安全事件應變 (IR) 代表快速識別攻擊、盡可能減輕其所帶來的影響、隔離傷害，以及修復原因，從而降低後續安全事件風險的相關心力。

讓我們來定義安全事件應變

在某些程度上，幾乎每家公司都設有安全事件應變流程。不過，公司若有意建立更正式的流程，就需詢問自己以下問題：

1. 如果發生事件，需採取哪些步驟，好讓負責回應事件的各方能展開行動？
2. 應變計畫應具備何種完善度和具體性？
3. 是否有足夠的人力 (以及適當的人力) 可採取合適的應變措施？
4. 在事件應變和回歸正常作業等方面，可接受的服務層級協定為何？

上述問題的答案可能不盡理想，畢竟，多數公司往往未能達到當中的一項或多項要求，Ponemon Institute 的研究結果顯示：

77% 的公司沒有採用正式且一致的計畫

57% 的受訪者指出，回應時間變得更長

77% 的受訪者表示，難以雇用或留住安全性人員*

平均而言，公司需要花費 214 天來識別一項惡意或犯罪攻擊，並花費 77 天來進行隔離和復原。顯而易見的是，業界需要更出色的安全事件應變管理，以協助企業全面抵禦數量與日俱增的日常威脅。

*IBM 研究：《網路安全事件應變仍為一大企業挑戰》(Responding to Cybersecurity Incidents Still a Major Challenge for Businesses)

1. 適當的團隊：為了提供最有效的安全事件應變，業界專家建議，無論公司規模為何，團隊中都應安插下列角色。第一個角色顯然非技術團隊莫屬，不過，如果發生嚴重的攻擊事件，公司內部的其他幾個職能領域也應參與其中。安排好負責下列角色的人員後，請透過教育訓練，協助對方瞭解在發生嚴重、廣泛，且涉及層面極廣的攻擊事件時，他們應肩負哪些責任：安全事件應變、安全性分析、IT、威脅研究、法律、人力資源、企業通訊、風險管理、管理團隊，以及外部安全性鑑識專家。

2. 適當的計畫：完善的安全事件應變計畫，至少應包含下列策略和流程：

• 讓團隊做好準備，以處理任何類型的威脅
• 在事件發生後，立即偵測和識別事件類型與嚴重性
• 隔離和限縮破壞範圍
• 判斷影響層面和相關風險
• 尋找並消除根本原因
• 降低攻擊風險並加以解決
• 在攻擊發生後，著手分析和修改計畫，以防再度發生攻擊

在攻擊肆虐期間，溝通將扮演關鍵角色，因此，請確認您的應變計畫中已建立良好的溝通流程。

3. 適當的工具：隨著未知攻擊的數量不斷增加，適當的工具可協助公司省下許多時間和成本，並保護旗下客戶和品牌忠誠度。

任何安全事件應變計畫，都會將資訊視為重要資產。正因如此，雲端式端點安全性解決方案往往可提供最全面的工具，以協助您快速減輕攻擊風險，包括透過下列方式存取關鍵資料：

• 擷取未篩選資料，藉此為應變團隊提供端點行為洞悉，而非單純提供先前探索到的攻擊模式和行為。這將成為縮短攻擊調查時間 (從數天縮短至數分鐘) 的一大關鍵，尤其在未知攻擊方法與日俱增的現況下，更是顯得重要萬分。
• 使用資料分析提供所有端點活動的能見度，包括現行和歷史活動。只要握有適當的資料，您就能掌握攻擊始於何處，並識別其所採用的路徑，而這些資訊都有助於加速修復。
• 透過外部威脅情報，迅速識別您未曾看過，卻發生在其他公司中的威脅。如果能瞭解您所面臨的威脅，勢必可加速做出回應。
• 運用即時回應功能來修復遠端端點，並免除不必要的重新映像。

第三屆年度網路彈性企業調查

調查公司所面臨之安全性挑戰的多數研究中，都可看到雇用和留住技術人才的困難度統計資料；舉例來說，在先前的 Ponemon 研究中，77% 的受訪者都遇到這項難題。不僅世界各地皆面臨關鍵安全性職務的人才短缺，相關缺額更高達近 200 萬人。

缺乏適當的安全性人員，將對所有安全事件應變帶來嚴重的影響；正因如此，許多公司正尋求將安全性職能外包。事實上，Gartner 公司深信，在 2018 年，安全性外包服務的支出已突破 $180 億美元大關，在安全性領域支出的排名僅次於諮詢服務。

在難以雇用適當的人員之下，這項數據顯得相當合理；畢竟，代管服務可快速填補資安團隊中的任何落差。外包不僅有助於排定警示的優先順序、找出新的威脅，還可加速進行調查。通常，這些服務會由技術純熟的威脅專家經手，他們會持續監控貴公司的環境，藉此識別新興威脅，並在您的團隊最需協助時伸出援手，以協助存取至關重要的安全服務。

*Gartner 公司預測，2018 年的全球安全性支出會突破 $960 億美元大關，較 2017 年多出 8%