shù)據(jù)泄露通知需求，保持合規(guī)。

掃描下圖二維碼，相約一年一度 IBM think 中國論壇

*立即前往2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢 

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關(guān)于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗。IBM Security 在全球守護95%的全球五百強企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團，包括50家全球最大的金融和銀行機構(gòu)中的49家、15家最大的醫(yī)療機構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構(gòu)發(fā)布的12份不同的分析報告中，有12項技術(shù)解決方案被列為領(lǐng)導者，在產(chǎn)業(yè)中躋身首列。