在激烈的市場競爭下，以技術(shù)驅(qū)動(dòng)創(chuàng)新、數(shù)字化轉(zhuǎn)型成為企業(yè)發(fā)展的一個(gè)必然方向。在這個(gè)過程中，應(yīng)用變得更加模塊化、容器化；數(shù)據(jù)的開放要求越來越高，不僅僅企業(yè)部門之間，甚至需要合作伙伴之間共享數(shù)據(jù)，用 AI 的方式提供更多洞察；同時(shí)基礎(chǔ)架構(gòu)也橫跨本地?cái)?shù)據(jù)中心、私有云、公有云，形成一個(gè)混合多云的分布。這些變化一方面增加了安全攻擊面，同時(shí)又要求更快更有彈性的處理安全威脅。

RSA Conference 2021 于 5月 17日完美落幕，這是 RSA 大會有史以來第一次采用網(wǎng)絡(luò)虛擬會議的形式舉辦，本次大會的主題是 Resilience（譯為彈性）。IBM SOAR 網(wǎng)絡(luò)安全編排自動(dòng)化響應(yīng)軟件產(chǎn)品名正是 Resilient，與本次 RSA  主題不謀而合。

中國道家的修行講“財(cái)法侶地”幾個(gè)要素，對于 SOAR 安全事件響應(yīng)來說，考驗(yàn)和修煉安全人員的心性，同樣需要這幾個(gè)方面的支持。IBM Resilient 作為專業(yè)的 SOAR 平臺，從各個(gè)方面為 SOAR 提供了很好的支持。

“財(cái)”，也就是財(cái)力和物力支撐。對于 SOAR 來說，就是要充分發(fā)揮現(xiàn)有安全工具的能力，用自動(dòng)化的方式提高效率，降低成本。提升效率是目標(biāo)，自動(dòng)化是手段。Gartner 在報(bào)告中也曾特別指出自動(dòng)化最合適于已經(jīng)定義清楚且久經(jīng)考驗(yàn)的流程（SOAR: Assessing Readiness Through Use-Case Analytics, Gartner 2020），因此在自動(dòng)化過程中需要選定目標(biāo)，確定對應(yīng)的效率指標(biāo)，并持續(xù)跟蹤和改進(jìn)。同時(shí)自動(dòng)化是一個(gè)更大范圍的概念，例如 IT 運(yùn)維、安全補(bǔ)丁等很多方面都需要自動(dòng)化支持，在安全響應(yīng)中需要和企業(yè)的自動(dòng)化平臺對接，不管是自研平臺，還是基于開源例如 Ansible 平臺，或者商業(yè)化平臺。

“法”，要有正確的修行道法。在安全事件響應(yīng)中，也需要對應(yīng)的最佳實(shí)踐和 SOP。在 SOAR 中大家都用劇本來整理和固化體現(xiàn) SOP。但是每次攻擊的范圍，變化都會有所不同，如果在 SOP 中包括所有的情況，這就像程序員寫了一段完整但很復(fù)雜的代碼，里面有各種跳轉(zhuǎn)和分支，這對于后續(xù)的維護(hù)和理解會帶來很大的障礙。IBM Resilient 支持以流程為綱，以規(guī)則為目，一方面用流程來規(guī)范整體的響應(yīng)環(huán)節(jié)，比如說對于勒索，包括最開始的隔離環(huán)節(jié)，先隔離感染的機(jī)器，避免進(jìn)一步擴(kuò)散，然后分析勒索病毒的 IOC 和種類，去做相應(yīng)的阻斷，同時(shí)看看數(shù)據(jù)是否可以恢復(fù)，判斷數(shù)據(jù)的價(jià)值，決定是從備份中恢復(fù)數(shù)據(jù)，還是支付勒索。同時(shí)在每個(gè)事件的處置過程中，利用規(guī)則，根據(jù)實(shí)際情況做出不同的響應(yīng)，比如說如果被感染的資產(chǎn)涉及企業(yè)內(nèi)的高層，需要有 PR 和 legal 的同事進(jìn)來評估；如果說發(fā)現(xiàn)有內(nèi)鬼，則需要在做好取證的同時(shí)聯(lián)系相關(guān)的執(zhí)法部門；如果有數(shù)據(jù)泄露，還需要有專門的數(shù)據(jù)泄露處置過程等等。

“侶”，志同道合的道侶，一起互相扶持。對應(yīng)到 SOAR 來說，就是要促進(jìn)多人協(xié)作，現(xiàn)在的安全事件都越來越復(fù)雜，不是一個(gè)人幾分鐘就可以處置完，需要安全人員，IT 人員，甚至法務(wù)等多人的共同協(xié)作。因此需要 SOAR 平臺提供一個(gè)統(tǒng)一的門戶，讓所有的相關(guān)人員對整個(gè)事件有一個(gè)統(tǒng)一的認(rèn)識，從已經(jīng)完成和需要進(jìn)行的任務(wù)，到之前調(diào)查的發(fā)現(xiàn)等，在 IBM Resilient 中通過可自定義擴(kuò)展的結(jié)構(gòu)化方式把任務(wù)和調(diào)查發(fā)現(xiàn)分門別類的展現(xiàn)給用戶，幫助用戶快速的了解情況，并通過和其他即時(shí)通訊工具例如 slack，teams 等的集成提高用戶的溝通效率。除了人員之間的協(xié)作外，還有一個(gè)很重要的方面是和外部威脅情報(bào)的整合，利用 IBM X-Force等外部情報(bào)來更好的理解所面臨的安全事件，并和內(nèi)部發(fā)現(xiàn)的 IOC 做關(guān)聯(lián)，逐步積累企業(yè)內(nèi)部的威脅情報(bào)。

“地”，有契合的環(huán)境，對于安全事件響應(yīng)來說，很重要但也容易被忽視的就是響應(yīng)過程中的合規(guī)性。不同的國家和地區(qū)都有相關(guān)的合規(guī)要求，尤其是數(shù)據(jù)泄露相關(guān)的合規(guī)要求。舉一個(gè)例子，某知名酒店管理公司去年因?yàn)閿?shù)據(jù)泄露被 ICO 罰款 1800萬英鎊，但是這個(gè)金額比原先估計(jì)的 9000萬英鎊少很多，其中一個(gè)很重要的原因就是 ICO 認(rèn)可這家公司在發(fā)生數(shù)據(jù)泄露后迅速和監(jiān)管部門，也就是 ICO，以及受影響客戶進(jìn)行聯(lián)系，采取相關(guān)行動(dòng)，降低客戶遭受損害的風(fēng)險(xiǎn)。隱私數(shù)據(jù)泄露相關(guān)的法律在世界各地持續(xù)的落地，在國內(nèi)包括之前的網(wǎng)安法，個(gè)人信息安全規(guī)范等。IBM Resilient 在事件響應(yīng)劇本中集成數(shù)據(jù)泄露相關(guān)的規(guī)則，通過內(nèi)置的數(shù)據(jù)庫覆蓋全球超過 180個(gè)不同的法規(guī)，把復(fù)雜的、需要法律專業(yè)解讀的條款轉(zhuǎn)換成明確可執(zhí)行的任務(wù)、模板和期限，幫助客戶滿足復(fù)雜的數(shù)據(jù)泄露通知需求，保持合規(guī)。

掃描下圖二維碼，相約一年一度 IBM think 中國論壇

*立即前往2021全新安全專區(qū)，掌握最新安全技術(shù)趨勢 

歷史精彩文章推薦

*IBM安全歷史精彩文章推薦

關(guān)于IBM Security介紹

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百強(qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。