在許多人的印象中,事件回應團隊就像一支時刻待命的企業網路“救援隊”。但他們的工作不只如此,事件回應也並非只是“亡羊補牢”。
NIST 將事件回應生命週期分為準備、偵測和分析、遏制與消除及還原、事件後活動四個階段,而由下一代 AI 驅動的 Commvault Cloud 以其前沿的功能和能力,以及與 SIEM、XSOAR 等生態系統上的戰略集成,幫助事件回應團隊做好準備,應對每一次網路“險情”。
為了高效回應事件,企業應早做準備、主動準備。這包括制定回應策略、準備早期偵測工具,並開展網路威脅相關的使用者培訓等等。事件回應團隊和IT團隊應該在此過程中通力合作,打造彈性架構,做好應對最壞情況的準備。
Commvault Cloud 提供統一管理體驗,採用零信任架構、資料加密金鑰隔離和其他先進的安全措施。該平台的網路彈性功能、AI 驅動的偵測能力,以及與 SIEM、XSOAR 等生態系統上的整合將有助於團隊間合作和團隊共同目標的達成。
此外,Commvault Cloud 與 SIEM 和 XSOAR 的整合可提供即時洞見和行動,進一步簡化遏制工作,例如在偵測到異常檔案活動時禁止資料衰減或遮罩風險使用者。 在消除和還原階段,Commvault 全面的備份和還原功能以及驗證能力可以為企業提供有效支援。企業可以利用 Commvault Cloud 的沙盒還原選項進行事件後取證,對環境進行徹底的檢查。
網路威脅形形色色,安全事件也五花八門。不同事件需要不同的應對策略。一方面,企業應當做好處理各種事件的準備,另一方面,企業也應該做好偵測和分析。Commvault Cloud 提供 AI 驅動的偵測和 Threat Scan 功能,在識別備份中的可疑檔方面表現出色,有助於企業準確定位潛在威脅。
遏制是事件早期的一項重要考慮因素,企業希望事件在自身環境難以承受或損失擴大之前得到控制。NIST 指出,遏制為制定具有針對性的補救策略爭取了時間。 在偵測到可疑檔案時,Commvault Cloud 會自動隔離備份工作負載中受感染的檔案。該平台的潔淨室還原選項還可以幫助事件回應團隊在受控環境中監控異常,並進行進一步的網路取證。
此外,Commvault Cloud 與 SIEM 和 XSOAR 的整合可提供即時洞見和行動,進一步簡化遏制工作,例如在偵測到異常檔案活動時禁止資料衰減或遮罩風險使用者。
在消除和還原階段,Commvault 全面的備份和還原功能以及驗證能力可以為企業提供有效支援。企業可以利用 Commvault Cloud 的沙盒還原選項進行事件後取證,對環境進行徹底的檢查。
複盤是企業持續提升必不可少的環節。
事件回應團隊在不斷學習新興的威脅和技術的同時,也應不斷吸取經驗教訓。企業可以對事件特徵以及處理事件花費的各種成本進行資料分析,為風險評估提供相應資訊。企業應該能在需要時與執法部門等外界機構有效協調。Commvault Cloud 提供了豐富的工具,支援企業實現全面的事件回應,並以IT洞見和還原措施幫助企業強化防禦。
在動態的網路威脅環境中,僅是“時刻待命”已經不足以支持事件回應團隊實現高效回應。早做準備、採用先進策略和技術、構建生態上的戰略整合、不斷學習和提升,才能最大限度減少事件影響,確保企業資料系統在面對挑戰時能夠保持彈性。