什麼是安全事件應變?
安全事件應變 (IR) 代表快速識別攻擊、盡可能減輕其所帶來的影響、隔離傷害,以及修復原因,從而降低後續安全事件風險的相關心力。
讓我們來定義安全事件應變
在某些程度上,幾乎每家公司都設有安全事件應變流程。不過,公司若有意建立更正式的流程,就需詢問自己以下問題:
- 如果發生事件,需採取哪些步驟,好讓負責回應事件的各方能展開行動?
- 應變計畫應具備何種完善度和具體性?
- 是否有足夠的人力 (以及適當的人力) 可採取合適的應變措施?
- 在事件應變和回歸正常作業等方面,可接受的服務層級協定為何?
上述問題的答案可能不盡理想,畢竟,多數公司往往未能達到當中的一項或多項要求,Ponemon Institute 的研究結果顯示:
77% 的公司沒有採用正式且一致的計畫
57% 的受訪者指出,回應時間變得更長
77% 的受訪者表示,難以雇用或留住安全性人員*
平均而言,公司需要花費 214 天來識別一項惡意或犯罪攻擊,並花費 77 天來進行隔離和復原。顯而易見的是,業界需要更出色的安全事件應變管理,以協助企業全面抵禦數量與日俱增的日常威脅。

VMware 安全性概觀

美國總統 Biden 要求美國聯邦政府機關修補已知弱點
安全事件應變的三大要素
1. 適當的團隊:為了提供最有效的安全事件應變,業界專家建議,無論公司規模為何,團隊中都應安插下列角色。第一個角色顯然非技術團隊莫屬,不過,如果發生嚴重的攻擊事件,公司內部的其他幾個職能領域也應參與其中。安排好負責下列角色的人員後,請透過教育訓練,協助對方瞭解在發生嚴重、廣泛,且涉及層面極廣的攻擊事件時,他們應肩負哪些責任:安全事件應變、安全性分析、IT、威脅研究、法律、人力資源、企業通訊、風險管理、管理團隊,以及外部安全性鑑識專家。
2. 適當的計畫:完善的安全事件應變計畫,至少應包含下列策略和流程:
- 讓團隊做好準備,以處理任何類型的威脅
- 在事件發生後,立即偵測和識別事件類型與嚴重性
- 隔離和限縮破壞範圍
- 判斷影響層面和相關風險
- 尋找並消除根本原因
- 降低攻擊風險並加以解決
- 在攻擊發生後,著手分析和修改計畫,以防再度發生攻擊
在攻擊肆虐期間,溝通將扮演關鍵角色,因此,請確認您的應變計畫中已建立良好的溝通流程。
3. 適當的工具:隨著未知攻擊的數量不斷增加,適當的工具可協助公司省下許多時間和成本,並保護旗下客戶和品牌忠誠度。
任何安全事件應變計畫,都會將資訊視為重要資產。正因如此,雲端式端點安全性解決方案往往可提供最全面的工具,以協助您快速減輕攻擊風險,包括透過下列方式存取關鍵資料:
- 擷取未篩選資料,藉此為應變團隊提供端點行為洞悉,而非單純提供先前探索到的攻擊模式和行為。這將成為縮短攻擊調查時間 (從數天縮短至數分鐘) 的一大關鍵,尤其在未知攻擊方法與日俱增的現況下,更是顯得重要萬分。
- 使用資料分析提供所有端點活動的能見度,包括現行和歷史活動。只要握有適當的資料,您就能掌握攻擊始於何處,並識別其所採用的路徑,而這些資訊都有助於加速修復。
- 透過外部威脅情報,迅速識別您未曾看過,卻發生在其他公司中的威脅。如果能瞭解您所面臨的威脅,勢必可加速做出回應。
- 運用即時回應功能來修復遠端端點,並免除不必要的重新映像。
產業脈動:外包能否解決成效不彰的安全事件應變?
調查公司所面臨之安全性挑戰的多數研究中,都可看到雇用和留住技術人才的困難度統計資料;舉例來說,在先前的 Ponemon 研究中,77% 的受訪者都遇到這項難題。不僅世界各地皆面臨關鍵安全性職務的人才短缺,相關缺額更高達近 200 萬人。
缺乏適當的安全性人員,將對所有安全事件應變帶來嚴重的影響;正因如此,許多公司正尋求將安全性職能外包。事實上,Gartner 公司深信,在 2018 年,安全性外包服務的支出已突破 $180 億美元大關,在安全性領域支出的排名僅次於諮詢服務。
在難以雇用適當的人員之下,這項數據顯得相當合理;畢竟,代管服務可快速填補資安團隊中的任何落差。外包不僅有助於排定警示的優先順序、找出新的威脅,還可加速進行調查。通常,這些服務會由技術純熟的威脅專家經手,他們會持續監控貴公司的環境,藉此識別新興威脅,並在您的團隊最需協助時伸出援手,以協助存取至關重要的安全服務。
解決之道:適當的人員、計畫和工具,以及適當的廠商
即便貴公司已備妥適當的人員、計畫和工具,威脅仍有可能趁隙而入;因此,您不應單獨承受這類風險。只要與適當的廠商合作,即可運用其所提供的雲端式端點安全性平台,以及進階搜尋威脅功能。
如同先前所提到,代管搜尋威脅專家可持續監控您的環境,並在找到新興威脅時通知您的團隊。這些專家可以:
- 分析、驗證警示,並排定其優先順序,以協助推展適當的行動。
- 識別早期預警跡象和趨勢,並主動傳送諮詢內容,以確保您安心做出應變。
- 搭配可提供額外情境的藍圖來探索根本原因,以簡化調查和根本原因分析。
搜尋威脅團隊也能跨越整體端點部署,為您提供防護機制和威脅分類,讓您的團隊能專心處理最重要的警示。此外,您還能存取全球威脅情報,以搶先防堵日後的攻擊。
相關解決方案與產品
VMware Carbon Black EDR
地端端點偵測與回應 (EDR)。
VMware Carbon Black Endpoint
雲原生端點保護。
VMware Workspace ONE
可實現零信任的數位工作區平台。