事件響應 (IR) 是快速識別攻擊、最小化其影響、控制損害并修復原因以降低未來事件風險的努力。

讓我們定義事件響應

幾乎每家公司在某種程度上都有一個事件響應流程。但是，對于那些希望建立更正式流程的公司，必須提出的相關問題是：

• 如果出現事件，激活參與響應事件的責任方的步驟是什么？
• 你的應對計劃應該有多全面和具體？
• 你有足夠的人（和合適的人）做出適當的回應嗎？
• 對于事件響應和恢復正常運營，您可接受的 SLA 是什么？

根據 Ponemon Institute的一項研究，這些問題的答案很可能不是最優的，因為大多數公司在一個或多個領域都存在不足：

• 77% 的公司沒有正式的、始終如一的應用計劃
• 57% 表示響應時間有所增加
• 77% 的人表示他們很難聘用和留住安保人員*

平均而言，識別惡意或犯罪攻擊需要 214 天，控制和恢復需要 77 天。很明顯，需要更好的事件響應管理來充分保護組織免受他們每天面臨的不斷增長和加速的威脅。

事件響應的 ABC

A. 合適的團隊 ——為了提供最有效的事件響應，行業專家建議在您的團隊中包括以下角色，無論您的公司規模如何。顯然，技術團隊將帶頭，但您公司的其他職能領域也應該參與其中，尤其是在發生嚴重攻擊時。一旦確定了這些角色的人員，教育他們在發生具有廣泛影響的嚴重、廣泛的攻擊時他們的責任是什么：事件響應、安全分析、IT、威脅研究、法律、人力資源、企業通信、風險管理、執行和外部安全取證專家。

B. 正確的計劃 ——全面的事件響應計劃至少包括以下策略和流程：

• 準備好團隊以應對任何威脅
• 檢測并識別事件發生后的類型和嚴重性
• 遏制和限制損害
• 確定其影響和相關風險
• 找到并根除根本原因
• 緩解和解決攻擊
• 分析和修改計劃后攻擊以防止未來的攻擊

當攻擊正在進行時，溝通是關鍵，因此請確保建立良好的溝通流程作為響應計劃的一部分。

C. 正確的工具 ——隨著未知攻擊數量的增加，正確的工具可能能夠為您的公司節省大量時間和金錢——這將有助于保護您的客戶和您的品牌忠誠度。

信息是任何事件響應計劃的關鍵資產。因此，基于云的端點安全解決方案通常為您提供最全面的工具，以最快的方式緩解攻擊，包括通過以下方式訪問關鍵數據：

• 未經過濾的數據捕獲為響應團隊提供了對端點行為的洞察，而不僅僅是先前發現的攻擊模式和行為。這是將攻擊調查從幾天縮短到幾分鐘的關鍵，尤其是考慮到當今利用越來越多的未知攻擊方法。
• 數據分析提供對所有端點活動的可見性，包括當前的和歷史的。有了正確的數據，您就可以看到攻擊從哪里開始并確定攻擊的路徑，所有這些都將有助于更快地修復它。
• 外部威脅情報有助于快速識別您尚未發現但其他公司已發現的威脅。再一次，如果你知道你在處理什么，你可以更快地做出反應。
• 實時響應功能可幫助您修復遠程端點并消除不必要的重新映像。

行業脈搏：外包是事件響應不佳的解決方案嗎？

幾乎所有關于公司面臨的安全挑戰的研究都包括有關雇用和留住熟練安全人員的難度的統計數據，上述 Ponemon 研究中 77% 的人也是如此。在全球范圍內迅速接近的關鍵安全職位短缺近 200 萬人。

缺乏合適的安全人員會嚴重影響任何事件響應，以至于公司正在尋求外包這樣的安全功能。事實上， Gartner 認為，2018 年安全外包服務支出將超過 180 億美元，是僅次于咨詢的第二大安全支出部分。

考慮到招聘合適人員的困難，這是有道理的，因為托管服務可以快速填補您在安全團隊中的任何空白。它可以幫助您確定警報的優先級、發現新威脅并加速調查。這些服務通常由技術嫻熟的威脅專家組成，他們可以持續關注您公司的環境，識別新出現的威脅并在您的團隊最需要幫助時提供對關鍵安全服務的訪問。

答案：合適的人員、計劃、工具和合適的供應商

即使你有合適的人、合適的計劃和合適的工具，仍然有可能發生一些事情，那么為什么要冒這個險呢？它有助于與合適的供應商合作，為您提供基于云的端點安全平臺以及高級威脅搜尋功能。

如上所述，托管威脅搜尋專家可以監視您的環境并通知您的團隊新出現的威脅。這些專家可以：

• 分析、驗證警報并確定警報的優先級，以幫助推動正確的行動。
• 識別早期預警信號和趨勢，并主動發送建議以確保做出自信的響應。
• 使用路線圖發現根本原因，該路線圖提供額外的上下文以簡化調查和根本原因分析。

威脅獵手團隊還可以為您提供整個端點部署的覆蓋范圍和威脅分類，因此您的團隊可以專注于最關鍵的警報。您還可以訪問全球威脅情報，幫助您在未來的攻擊中領先一步。