在許多人的印象中,事件響應(yīng)團(tuán)隊(duì)就像一支時(shí)刻待命的企業(yè)網(wǎng)絡(luò)“救援隊(duì)”。但他們的工作不止如此,事件響應(yīng)也并非只是“亡羊補(bǔ)牢”。NIST將事件響應(yīng)生命周期分為準(zhǔn)備、檢測(cè)和分析、遏制與消除及恢復(fù)、事件后活動(dòng)四個(gè)階段,而由下一代AI驅(qū)動(dòng)的Commvault Cloud以其前沿的功能和能力,以及與SIEM、XSOAR等生態(tài)系統(tǒng)上的戰(zhàn)略集成,幫助事件響應(yīng)團(tuán)隊(duì)做好準(zhǔn)備,應(yīng)對(duì)每一次網(wǎng)絡(luò)“險(xiǎn)情”。
準(zhǔn)備階段
為了高效響應(yīng)事件,企業(yè)應(yīng)早做準(zhǔn)備、主動(dòng)準(zhǔn)備。這包括制定響應(yīng)策略、準(zhǔn)備早期檢測(cè)工具,并開(kāi)展網(wǎng)絡(luò)威脅相關(guān)的用戶培訓(xùn)等等。事件響應(yīng)團(tuán)隊(duì)和IT團(tuán)隊(duì)?wèi)?yīng)該在此過(guò)程中通力合作,打造彈性架構(gòu),做好應(yīng)對(duì)最壞情況的準(zhǔn)備。Commvault Cloud提供統(tǒng)一管理體驗(yàn),采用零信任架構(gòu)、數(shù)據(jù)加密密鑰隔離和其他先進(jìn)的安全措施。該平臺(tái)的網(wǎng)絡(luò)彈性功能、AI驅(qū)動(dòng)的檢測(cè)能力,以及與SIEM、XSOAR等生態(tài)系統(tǒng)上的集成將有助于團(tuán)隊(duì)間合作和團(tuán)隊(duì)共同目標(biāo)的達(dá)成。
檢測(cè)和分析階段
網(wǎng)絡(luò)威脅形形色色,安全事件也五花八門(mén)。不同事件需要不同的應(yīng)對(duì)策略。一方面,企業(yè)應(yīng)當(dāng)做好處理各種事件的準(zhǔn)備,另一方面,企業(yè)也應(yīng)該做好檢測(cè)和分析。Commvault Cloud提供AI驅(qū)動(dòng)的檢測(cè)和Threat Scan功能,在識(shí)別備份中的可疑文件方面表現(xiàn)出色,有助于企業(yè)準(zhǔn)確定位潛在威脅。
遏制、消除和恢復(fù)階段
遏制是事件早期的一項(xiàng)重要考慮因素,企業(yè)希望事件在自身環(huán)境難以承受或損失擴(kuò)大之前得到控制。NIST指出,遏制為制定具有針對(duì)性的補(bǔ)救策略爭(zhēng)取了時(shí)間。在檢測(cè)到可疑文件時(shí),Commvault Cloud會(huì)自動(dòng)隔離備份工作負(fù)載中受感染的文件。該平臺(tái)的潔凈室恢復(fù)選項(xiàng)還可以幫助事件響應(yīng)團(tuán)隊(duì)在受控環(huán)境中監(jiān)控異常,并進(jìn)行進(jìn)一步的網(wǎng)絡(luò)取證。此外,Commvault Cloud與SIEM和XSOAR的集成可提供實(shí)時(shí)洞見(jiàn)和行動(dòng),進(jìn)一步簡(jiǎn)化遏制工作,例如在檢測(cè)到異常文件活動(dòng)時(shí)禁止數(shù)據(jù)衰減或屏蔽風(fēng)險(xiǎn)用戶。
在消除和恢復(fù)階段,Commvault全面的備份和恢復(fù)功能以及驗(yàn)證能力可以為企業(yè)提供有效助力。企業(yè)可以利用Commvault Cloud的潔凈室恢復(fù)選項(xiàng)進(jìn)行事件后取證,對(duì)環(huán)境進(jìn)行徹底的檢查。
事件后的行動(dòng)
復(fù)盤(pán)是企業(yè)持續(xù)提升必不可少的環(huán)節(jié)。事件響應(yīng)團(tuán)隊(duì)在不斷學(xué)習(xí)新興的威脅和技術(shù)的同時(shí),也應(yīng)不斷吸取經(jīng)驗(yàn)教訓(xùn)。企業(yè)可以對(duì)事件特征以及處理事件花費(fèi)的各種成本進(jìn)行數(shù)據(jù)分析,為風(fēng)險(xiǎn)評(píng)估提供相應(yīng)信息。企業(yè)應(yīng)該能在需要時(shí)與執(zhí)法部門(mén)等外界機(jī)構(gòu)有效協(xié)調(diào)。Commvault Cloud提供了豐富的工具,助力企業(yè)實(shí)現(xiàn)全面的事件響應(yīng),并以IT洞見(jiàn)和恢復(fù)措施幫助企業(yè)強(qiáng)化防御。
在動(dòng)態(tài)的網(wǎng)絡(luò)威脅環(huán)境中,僅是“時(shí)刻待命”已經(jīng)不足以支持事件響應(yīng)團(tuán)隊(duì)實(shí)現(xiàn)高效響應(yīng)。早做準(zhǔn)備、采用先進(jìn)策略和技術(shù)、構(gòu)建生態(tài)上的戰(zhàn)略集成、不斷學(xué)習(xí)和提升,才能最大限度減少事件影響,確保企業(yè)數(shù)據(jù)系統(tǒng)在面對(duì)挑戰(zhàn)時(shí)能夠保持彈性。