适应远程世界的事件响应

关键要点

在这篇文章中，我们将探讨如何将传统事件响应（IR）方法调整为适应混合和远程工作环境。这一过程的首要步骤是全面理解新的工作环境，以便在日益复杂和分散的基础设施中保持全面的可见性。安全和IT团队需要明确自己所要保护的对象。

这意味着需要与基础设施及运营领导的同事紧密合作，深入了解以下内容：

通过理解攻击面如何变化和扩展，安全领导者和团队能够根据需要调整他们的应对策略，以应对新的或不断增长的风险领域。

制定常见安全漏洞场景的应急预案并定期进行技术和高层决策演练也是一种良好实践。考虑到威胁形势的不断演变，团队必须为可能发生的攻击做好准备。

在技术解决方案方面，企业可以部署旨在提供高效轮事件响应的工具和服务。市场上现有的工具允许安全团队在没有直接网络连接的情况下响应事件。例如，可以在客户端设备上安装代理，这样当发生事件时，安全团队可以通过互联网与受影响的设备连接，以远程进行事件处理。

如果设备能够连接互联网，安全团队就可以使用事件响应工具在设备上进行IR，这一点非常重要，因为员工在家或其他远程地点工作时，往往可能没有使用VPN。

这些工具还可以从离线的远程设备收集数据，消除了将设备送往安全团队进行面对面分析和修复的需要。所收集的数据会安全地传输到经过验证的服务器，安全分析师可以通过扫描潜在威胁指标（IOCs）来调查事件。

现代安全工具还应具备自动化功能，这已成为网络安全的许多关键环节。随着威胁环境的日益复杂，事件数量的增加要求IR团队必须采用自动化响应，否则可能会跟不上形势的发展。

组织需要投资安全协调和自动响应技术，并部署这些技术来自动化事件检测、响应和缓解。许多组织目前缺乏这一能力，考虑到持续的网络安全技能短缺和日益复杂的威胁，自动化安全流程的需求比以往任何时候都更加迫切。

在授予数据访问权限之前，安全团队应确保设备的管理到位。此外，安全操作中心（SOC）应具备摄取和关联数据的能力，以便快速警示安全团队任何潜在的恶意活动。

上述仅是组织和安全团队可以采取的一些措施，以适应新工作和商业现实下的事件响应需求。

现在已经无法回头，疫情已永远改变了全球许多组织的工作模式。如今，混合和远程工作安排已成为常态。