[專訪]健全的企業資安事件回應平台

Resilient Incident Response Platform 事件回應平台

目前IBM Resilient事件回應平台採用半人工、半自動化的設計，兩種方式結合後可使得整個處理進度變得更加可控，尤其該平台對整個事件回應流程的定義是完全開放，企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程，將企業需要的流程與標準自訂到Resilient的IRP平台上，並作為可重複運用的資產，在不同企業或子公司之間進行共用。

金天威指出，對於公司規模不大，但是產品銷售或服務都遍及世界各國的企業而言，要精準掌握各國法規非常困難。而IBM Resilient事件回應平台已預先內建多國相關法規與最佳實踐，例如台灣的個資法規定也已經在內建資料庫之內，可協助企業快速釐清法規問題，同時給予相關的處理建議，作為企業處理資安威脅事件的參考。

整合資安威脅設備 強化事件回應能力
IBM Resilient事件回應平台可與市面上多品牌的Threat Intelligence威脅情報進行整合，包含IBM X-Force Exchange、Symantec DeepSight、FireEye iSight、VirusTotal等，讓資安人員在調查事故過程中，可輕易了解目前被攻擊的來源以及其相關的攻擊資訊，以有效阻止資安事故的發生。

此外，IBM Resilient事件回應平台和IBM QRadar可透過搭建虛擬環境，和企業內部驅動的滲透/眾測兩種方式，進行資安事件回應的演練。虛擬環境本身可由IBM QRadar對某些規則的演練，或者測試網路環境的搭建來完成，而在滲透/眾測情況下，企業可透過外包的方式，邀請滲透測試團隊駐場測試，或者是在協定測試基線的前提下（不觸碰業務資料等）進行眾測，對企業網路進行攻擊演練與測試。

金天威認為，IBM QRadar是IBM安全免疫體系的大腦，也是終端、資料庫、身份管理等對應安全設備間聯動的核心。在SOC/SIEM定位攻擊及受影響資產及其狀態等資訊後，每個確認攻擊的詳細資訊都可發送到IRP平台，自動生成並開始啟動事件回應流程。在完成某個攻擊引發的安全事件的應急回應後，整個處理過程的相關資訊，包括對應攻擊類型、回應流程細節、下發和完成時間等資訊，都會被IRP平台詳細記錄。

而IBM Resilient事件回應平台可以自動將整個回應過程評價量化，並提供相應報表的生成，這除是對安全部門的監督外，也是IT維運團隊在回應資安事件的一個具體成果表現。

圖片資料來源：IBM提供