安全团队需要保持良好“体态”,以便能以最佳的状态运转,并能有效应对今天这复杂又持续的攻击。
秋风送爽,新的赛季拉开序幕。随着人们涌向体育场,或是打开电视欣赏最喜欢的选手和球队,我们都能感受到空气中的那种兴奋。赛季开幕战背后其实隐藏着很多的准备工作。运动员们很早就开始健身调整,向私人体能训练师、营养师和教练寻求帮助,确保自己在竞争加剧时还能保持巅峰竞技状态。事实上,那些一直保持最佳状态的运动员,整年都在接受场外专家团队的精心训练。
安全团队也应采取类似的方式以“保持体态”,缓解日益强大的对手的风险。
由于网络安全人才持续紧缺,CIO、CSO和Computerworld网站联合进行了一次调查,发现56%的受访者称自家公司招募外部顾问辅助信息安全策略确立,40%称公司转向托管安全服务提供商(MSSP)。Computer Economics 网站的《2017年IT开支及人员配置展望》发现,在安全/隐私上的开支位列IT优先级列表首位,证实了外包趋势——为了更好的服务质量和成本节约。
MSSP可以缓和维护并管理安全产品及终端解决方案增殖的复杂度,让其充分发挥价值。然而,现今的安全团队需要的不止这些。
大家都知道,公司遭到攻击已经不再是“会不会”,而是“什么时候”的问题了。安全人员必须准备好应对这不可避免的状况,而这意味着需要一支能够帮你解答以下3个问题的专家团队:
- 数据泄露发生时,我的计划是什么?
- 如何知道自身网络中有什么?
- 如何确保有一支清楚本公司情况,且能在攻击发生时快速采取行动的团队?
为解决这些威胁检测和事件响应上的新要求,托管检测和响应(MDR)服务携其额外的板凳实力(人员和先进技术)应运而生,提供如下功能:
1. 桌面推演(TTX)
采用专为客户公司量身定制的场景,以及客户最为关心的威胁类型,桌面推演(TTX)是制定计划处理数据泄露的极佳起始点。参与者应涵盖公司多个部门的主要利益相关者,而不仅仅是IT部门。测试当天,场景讨论过程中会不断引入新的信息。这些侧面信息会改变场景,模拟攻击和调查的动态本质。推演结束,你便可以获得对团队表现的客观评价,包括强项、弱点、经验教训,还有待改善领域的建议。
2. 威胁追捕
主动找寻网络中的坏人,尽快阻止他们以减轻伤害,是安全团队新的必做功课。威胁狩猎行动,就是要找出潜在数据泄露的证据,调查该系统以确定发生了什么、怎么发生的,并确定可能受影响的其他系统以控制并修复攻击。使用一系列工具,比如高级安全分析技术、大数据平台和威胁情报,事件响应专家可以在更好信息支持下更快采取行动。他们可以将自己的狩猎专注在更易被入侵的资产上,并根据最新的威胁情报重新评估以往事件。
3. 聘用事件响应服务
正如运动员需要持续接受教练团队的指导,才能在面对最强大对手时也表现良好,当攻击确实发生时,你也需要一支完整的团队随时待命。鉴于市场上资深专家供不应求的现状,发现并留住菁英人才便成为了一项巨大的挑战。这就是聘用事件响应服务发挥作用的时候了。他们可以在攻击中切入行动,补充你的团队。即便在没有积极参与事件响应的时候,他们也能帮助专注和发展主动防护工作。在过程中,他们将更加了解你的公司,提升他们在响应中的效率和有效性,而你的内部团队则将能更好地处理需要注意的其他任务。
每一支安全团队都需要保持良好体型,以便能保持最佳状态运转,并能有效应对今天这复杂又持续的攻击。托管检测和响应专家能提升你的表现——帮助你制定出有效计划,弄清网络中有什么,准备好在攻击发生时快速全面地缓解伤害。
本文作者:nana
来源:51CTO
