近些年，企业安全工作的关注点，一直聚焦在如何预防黑客攻击。但是，频发的大型跨国企业的数据泄露事件表明，即使是对网络安全更为重视，同时也投入了更多成本的金融业，也明白了“无论做了怎样的安全防护，迟早会被黑客成功入侵”的道理。这已经成为了所有企业必须认清的事实。

因此，企业安全防护的重点，也随之转移到如何更快地发现安全问题，并及时针对这些安全事件，做出合理且有效的响应上。

事件响应的发展现状

很长时间以来，事件响应并不受安全厂商重视，而是作为产品的附加服务，通过少数售后工程师驻场的方式，与甲方的IT（安全）运维部门合作，解决在安全事件发生后相关产品的运维问题。

但是，事件响应流程本身的复杂性和多变形却被严重低估。事件响应流程本身因企业的IT资产和遭遇的网络攻击不同而多种多样，流程的各步骤相互牵制，且要遵守企业不同所属行业的数据安全标准和规范。这种相对低效且未经详细整体筹划的响应方式，在面对安全事件发生后，需要以秒为单位计算企业损失的情况下，不免有些过于无力。

为什么要重视事件响应？Co3 Systems（在2015年初正式更名为Resilient Systems）的首席技术官布鲁斯·施奈尔在2014年美国的黑帽大会的演讲中谈到，因为预防不可能做到完美，所以越来越多的企业如今正在加强事件响应能力。这其中的主要原因包括：已经失去了对计算环境的控制，很多防护机制无法实施；攻击行为变得更加复杂，需要更多的响应措施；身不由己地被卷入其他人的安全攻防战斗；企业对安全防护和检测措施从的投资往往不足。

事件响应目前所面临的主要问题有两点，一是我们仍无法实现完全的自动化，二是不能将人员从安全的循环中移除。我们应当采用工程化的手段，使得系统能够支持响应循环中的人员执行关键任务。是技术来辅助人员，而不是反过来。

今年4月，IBM完成对Resilient Systems的收购，并以插件的方式实现Resilient Systems的事件响应平台与IBM QRadar的无缝集成。

Resilient Systems如何做事件响应

Resilient Systems的事件响应平台(IRP)是一个将流程、人员和技术进行紧密集成的自动化平台。其最大的优势，在于以安全事件为导向，通过内置的行业标准和最佳实践，将响应流程整体细化、分解，并自动化的对流程进展状况进行监控，帮助企业快速进行安全事件的应急响应。

IRP的核心价值在于对企业核心IT资产的安全防护，所以IRP要与企业网络中现有可“掌控全局”的IBM QRadar等SIEM类平台产品进行对接，以获取关于攻击和资产状态的信息。

确认攻击类型后，IRP会以企业IT资产为单位，将响应流程进行细致的分解，并下发给IT运维部门，分解后的响应流程可以大致分为人工和自动两个大类。目前Resilient Systems的IRP平台仍是半人工半自动化的，但这两种方式的结合使得整个处理进度变得更加可控。同时，IRP平台对整个事件响应流程的定义是完全开放的，企业可以根据自身网络环境、特殊的业务需求和相关标准来添加自定义流程，将仅有纸质文档的标准自定义到Resilient Systems的IRP平台上，并作为可复用资产，在不同企业或子公司之间进行共享。

实现事件响应演练

军方需要常规性地军事演练，以保证在战时尽可能地最大程度发挥出部队应有的战斗能力。安全事件发现后的响应环节亦是争分夺秒的战场。

Resilient Systems和IBM QRadar可以通过搭建虚拟环境，和企业内部驱动的渗透/众测两种方式，进行事件响应的演练。虚拟环境本身可以由IBM QRadar自身通过对某些规则的演练或者测试网络环境的搭建来完成。渗透/众测情况下，企业可以通过外包的方式，邀请渗透测试团队驻场测试，或者是在协定测试基线的前提下（不触碰业务数据等）进行众测，对企业网络进行“攻击”。

经常性的进行响应演练，不仅可以定期量化地评估QRadar检测问题和IT运维部门事件响应的能力，这也有助于企业有针对性地进行安全防护和事件响应能力的提升。但演练的形式和频率，则由企业自行决定。

Resilient Systems和IBM QRadar

如果看过安全牛之前的文章，可以了解到IBM QRadar是IBM安全的大脑，也是终端、数据库、身份管理等对应安全设备间联动的核心。

与IRP不同，QRadar是以企业IT资产为导向的，在QRadar定位攻击及受影响资产及其状态等信息后，每个确认攻击的详细信息都可发送到IRP平台，自动生成并开始事件响应流程。在完成某个攻击引发的安全事件的应急响应后，整个处理过程的相关信息，包括对应攻击类型、响应流程细节、下发和完成时间等信息，都会被IRP平台记录。Resilient Systems可以自动将整个响应过程评价量化，并提供相应报表的生成。除了对安全部门的监督外，它也是IT运维团队的事件响应能力的一个具体表现。

从CISO、CEO等高管角度考虑，当管理层不再只是关心由安全部门还是IT部门承担事故责任，而更多的是关注如何提高企业整体的事件响应能力时，Resilient Systems能一份客观详尽地评估和答卷。

事件响应的发展趋势

目前事件响应最大的挑战，是从误报中甄别哪些是真正严重的攻击，哪些只是脚本小子所为，以及攻击行为是如何影响企业自身的网络环境。QRadar自身通过黑客对不同资产发动的不同攻击，将黑客的危险层级进行区分。一些相对低端的行为，如通过某些成熟的自动化工具对外围安全和网络设备进行的攻击，在QRadar确认后则会联动相应设备自动化的进行拦截处理。而在问题变得相对复杂时，才会告警并提醒安全人员将攻击信息提交到Resilient Systems，开启事件响应流程。但是，目前每天过多的攻击告警，使得安全人员应接不暇，疲于奔命。不光是真正的安全威胁会湮没在其中，即使将攻击细节提交给Resilient Systems，也已经耗费了过多的人力。

可以说，自动化将会是目前事件响应最大的进化。

对威胁的预防、检测、遏制、进化以及学习能力，都会在对安全攻击进行响应的时刻集中体现。安全响应过程也必然会变得更具协调性。如果不能把预防、检测和响应这三者间的关系协调好，实现步调一致，那么安全性也就无从谈起。

最后，如果从企业安全中延展开来，我们可以看到，物联网的高速发展所带来的新型安全威胁，对事件响应的流程和理念，也势必会产生影响，事件响应也会随之升级。不远的将来，事件响应的保护的粒度可能将不再仅是IT资产和数据，还要顾及企业的每个用户甚至是用户这个个体本身。从安全的整体性考虑，打造一个全网络世界而不仅是某个企业网络的“安全免疫系统”，已经迫在眉睫。

安全牛评

事件响应作为企业安全防护中至关重要的一环，却从近两年开始行业内的声音才有所变大。这也是Resilient Systems的IRP平台一直没有直接“竞品”的主要原因。虽然有部分IT服务管理平台，或者安全厂商提供的应急响应小组驻场服务，但是仅此两者是不够的。将安全行业的最佳实践和成熟自动化的IT服务管理结合，是事件响应发展的必然趋势，也是Resilient Systems最大的优势。