在数字化时代,企业面临着来自网络攻击的威胁与日俱增。一旦发生网络攻击,快速有效的事件响应/应急响应至关重要,是减少损失并保护业务连续性的关键措施。
事件响应是一个较为复杂的安全流程,需要多种工具和技术的协同配合。企业可以选择合适工具自行建设事件响应能力(本地部署),也可以外包给专业的安全服务提供商。
在介绍十大知名事件响应工具和服务商之前,我们先对事件响应工具和服务进行简单的介绍:
事件响应工具
事件响应工具可以帮助企业自动化检测、调查和响应安全事件。常见的事件响应工具包括以下几类:
安全信息和事件管理(SIEM)系统:SIEM系统可以收集来自网络、系统和应用程序的大量日志数据,并通过分析这些数据来识别潜在的安全威胁。
端点检测和响应(EDR)系统:EDR系统可以监控和分析端点设备的行为,以检测和响应安全事件。
威胁情报(TI)系统:威胁情报系统可以提供有关已知和潜在威胁的信息,帮助企业提高安全态势感知。
安全编排、协调和响应(SOAR)系统:SOAR系统可以自动化事件响应流程,提高响应效率。
事件响应服务
专业的安全服务提供商可以提供全面的事件响应服务,具体包括以下几类:
- 24/7监控和响应:安全服务提供商可以通过24/7监控来检测安全事件,并在发生事件时立即进行响应。
- 调查和分析:安全服务提供商可以利用其专业知识和经验来调查安全事件,并分析事件原因和影响。
- 恢复和修复:安全服务提供商可以帮助企业恢复受损系统和数据,并修复安全漏洞。
- 选择事件响应解决方案
本地部署还是外包?
事件响应需要多种工具和技术,包括端点产品、网络安全平台、专门的恶意软件分析工具和具有自动化功能的软件,无法通过一体化平台完成。
大多数企业已经拥有事件响应相关安全工具,包括SIEM系统、漏洞扫描器、端点检测和响应(EDR)、反恶意软件和防火墙等。最近,用户行为分析(UBA);安全编排、自动化和响应(SOAR);扩展检测和响应(XDR)也开始进入企业的“武器库”,已经拥有上述工具的企业更适合尝试本地部署和执行事件响应任务。
选择本地部署还是外包,还与企业所面临威胁的性质和复杂性有关。安全团队需要使用风险分析和业务影响分析来确定事件响应的类型,并制定事件响应计划。本地部署适合相对简单的威胁。
如果风险和业务影响分析表明可能发生更严重的事件,企业可能需要考虑规划流程外包给安全服务提供商。此外,在多地拥有分支机构的企业也可能更适合外包,因为每个地点可能有不同的风险、威胁和漏洞,并且每个地点可能需要定制方案来满足其独特的需求。
另外,企业还要考虑人员配置,以及是否拥有具备完成事件响应生命周期流程所需的专业员工,以及足够的预算。
如何选择事件响应工具
使用风险和业务影响分析来识别企业可能发生的安全事件,以此确定需要哪些工具。
在购买事件响应工具包时,请考虑这些工具是否及如何协同工作。工具的可集成性对于确保正确的分析、调查和响应非常重要。单个安全供应商通常可以提供多种技术,来自不同供应商的工具也可以相互连接以共享信息并协同进行事件响应。
事件响应工具的选型还应该考虑事件响应标准和框架,并从合规性和审计的角度来评估,这一点也很重要。
十大事件响应工具
事件响应生命周期需要多种工具,为了便于用户了解流行的事件响应工具功能、交付方式和定价模式,我们整理了全球较为知名的十种事件响应工具的信息如下:
1.AT&T USM Anywhere
AT&T的统一安全管理(USM) Anywhere提供自动威胁检测,其威胁情报来自AT&T AlienLabs安全团队和AT&T AlienLabs Open Threat Exchange。AT&T的USM产品具有发现功能(包括网络资产发现和云资产发现)、分析功能(包括SIEM事件关联和用户活动监控)、检测功能(包括云入侵检测和EDR)、事件响应、漏洞扫描和暗网监控功能,以及报告功能。
USM Anywhere是一款SaaS产品,提供Essentials、Standard和Premium三种套餐,起价分别为每月1075美元至2595美元。
2.CrowdStrike Falcon Insight
CrowdStrike Falcon Insight是一个XDR和EDR平台,具有连续日志记录、人工智能驱动的威胁检测、威胁搜寻、态势感知、响应、简化的通知和威胁优先级分类功能。Falcon Insight可与CrowdStrike的SOAR平台FalconFusion集成实现自动响应功能。警报可映射到MitreATT&CK框架。
Falcon Insight也是一款SaaS产品,作为Falcon Enterprise和Elite软件包的一部分提供,按端点数量销售订阅许可。
3.Cynet 360 AutoXDR平台
Cynet 360 AutoXDR平台将威胁检测和预防、日志分析和数据关联以及事件响应和自动化集成到一个平台中。功能包括EDR、UBA、网络检测和响应(NDR)、欺骗技术、沙箱和威胁情报,以及SaaS安全态势管理和云安全态势管理。
该产品支持云端、混合或本地部署。集成了Cynet的24/7托管检测和响应服务CyOps,无需额外付费。
4.Datadog云SIEM
平台提供商Datadog提供基于云的SIEM和自动化事件管理集成。Cloud SIEM结合了可观察性和安全调查,映射到Mitre ATT&CK框架,并具有自定义规则编辑器,可帮助团队检测和响应跨应用程序、网络、工作负载和基础设施的威胁。
产品定价标准为每月每百万分析事件5美元,按年计费,自动化工作流程单独计费。还可提供按需定价。
5.Exabeam Fusion
Exabeam Fusion是一个云端交付产品,结合了SIEM和XDR功能,Exabeam将其称为“新一代SIEM”。Fusion具有威胁检测、调查和响应、日志管理和分析功能。它还包括UBA、企业通用信息模型、警报优先级以及报告和仪表板。可选的事件响应程序附加组件可帮助协调和自动化响应。
Exabeam Fusion的威胁情报源基于其自身的威胁情报服务,无需额外付费。
6.IBM安全QRadar
IBM的事件响应安全产品套件QRadar包括以下功能:
- QRadar EDR,具有攻击可见性、人工智能驱动的警报管理和勒索软件预防功能。
- QRadar LogInsights,提供可见性、可观察性、人工智能驱动的风险优先级和自动威胁调查。
- QRadar SIEM,具有NDR、UBA和威胁情报功能。
- QRadar SOAR,提供自动化攻击响应和工作流程以及可定制的剧本。
QRadar SIEM使用安全和行为分析来检测异常,提供优先级警报并与Mitre ATT&CK框架保持一致。它可以作为本地软件、云部署或通过QRadar on Cloud的SaaS提供。
定价基于每秒的事件数或每分钟的流量,作为无限制的基于服务器的许可证或基于订阅的许可证。请联系该公司了解定价。
7.KnowBe4 PhishER网络钓鱼事件响应
安全意识培训和模拟网络钓鱼平台供应商KnowBe4的PhishER是一个基于云的网络钓鱼事件响应平台,可帮助事件响应团队检测和响应网络钓鱼相关的安全事件。该公司将其描述为一个轻量级的电子邮件SOAR平台,可以分析传入的消息(邮件),根据威胁级别进行过滤,并自动对潜在威胁进行优先级排序。其PhishRIP功能可隔离所有员工邮箱中的潜在威胁。
PhishER是一款SaaS产品,按用户数量定价。
8.LogRhythm SIEM
LogRhythm的SIEM平台结合了日志管理、分析、UBA、网络流量分析、SOAR和端点监控,可帮助安全团队提高可见性、防止暴露,并快速有效地检测和响应威胁。它与该公司的威胁情报服务以及第三方威胁源集成。
该产品可通过托管安全服务提供商在本地、云端部署,或作为Axon平台中的SaaS进行部署。
9.Splunk Enterprise Security
Splunk Enterprise Security是一款SIEM产品,位于Splunk平台之上。Splunk Enterprise Security可作在云端、本地或混合部署使用,提供基于风险的警报、威胁检测以及分析和响应功能。该产品提供所谓的“自适应响应”的自动响应功能;为了进一步实现自动化,可以使用Splunk SOAR。其他集成包括Splunk UBA、Splunk On-Call(一种警报和消息传递事件响应工具)、IT服务情报(一个监控和可见性插件)。Splunk Enterprise Security映射到MitreATT&CK框架、NIST、互联网安全中心的关键安全控制和网络杀伤链等框架。
Splunk Enterprise Security提供基于工作负载和数据处理量的多种定价模式。
10.XMatters
软件公司Everbridge的XMatters是一个服务可靠性平台,可实现自动化事件管理,同时也提供事件响应的分析、协作和报告功能。XMatter作为SaaS产品面向DevOps以及运营团队和工程师,但它也可以帮助解决IT事件以及网络安全事件响应。
XMatttters提供免费、基本、标准和高级四种定价,不同级别包含的事件响应功能不同。
十大事件响应服务提供商
以下是10家领先的事件响应服务提供商(全球市场)。大多数都提供一系列托管安全和相关服务,包括咨询。上面列出的一些事件响应工具提供商也还提供托管事件响应服务:
1.AT&T托管威胁检测和响应
AT&T是美国占主导地位的电信提供商,凭借其内联互联网和WAN监控服务,在事件响应服务市场中处于独特的地位。AT&T利用其全球分布的安全运营中心(SOC),通过其USM平台提供24/7托管威胁检测和响应。服务包括EDR、云安全、防火墙和安全远程访问。客户还可以访问AT&T Alien Labs Open Threat Exchange,深入了解全球网络安全专家社区在威胁识别、可操作的见解和报告方面所采取的行动。
2.BAE Systems事件响应
BAE Systems成立于1999年,是全球最早的网络安全事件响应供应商之一。这家总部位于英国的公司提供先发制人的威胁防御服务,包括定制威胁情报工具、渗透测试和攻击准备工具。如果发生攻击或违规,BAE Systems会使用英国、美国或澳大利亚的三个支持中心之一来进行事件响应。如果需要,BAE Systems可以将其专家部署到客户所在地。该公司还可以协助证据获取、逆向工程、技术和执行响应以及公关管理。
3.Cyderes企业MDR
Cyderes总部位于多伦多,提供数字取证和事件响应(DFIR)服务。该公司在全球拥有六个SOC,提供24/7事件归因、取证和分析、事件遏制和事件后审查服务。保留服务还包括规划、咨询和咨询服务以及桌面演习。
4.Cynet CyOps
Cynet总部位于波士顿,提供CyOps(24/7MDR服务)。该公司在美国和以色列设有办事处,并在欧盟设有联系电话。MDR提供商提供检测、调查和响应服务;点播和实时建议;定期报告,包括时事通讯、技术和恶意软件报告。
5.Mandiant事件响应
Mandiant现在是Google Cloud的一部分,提供24/7事件响应和安全服务。该提供商在全球30多个国家/地区设有事件响应人员,提供调查、危机管理、遏制和恢复服务。Mandiant还提供两种模式的事件响应预约服务:免费预约或预付费时数。
6.NTT数据MDR
总部位于东京的NTT是一家全球电信和技术集成商。其安全服务部门的MDR提供云原生安全分析和响应平台,具有DFIR、威胁搜寻、持续监控和远程隔离功能,并提供24/7技术指导。NTT Data还提供云安全、应用程序安全、端点管理、以及治理、风险和合规服务。
7.Secureworks应急响应
Secureworks反威胁部门研究团队在全球分布的五个SOC中运作,为事件预防、检测和响应提供评估、测试和演练服务。其紧急事件响应服务提供远程或现场技术和咨询服务,包括取证和威胁分析、遏制、系统恢复和事件后改进建议。该公司还在八个国家设有24/7紧急热线电话。
8.Sygnia事件响应
Sygnia总部位于以色列,在纽约、新加坡和伦敦设有办事处,提供事件响应服务、事件响应准备服务、数字取证、威胁搜寻、高级监控和诉讼支持以及托管XDR。它还提供事件响应保留器,以及主动防御和对抗性安全服务。
9.Trustwave MDR
总部位于美国的Trustwave在全球拥有八个SOC,提供MDR服务,以及24/7威胁监控、威胁搜寻、事件响应和遏制以及漏洞和渗透测试服务。该公司与各种电信和服务提供商合作,提供本地化支持和更快的事件响应。购买DFIR保留服务的客户可以获得远程和现场事件支持,并可以联系Trustwave内部SpiderLabs网络安全专家团队。
10.Verizon事件响应和调查
全球电信巨头Verizon在全球运营着9个SOC和6个数字取证中心。该公司提供事件响应计划和调查服务以及事件后支持。购买快速响应保留服务的客户可以协商服务合同、获得24/7支持并与指定的调查联络人合作。附加组件包括暗网狩猎、网络和端点遥测分析、数据恢复和恶意软件逆向工程等。
注:上述名单排名不分先后,主要评选依据来自Gartner、G2和SoftwareTestingHelp的市场报告和供应商排名。
其他建议
除了选择合适的事件响应解决方案之外,企业还应采取以下措施来加强安全事件响应能力:
定期更新安全软件:及时更新安全软件可以帮助修复漏洞,降低被攻击的风险。
进行安全意识培训:员工的安全意识培训可以帮助他们识别和应对安全威胁。
建立事件响应计划:事件响应计划可以帮助企业在发生事件时快速有效地响应。