政府會針對各種突發公共事件,例如地震,火災,流行疾病等設立各種應急流程預案,通過該流程的執行的可以在災難突現時將社會損失減到最小。同樣辦公室所處的樓宇物業也會針對各種突發事件制定應急響應流程，我們都會參加過物業定期舉行的消防演練。

隨著移動互聯和云計算以及IOT設備的普及，企業面臨信息安全威脅會越多越復雜和有針對性，其中企業商業信息泄露的安全威脅最為突出。IBM和Ponemon Institute的一份關于“2015年數據泄露的損失”的研究顯示，企業每一次數據泄露的平均損失為379萬美元，這一數字將會在2016年內持續增長。當企業有了適當及時的準備來及時響應信息安全攻擊威脅時，就可大幅度減少被網絡罪犯攻擊的機會。

當前企業缺少完善的安全事件應急響應流程

企業中安全操作與事件響應有很大的不足

在本人參與的安全項目中，真正制定和實施安全事件響應平臺的企業比例很小，其中有些企業即使已經開始設計和實施相應的響應流程依然很難做到完善和自動化，企業缺乏安全事件響應的能力我認為主要是因為以下幾點原因：

信息安全建設以主動防御為主

絕大部分企業在建設信息安全體系時僅注重主動防御，以為部署了防火墻，入侵防御設備和防病毒軟件就可以100%地應對各種安全入侵。針對當前復雜的安全攻擊缺少發現能力更沒有應急響應的意識。

技術欠缺，很難快速響應

眾多復雜的安全攻擊行為是跨設備跨應用的，對于企業現有的安全部門技術人員很難獨立應對復雜的安全攻擊并進行及時的響應。

缺少事先定義好的流程

復雜的網絡攻擊往往跨越多個系統和應用，影射到企業將會跨越不同的部門，因此建立完整的應急響應流程是非常復雜和耗時的事情，如果流程沒有及時定義將很難及時對復雜攻擊進行響應。

缺少對業務和行業法律法規以及合規要求的理解

企業一般認為信息安全事件僅僅是安全小組的事情，安全小組的技術人員很難對基于企業商業的攻擊以及企業商業違規行為理解并及時判斷和響應。

Resilient的事件響應平臺幫助企業快速應對安全事件

Resilient System的事件響應平臺(IRP)

本人曾經參與過多家企業安全事件應急響應流程的設計工作。傳統的安全事件應急響應流程設計過程是在企業現有的流程平臺上針對不同的攻擊類型手動地定義參與的部門和人員以及相應的行動來應對。在這種模式下一旦安全事件發生很難實現自動化，在部門協調和扯皮上浪費非常多的時間，更多時候由于沒有被流程設定的攻擊類型發生時相關管理人員將很難有正確地響應。

Resilient System的事件響應平臺(IRP)是一個將流程(Process),人員(People)和技術(Technology)進行緊密集成的自動化平臺,它基于世界上最大的監管法規知識庫并通過內置的行業標準和最佳實踐幫助企業進行快速安全事件應急響應。參與流程的員工確切知道自己應該做什么而不是將時間浪費在內部協調和不知所措上。企業安全管理人員只需要利用IRP中大量的已經定義的流程或者適當進行定制就可以快速地應對絕大多數的安全事件而無需手動過程。

Resilient System的事件響應平臺(IRP)可以與企業現有的SIEM，GRC或者反惡意軟件等平臺進行無縫集成，當這些系統分析出安全事件時直接通過接口自動化調用IRP的相應流程就可以實現自動化的事件響應。

Resilient System的事件響應平臺(IRP)內置分析模塊，可以對每一次的事件響應進行分析，例如響應的時間(TTR)，并可以發現流程中的不足點提醒企業相關人員進行不斷地修正來改善現有流程。

就像樓宇物業經常進行消防演練一樣，對于安全事件防患于未然尤其重要。IRP中內置了桌面演練和安全事件模擬平臺可以不斷地幫助企業安全事件響應團隊對各種潛在的安全威脅進行演練和模擬，當真正的威脅到來之時可以從容和快速地應對。

IBM Security為企業提供從防護，到檢測再到響應的全面安全防護能力

IBM Security從防護，到檢測再到響應

在IBM安全框架中我們可以看到IBM安全解決方案四條產品線：身份安全，數據安全，應用安全和基礎架構安全致力于幫助企業建立全面的安全防護體系從而可以阻止典型網絡攻擊對企業的入侵。

由于當前網絡攻擊的復雜性和多樣性，例如未能及時披露和修補的零日漏洞被利用，企業安全架構中的短板，安全管理人員的錯誤配置等，企業僅僅依靠傳統的防護體系是很難100%應對這些全新的安全挑戰。因此基于數據分析和威脅情報來發現潛在的未能被阻止的攻擊和威脅將對于傳統的安全防護體系提供有效的補充。IBM Qradar安全智能平臺基于X-Force威脅情報并將企業內的各種日志，網絡流量，網絡配置，資產漏洞，人員和數據操作行為等進行關聯分析可以幫助企業發現未被及時阻止的攻擊和威脅。

通過App exchange可以實現Qradar與IRP的緊急集成

IBM在收購Resilient IRP之前，Qradar安全智能平臺發現潛在的攻擊和威脅后將通過與企業現有的Ticket平臺集成實現安全事件的應急響應。在這種集成模式中，整個流程需要人為在Ticket系統進行定制。

現在通過App Exchange ，Qradar安全智能平臺可以與Resilient IRP無縫集成，企業可以通過Resilient IRP內置的標準流程，操作規程和行業最佳實踐快速地制定安全事件應急響應流程。

IBM Security現在可以為企業提供從防護，到檢測再到響應的全面安全防護能力。