企業(yè)網(wǎng)絡“搶險”，不止“時刻待命”

在許多人的印象中，事件響應團隊就像一支時刻待命的企業(yè)網(wǎng)絡“救援隊”。但他們的工作不止如此，事件響應也并非只是“亡羊補牢”。NIST將事件響應生命周期分為準備、檢測和分析、遏制與消除及恢復、事件后活動四個階段，而由下一代AI驅(qū)動的Commvault Cloud以其前沿的功能和能力，以及與SIEM、XSOAR等生態(tài)系統(tǒng)上的戰(zhàn)略集成，幫助事件響應團隊做好準備，應對每一次網(wǎng)絡“險情”。

準備階段

為了高效響應事件，企業(yè)應早做準備、主動準備。這包括制定響應策略、準備早期檢測工具，并開展網(wǎng)絡威脅相關的用戶培訓等等。事件響應團隊和IT團隊應該在此過程中通力合作，打造彈性架構，做好應對最壞情況的準備。Commvault Cloud提供統(tǒng)一管理體驗，采用零信任架構、數(shù)據(jù)加密密鑰隔離和其他先進的安全措施。該平臺的網(wǎng)絡彈性功能、AI驅(qū)動的檢測能力，以及與SIEM、XSOAR等生態(tài)系統(tǒng)上的集成將有助于團隊間合作和團隊共同目標的達成。

檢測和分析階段

網(wǎng)絡威脅形形色色，安全事件也五花八門。不同事件需要不同的應對策略。一方面，企業(yè)應當做好處理各種事件的準備，另一方面，企業(yè)也應該做好檢測和分析。Commvault Cloud提供AI驅(qū)動的檢測和Threat Scan功能，在識別備份中的可疑文件方面表現(xiàn)出色，有助于企業(yè)準確定位潛在威脅。

遏制、消除和恢復階段

遏制是事件早期的一項重要考慮因素，企業(yè)希望事件在自身環(huán)境難以承受或損失擴大之前得到控制。NIST指出，遏制為制定具有針對性的補救策略爭取了時間。在檢測到可疑文件時，Commvault Cloud會自動隔離備份工作負載中受感染的文件。該平臺的潔凈室恢復選項還可以幫助事件響應團隊在受控環(huán)境中監(jiān)控異常，并進行進一步的網(wǎng)絡取證。此外，Commvault Cloud與SIEM和XSOAR的集成可提供實時洞見和行動，進一步簡化遏制工作，例如在檢測到異常文件活動時禁止數(shù)據(jù)衰減或屏蔽風險用戶。

在消除和恢復階段，Commvault全面的備份和恢復功能以及驗證能力可以為企業(yè)提供有效助力。企業(yè)可以利用Commvault Cloud的潔凈室恢復選項進行事件后取證，對環(huán)境進行徹底的檢查。

事件后的行動

復盤是企業(yè)持續(xù)提升必不可少的環(huán)節(jié)。事件響應團隊在不斷學習新興的威脅和技術的同時，也應不斷吸取經(jīng)驗教訓。企業(yè)可以對事件特征以及處理事件花費的各種成本進行數(shù)據(jù)分析，為風險評估提供相應信息。企業(yè)應該能在需要時與執(zhí)法部門等外界機構有效協(xié)調(diào)。Commvault Cloud提供了豐富的工具，助力企業(yè)實現(xiàn)全面的事件響應，并以IT洞見和恢復措施幫助企業(yè)強化防御。

在動態(tài)的網(wǎng)絡威脅環(huán)境中，僅是“時刻待命”已經(jīng)不足以支持事件響應團隊實現(xiàn)高效響應。早做準備、采用先進策略和技術、構建生態(tài)上的戰(zhàn)略集成、不斷學習和提升，才能最大限度減少事件影響，確保企業(yè)數(shù)據(jù)系統(tǒng)在面對挑戰(zhàn)時能夠保持彈性。