於威脅生命週期中提早與加速偵測及回應的能力,是預防企業組織遭受大規模傷害的決勝關鍵,愈早偵測鎖定攻擊威脅並將影響降至最低,所能造成之有形與無形的營運或商譽損害自然可隨即掌握。
威脅生命週期流程管理6階段
【階段1】威脅鑑識數據收集。在偵測到任何威脅之前,必須在IT環境中找出威脅的證據,故必須著重3種主要類型的數據資料收集,包括: 資安事件和告警數據、日誌和設備數據、以及鑑識感測數據。
【階段2】
建立完整精確的數據可視性就更有機會及早偵測和回應各類威脅,而發掘潛在威脅更須結合搜索分析與機器自動化分析的技術方能完備。
【階段3】
偵測到威脅的那一刻起,即必須迅速確認威脅並評估對營運的潛在傷害程度,更必須進一步評定調查和回應的急迫性與程序。確認威脅與風險的過程向來耗時耗工,卻也刻不容緩,因此,快速有效的自動化流程,將有助於以最精簡的人力分析大量告警,同時大幅降低Mean Time to Detect (MTTD) 與Mean Time to Respond (MTTR)。
【階段4】
一旦威脅確認成立,緊接著須徹底調查並確認資安事件是否已經發生或正在進行中,此階段快速取得威脅相關的鑑識數據與情資甚為重要,故常規調查工作及工具的自動化,將促進整體組織協同合作,分秒必爭地大幅減少MTTR。
【階段5】
此階段必須立即實施緩解威脅措施,以降低並最終消除營運損害之風險,例如: 勒索軟體或被滲透的特權帳號,此類威脅的處理分秒必爭,因此取得自動化且最即時的資安事件回應程序和步驟說明是致勝關鍵。
【階段6】
一旦資安事件解除且營運風險受到控制,即可進入復原程序,而復原程序的落實,最重要的是取得調查和資安事件回應過程相關的所有鑑識資訊,包括: 資安事件回應期間所做的變更記錄、稽核軌跡保存、已及更新受到影響的系統並使其恢復上線。此外,復原程序應將收集到的威脅情資制定未來的防範程序,以確保未來辨識威脅是否再發生或留有後門。