在許多人的印象中,事件響應(yīng)團隊就像一支時刻待命的企業(yè)網(wǎng)絡(luò)“救援隊”。但他們的工作不止如此,事件響應(yīng)也并非只是“亡羊補牢”。NIST將事件響應(yīng)生命周期分為準(zhǔn)備、檢測和分析、遏制與消除及恢復(fù)、事件后活動四個階段,而由下一代AI驅(qū)動的Commvault Cloud以其前沿的功能和能力,以及與SIEM、XSOAR等生態(tài)系統(tǒng)上的戰(zhàn)略集成,幫助事件響應(yīng)團隊做好準(zhǔn)備,應(yīng)對每一次網(wǎng)絡(luò)“險情”。
準(zhǔn)備階段
為了高效響應(yīng)事件,企業(yè)應(yīng)早做準(zhǔn)備、主動準(zhǔn)備。這包括制定響應(yīng)策略、準(zhǔn)備早期檢測工具,并開展網(wǎng)絡(luò)威脅相關(guān)的用戶培訓(xùn)等等。事件響應(yīng)團隊和IT團隊?wèi)?yīng)該在此過程中通力合作,打造彈性架構(gòu),做好應(yīng)對最壞情況的準(zhǔn)備。Commvault Cloud提供統(tǒng)一管理體驗,采用零信任架構(gòu)、數(shù)據(jù)加密密鑰隔離和其他先進的安全措施。該平臺的網(wǎng)絡(luò)彈性功能、AI驅(qū)動的檢測能力,以及與SIEM、XSOAR等生態(tài)系統(tǒng)上的集成將有助于團隊間合作和團隊共同目標(biāo)的達成。
檢測和分析階段
網(wǎng)絡(luò)威脅形形色色,安全事件也五花八門。不同事件需要不同的應(yīng)對策略。一方面,企業(yè)應(yīng)當(dāng)做好處理各種事件的準(zhǔn)備,另一方面,企業(yè)也應(yīng)該做好檢測和分析。Commvault Cloud提供AI驅(qū)動的檢測和Threat Scan功能,在識別備份中的可疑文件方面表現(xiàn)出色,有助于企業(yè)準(zhǔn)確定位潛在威脅。
遏制、消除和恢復(fù)階段
遏制是事件早期的一項重要考慮因素,企業(yè)希望事件在自身環(huán)境難以承受或損失擴大之前得到控制。NIST指出,遏制為制定具有針對性的補救策略爭取了時間。在檢測到可疑文件時,Commvault Cloud會自動隔離備份工作負載中受感染的文件。該平臺的潔凈室恢復(fù)選項還可以幫助事件響應(yīng)團隊在受控環(huán)境中監(jiān)控異常,并進行進一步的網(wǎng)絡(luò)取證。此外,Commvault Cloud與SIEM和XSOAR的集成可提供實時洞見和行動,進一步簡化遏制工作,例如在檢測到異常文件活動時禁止數(shù)據(jù)衰減或屏蔽風(fēng)險用戶。
在消除和恢復(fù)階段,Commvault全面的備份和恢復(fù)功能以及驗證能力可以為企業(yè)提供有效助力。企業(yè)可以利用Commvault Cloud的潔凈室恢復(fù)選項進行事件后取證,對環(huán)境進行徹底的檢查。
事件后的行動
復(fù)盤是企業(yè)持續(xù)提升必不可少的環(huán)節(jié)。事件響應(yīng)團隊在不斷學(xué)習(xí)新興的威脅和技術(shù)的同時,也應(yīng)不斷吸取經(jīng)驗教訓(xùn)。企業(yè)可以對事件特征以及處理事件花費的各種成本進行數(shù)據(jù)分析,為風(fēng)險評估提供相應(yīng)信息。企業(yè)應(yīng)該能在需要時與執(zhí)法部門等外界機構(gòu)有效協(xié)調(diào)。Commvault Cloud提供了豐富的工具,助力企業(yè)實現(xiàn)全面的事件響應(yīng),并以IT洞見和恢復(fù)措施幫助企業(yè)強化防御。
在動態(tài)的網(wǎng)絡(luò)威脅環(huán)境中,僅是“時刻待命”已經(jīng)不足以支持事件響應(yīng)團隊實現(xiàn)高效響應(yīng)。早做準(zhǔn)備、采用先進策略和技術(shù)、構(gòu)建生態(tài)上的戰(zhàn)略集成、不斷學(xué)習(xí)和提升,才能最大限度減少事件影響,確保企業(yè)數(shù)據(jù)系統(tǒng)在面對挑戰(zhàn)時能夠保持彈性。