中国道家的修行讲 “财法侣地” 几个要素,对于 SOAR 安全事件响应来说,考验和修炼安全人员的心性,同样需要这几个方面的支持。IBM Resilient 作为专业的 SOAR 平台,从各个方面为 SOAR 提供了很好的支持。
在激烈的市场竞争下,以技术驱动创新、数字化转型成为企业发展的一个必然方向。在这个过程中,应用变得更加模块化、容器化;数据的开放要求越来越高,不仅仅企业部门之间,甚至需要合作伙伴之间共享数据,用 AI 的方式提供更多洞察;同时基础架构也横跨本地数据中心、私有云、公有云,形成一个混合多云的分布。这些变化一方面增加了安全攻击面,同时又要求更快更有弹性的处理安全威胁。
RSA Conference 2021 于 5 月 17 日完美落幕,这是 RSA 大会有史以来第一次采用网络虚拟会议的形式举办,本次大会的主题是 Resilience(译为弹性)。IBM SOAR 网络安全编排自动化响应软件产品名正是 Resilient,与本次 RSA 主题不谋而合。
中国道家的修行讲 “财法侣地” 几个要素,对于 SOAR 安全事件响应来说,考验和修炼安全人员的心性,同样需要这几个方面的支持。IBM Resilient 作为专业的 SOAR 平台,从各个方面为 SOAR 提供了很好的支持。
“财”,也就是财力和物力支撑。对于 SOAR 来说,就是要充分发挥现有安全工具的能力,用自动化的方式提高效率,降低成本。提升效率是目标,自动化是手段。Gartner 在报告中也曾特别指出自动化最合适于已经定义清楚且久经考验的流程(SOAR: Assessing Readiness Through Use-Case Analytics, Gartner 2020),因此在自动化过程中需要选定目标,确定对应的效率指标,并持续跟踪和改进。同时自动化是一个更大范围的概念,例如 IT 运维、安全补丁等很多方面都需要自动化支持,在安全响应中需要和企业的自动化平台对接,不管是自研平台,还是基于开源例如 Ansible 平台,或者商业化平台。
“法”,要有正确的修行道法。在安全事件响应中,也需要对应的最佳实践和 SOP。在 SOAR 中大家都用剧本来整理和固化体现 SOP。但是每次攻击的范围,变化都会有所不同,如果在 SOP 中包括所有的情况,这就像程序员写了一段完整但很复杂的代码,里面有各种跳转和分支,这对于后续的维护和理解会带来很大的障碍。IBM Resilient 支持以流程为纲,以规则为目,一方面用流程来规范整体的响应环节,比如说对于勒索,包括最开始的隔离环节,先隔离感染的机器,避免进一步扩散,然后分析勒索病毒的 IOC 和种类,去做相应的阻断,同时看看数据是否可以恢复,判断数据的价值,决定是从备份中恢复数据,还是支付勒索。同时在每个事件的处置过程中,利用规则,根据实际情况做出不同的响应,比如说如果被感染的资产涉及企业内的高层,需要有 PR 和 legal 的同事进来评估;如果说发现有内鬼,则需要在做好取证的同时联系相关的执法部门;如果有数据泄露,还需要有专门的数据泄露处置过程等等。
“侣”,志同道合的道侣,一起互相扶持。对应到 SOAR 来说,就是要促进多人协作,现在的安全事件都越来越复杂,不是一个人几分钟就可以处置完,需要安全人员,IT 人员,甚至法务等多人的共同协作。因此需要 SOAR 平台提供一个统一的门户,让所有的相关人员对整个事件有一个统一的认识,从已经完成和需要进行的任务,到之前调查的发现等,在 IBM Resilient 中通过可自定义扩展的结构化方式把任务和调查发现分门别类的展现给用户,帮助用户快速的了解情况,并通过和其他即时通讯工具例如 slack,teams 等的集成提高用户的沟通效率。除了人员之间的协作外,还有一个很重要的方面是和外部威胁情报的整合,利用 IBM X-Force 等外部情报来更好的理解所面临的安全事件,并和内部发现的 IOC 做关联,逐步积累企业内部的威胁情报。
“地”,有契合的环境,对于安全事件响应来说,很重要但也容易被忽视的就是响应过程中的合规性。不同的国家和地区都有相关的合规要求,尤其是数据泄露相关的合规要求。举一个例子,某知名酒店管理公司去年因为数据泄露被 ICO 罚款 1800 万英镑,但是这个金额比原先估计的 9000 万英镑少很多,其中一个很重要的原因就是 ICO 认可这家公司在发生数据泄露后迅速和监管部门,也就是 ICO,以及受影响客户进行联系,采取相关行动,降低客户遭受损害的风险。隐私数据泄露相关的法律在世界各地持续的落地,在国内包括之前的网安法,个人信息安全规范等。IBM Resilient 在事件响应剧本中集成数据泄露相关的规则,通过内置的数据库覆盖全球超过 180 个不同的法规,把复杂的、需要法律专业解读的条款转换成明确可执行的任务、模板和期限,帮助客户满足复杂的数据泄露通知需求,保持合规。