Incident Response IBM Resilient Playbook 資安事件回應 SOAR

事件應變自動化 資安長神指揮

2018-08-28
現代企業遭遇資安事件層出不窮,卻普遍面臨資安人員短缺、全球性隱私權相關法規更趨嚴謹、資安技術工具過多控管不易等複雜狀況,IBM Resilient總經理Gene Fay建議,較易成為攻擊標的的大型企業或組織應盡快制定緊急事件應變策略,包含對外溝通的公關部門,以及內部法務、IT等相關人員的處理程序,皆應基於標準工作流程來執行,以確保符合法規規範與降低資安事件對業務、品牌形象損害程度。
「IBM Resilient平台的性質屬於Gartner於2017年定義的資安協調、自動化與回應(Security Orchestration, Automation and Response,SOAR)解決方案,即可協助落實應變策略,在最短時間內回應與處理重大資安事故。」Gene Fay說。經常會有企業或組織把自動化與協調(Orchestration)視為同義詞,Gene Fay認為,自動化應屬於協調當中的子集,基於專業人員、標準流程、資安相關技術工具之間的協調,在回應過程中的關鍵步驟加入專業人員的決策判斷,才得以提升整體回應速度。

▲IBM Resilient總經理Gene Fay強調,現階段CISO普遍欠缺回應資安事件的相關經驗,Resilient這類的解決方案即可提供協助,以內建的Playbook為基礎設計工作流程,達到緊急事件應變策略目標。
Resilient平台中已內建19種的劇本(Playbook),可輔助配置不同角色所需執行的工作與流程,同時亦具備模擬功能,類似於沙箱技術模擬運行,讓高層管理者得以確認是否達到預期的目標。此外,亦整合來自X-Force Exchange等即時威脅情資,可進一步分析事件風險等級,讓管理層得以藉由儀表板呈現的數據,快速地理解與掌握事件嚴重程度、受影響的部門等資訊。

實際執行自動化事件回應計畫時,則可運用Resilient平台上的App Exchange整合SIEM、端點、郵件、網頁等資安建置來執行。較特別的是回應工作流程中已納入全球隱私外洩法規例如GDPR的Playbook。Gene Fay指出,資安事件回應管理欲因應法規遵循相關議題並不容易實施,Resilient大約花費三年時間才建置完成,主要是因為不同產業須遵循相異法源。

面對已爆發的資安事故,以往須仰賴資安專業人員介入調查與解析,至少也需10到20分鐘分析歷史資料。採用Resilient資安事件回應平台後則可達到接近即時,仰賴的即是平台本身的資料技術能力,提高判斷力。

IBM資訊安全事業部協理金天威補充,日前立院三讀通過資安法,針對政府轄下關鍵基礎設施進行更嚴謹的控管。由此不難發現,資安的重要性較以往已有顯著不同,問題是多數的企業或組織面臨資安事件時,回應流程的思維仍停留在傳統派工模式,也就是侷限於IT部門內部運作流程。

事實上,現代資安事件通報,通常必須上達到管理階層,例如一般員工與高階主管遭受加密勒索軟體感染,處理程序必定不同,需要協同作業執行處置。基於Resilient平台建立標準作業程序,可清楚指示IT、業務、公關、法務等相關部門應採取的行動。就技術面來看,Resilient平台具開放的特性,可介接異質技術,例如SIEM並不限定為IBM自家產品,也支援Splunk、ArcSight等平台,共同建立自動化防護。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!