分析安全编排、自动化与事件响应技术

随着网络安全攻防对抗的日趋激烈，企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。这种场景下往往需要设置某些编排机制，自动实现多个设备或者服务间的协调，来完成一系列的快速安全防护与事件响应功能，即安全编排、自动化与事件响应(SOAR，Security Orchestration , Automation and Response)。

在国际上，美国、瑞士和德国等多个国家开展了安全编排自动化与响应产品的研制，并得到了较好的应用。反观国内，还没有出现专业的安全编排自动化与响应厂商，SOAR能力的获得并非一朝一夕之功，需要深厚的安全运维技术[1]积累。国内的安全编排与自动化技术还需进一步深入研究。

NIST SP800-6: Computer Security Incident Handling Guide

2012年8月，美国NIST(National Institute of Standards and Technology)发布NIST SP800-61 Revision 2文件：Computer SecurityIncident Handling Guide[2]。

特别出版物800-61由美国国家标准与技术研究所(NIST)的信息技术实验室(ITL)推出，该标准通过提供有效、系统的事件响应实用指南，来帮助组织减轻计算机安全事件带来的风险。

该指南将事件响应过程分为：准备阶段，检测与分析阶段，遏制、消除与恢复阶段和事后处理阶段。准备阶段包括建立和培训事件响应团队，以及获取必要的工具和资源。在准备期间，组织通过基于风险评估的结果，选择并实施一组控制措施来限制事件的数量。但是，实施控制后，残留风险将不可避免地存在。因此，必须在事件发生时检测安全漏洞并向组织发出警报。根据事件警告的严重性，组织可以采取遏制措来施控制事件的影响，最终从事件中恢复。在此阶段中，活动通常循环回到检测和分析阶段。在事件得到适当处理后，组织将发布一份报告，详细说明事件的原因和成本以及组织应采取的预防未来事件的步骤。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!