亚洲步兵一区二区三区,97视频精品久久观看,国产巨作在线无遮挡,亚洲AV无码不卡私人影院

提升事件響應(yīng)工作流效率的20個途徑

2018年05月03日

提升效率顯然可以節(jié)省時間和開銷。除開這么明顯的好處，還有一些其他隱形福利，比如減少人為失誤、提升準確率、增加生產(chǎn)力等等。

然而不幸的是，在事件響應(yīng)領(lǐng)域，缺乏效率卻是常態(tài)。雖然有些很棒的安全團隊想要在事件響應(yīng)過程中引入效率，我們生活的世界流行的卻是“剪貼”式事件管理。即便團隊相當(dāng)有才，想往事件響應(yīng)過程中引入效率卻也是舉步維艱。

這并不是說就沒多少人想要提升事件響應(yīng)過程的效率，而是說，某種程度上而言，所有關(guān)于提升事件響應(yīng)效率的討論都沒有產(chǎn)出什么太大的改變。個中原因有很多，比如到底是哪些領(lǐng)域讓企業(yè)投入大量時間進行人工事件管理，大家的看法可能就存在差異。

或許把企業(yè)最需要往事件響應(yīng)工作流中引入效率的領(lǐng)域列舉一下，會對現(xiàn)狀有所幫助：

1. 警報/事件和事故單/工作隊列之間的智能映射

安全公司每天要處理的事件以十億計，警報也能有數(shù)萬到數(shù)十萬條，但真正開出事故單需要納入工作隊列著手處理的，可能在幾百條左右。警報通常是由覆蓋一個或多個事件的邏輯自動產(chǎn)生的。雖然質(zhì)量和精確度有待考證，但至少這個過程是相對自動化的。只是，到底哪些警報需要納入工作隊列呢?很不幸，這個甄別過程就相當(dāng)不明確，基本上靠人工來做了。

2. 預(yù)判優(yōu)先級

不先定個優(yōu)先級就干等著眾多警報加入到工作隊列中，這種事無異于讓我們的團隊白白浪費大量時間在梳理成千上萬個無意義的數(shù)據(jù)節(jié)點上。何不在警報變?yōu)楣ぷ髁恐熬拖认胂胛覀兊降酌媾R的是什么風(fēng)險和威脅?在警報內(nèi)容構(gòu)建過程一開始就定下優(yōu)先級不是很好嗎?

3. 強化前期分析

為什么要對著一大堆上下文和意義都不明確的數(shù)據(jù)發(fā)愁?為什么不戰(zhàn)略性地在數(shù)據(jù)構(gòu)建過程初期就進行分析而產(chǎn)出高質(zhì)量的警報和更有意義更富上下文的數(shù)據(jù)再發(fā)到工作隊列呢?

4. 用戶識別

分析警報的時候必定要識別用戶。這一步完全可以自動化，不需要再由人工操作了。

5. 資產(chǎn)識別

理由同上。

6. 警報評估

大多數(shù)警報評估涉及的事項都差不多，我們甚至可能遵循定好的流程來篩查某類警報。這種重復(fù)性工作何不自動化呢?

7. 理解警報

評估警報的時候，我們至少要對當(dāng)前發(fā)生的事情有個基本了解，而這通常涉及審查警報本身及相關(guān)支持性證據(jù)。為什么不把這些支持性證據(jù)自動加進來呢?

8. 抽取IOC

調(diào)查涉惡意代碼或惡意鏈接的事件往往需要抽取攻擊指標(biāo)(IOC)。都2018年了，好歹把抽取工作自動化了吧!

9. 事件描述

決策需要上下文和對事件的理解。如果能把大部分事件描述工作給自動化了，難道不是更能省出時間來進行分析和事件響應(yīng)了嗎?

10. 分析

整個事件響應(yīng)工作流中最能體現(xiàn)人類智慧的環(huán)節(jié)。于是，省省那些在Excel表格中剪切粘貼的無腦工作吧，我們可以做得更好的。

11. 識別感染/入侵方法

分析的成果之一，就是找出當(dāng)前安全狀態(tài)中的漏洞并補之。然而即便發(fā)現(xiàn)了漏洞，我們?nèi)匀恍枰粋€系統(tǒng)一個系統(tǒng)地登錄進去再執(zhí)行漏洞修補動作。這么費事的過程，就不能統(tǒng)一執(zhí)行了嗎?

12. 轉(zhuǎn)向

隔離出行為異常的主機后，我們就會轉(zhuǎn)向研究這些主機最近都遭遇了什么。沒錯，這里面涉及一些剪切粘貼的工作，還有額外的查詢之類的。

13. 查找相關(guān)行為

深入了解了正在處理的事件后，我們就需要轉(zhuǎn)向可以使我們找出其他地方類似事件的工作了。于是，另一波剪切粘貼和更多查詢襲來。

14. 識別/填補警報中的漏洞

如果錯過了某些重要事件，我們就需要了解為什么警報機制中會出現(xiàn)漏洞，并將該漏洞堵上。該工作自然落在安全團隊身上。但如果將來有工具可以更積極主動地指引我們識別出漏掉的事件，不是更好嗎?

15. 識別根源

弄清事件產(chǎn)生根源非常重要，但這基本是個人工過程。如果能有些輔助措施，想必是很好的。

16. 改善安全態(tài)勢

發(fā)現(xiàn)了新的惡意域名，自然就會想要封鎖它或者導(dǎo)引到無害的地方掛起。當(dāng)然，這些操作都是人工的。

17. 事故單里記下一切

沒記錄就沒發(fā)生過。但事故單詳錄過程真的有必要做那么多剪切粘貼嗎?

18. 報告

嚴重事件通常需要做事后報告。如果事故單里已經(jīng)記錄下了一切重要信息，為什么還要重復(fù)一遍這個過程來提交一份可以讓人驕傲地上呈管理層、高管和其他利益相關(guān)者的報告呢?

19. 溝通

簡明及時的溝通在事件處理過程中起著非常重要的作用。于是，如果能從事件處理系統(tǒng)自動生成要匯報的各種郵件，不是很美好的事嗎?

20. 抽取經(jīng)驗教訓(xùn)

世上沒有完美的安全項目。處理過的任何事件都可作為經(jīng)驗教訓(xùn)以供將來參考。但這種經(jīng)驗教訓(xùn)的抽取過程如果能有工具幫忙就更好了。

江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)、動漫設(shè)計、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型，從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案，業(yè)務(wù)涵蓋咨詢、評估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。

江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。