网络安全事件响应计划（CSIRP）：最大程度地减少业务影响并做好准备

安全从业人员生活在黑客的复杂世界中，包括自动侦察和有效负载工作。这些专业人员通常负责使用与过去几年相同或类似的资源来捍卫网络。 安全主管和信息系统安全协会（ISSA）成员Candy Alexander在评估空间时说：“对事件的响应已变得司空见惯。 IT和安全团队曾经不得不行使IRP，但是今天，他们却是真正行使IRP。” 安全从业人员，前Synchrony Financial信息安全副总裁Keith Hollender对此表示赞同，他说：“事件响应已成为该行业的焦点。观念已经从“不是，如果是，而是何时”转变为重大事件。” 这位安全专家表示，事件响应平台和网络融合中心现在专注于最大程度地减少影响并做好准备。他说，相对而言，仅在几年前，只有部分大型公司才拥有IR小组，而且能力有限。 Hollender说：“如今，越来越多的公司投资于事件响应，并在事件发生后立即予以遏制。”在企业级别，持续的网络支出意味着人们对网络威胁的意识增强，但这并不总是等同于数据中心中聚集了数十名安全人员，他们在寻找危害指标（IoC）。 取而代之的是，通常只有相同数量的分析人员才能识别，验证和遏制威胁。本报告将涉及此结构背后的挑战，但是在记录CSIRP背景的部分中当然值得一提。对于根深蒂固的SOC人士而言，适当的安全信息和事件管理（SIEM）软件和策略是抵御威胁参与者的最佳武器。 请参阅相关内容：市场报告-集中的观点：SIEM可以提高效率和法规遵从性请参阅相关内容：市场报告-集中性的观点：SIEM可以提高效率和法规遵从性 值得重复的是，成功的CSIRP（既涉及威胁情报，法医分析，破坏后的遏制控制等）也已建立并且可以重复。但是，成功的事件管理还涉及一些技术组件。 一方面，分析人员一直在寻找IoC，最终需要分类和个人关注。尽管在忙碌的分析人员的队列中可能会迷失方向，但某些方法可以简化关注和维护。 如今，许多企业使用威胁情报平台（其中许多是覆盖“必需”安全功能的复杂工具），这些工具为安全团队提供了数十条通知。 请参阅相关内容：网络安全中心数字峰会为InfoSec领导者做好准备以恢复弹性请参阅相关内容：网络安全中心数字峰会为InfoSec领导者做好准备以提高弹性 当然，在自动化时代，早期的机器学习可能会提供大量的误报（使安全团队远离其他地方可能造成破坏性的事件）。但是他们可能还会深入研究数字细节，以提供CISO和类似的可行情报。其中一些可能是主动威胁，其他可能是漏洞，也称为“打开的窗口”。 在其他地方，有用的情报可能来自第三方或内部审计。尽管如此，IoC可能会吸引分析家一路走来，从检测到基于数据的验证再到遏制。 无论安全团队的技术敏锐度如何，有时适当的事件响应都取决于整个企业的可持续性和执行决策。阅读完整的市场报告“诊断灾难：如何从攻击中恢复”，以了解显着的IR挑战，最佳实践以及CSIRP自动化的前景。 请参阅相关：网络安全中心市场报告存档请参阅相关：网络安全中心市场报告存档