【IT168 编译】当Fenwick & West律师事务所部署了下一代防火墙和高级恶意软件检测系统后，他们不得不应对显著增加的潜在严重事件的警报。每个事件都需要IT安全人员去调查、收集相关日志文件和，以及检查该事件中涉及的所有用户的系统。该律师事务所的信息技术主管Kevin Moore表示，虽然对于大多数公司来说，检测威胁仍然是一个问题，但尽快对这些警报作出响应才是真正的障碍。

　　为了帮助有效处理事件，Moore的团队使用一个系统来筛选警报信息，自动收集相关数据，并对受感染系统进行取证分析。这个自动化过程可以创建防火墙规则来阻止来自受感染系统的通信，因为这种通信可能会从公司渗出数据。

　　“最大的好处是，我可以创建一个自动化工作流程，”他表示，“如果我看到一个设备可能感染了APT攻击，我可以自动响应，阻止到该设备的任何出站流量。我不再需要从办公桌跳起来，跑到机器那里去解决这个问题。”

　　很多对泄露数据的分析显示，造成企业付出高昂代价的原因是无法检测到攻击。Verizon的数据泄露调查报告中指出，企业需要数周和数月来检测入侵，而攻击者通常在数天内就已经完成其入侵目标。在Trustwave的全球安全报告中，数据泄露事故保持未被发现的平均时间是210天。

　　缓慢的响应时间还会导致更高的成本和更多数据丢失。在Ponemon研究所最近对网络犯罪成本的调查显示，检测占成本的比例最高，为28%，而事件响应活动(例如恢复、事件管理和调查等)总共占泄露事故成本的72%。专家称，自动化进行这些活动可以显著降低成本。

　　安全公司Blue Coat的高级威胁保护组EMEA安全主管James Stevenson表示，缩短检测攻击和完全响应之间的时间的方法之一是练习事件响应。例如，最近进行的代号为醒鲨2(Waking Shark II)的测试让英国银行测试了金融机构协调响应的能力。虽然这种演练存在一些问题，但这能够让参与组织重温其事件响应计划。快速响应事件可能可以阻止攻击者实现其目标，无论其目标是破坏网络还是窃取数据。

　　Trustwave公司数字取证和事件响应主管Chris Pogue表示。企业还应该在其安全团队培养事件响应人才，或者提供事件响应服务。“这不只是关于检测事件和发现事件，而是需要了解其意义，并采取行动。”

　　NetCitadel公司销售和营销副总裁Neil Stratz表示，不管企业的事件响应团队水平如何，快速响应安全威胁意味着需要自动化这种响应。“如果他们没有在第一时间内采取行动，那么，他们就将落后于攻击者。”

　　还有些系统自动化了数据收集过程以用于调查目的。例如，在检测到恶意攻击后，整理这个攻击采取的每个行为来追踪其他感染系统可以显著缩短响应和清理时间。

　　“我认为攻击者变得更加复杂，他们拥有比我们更多的资源，似乎我们在玩一个大型追赶游戏。” 然而，虽然攻击者似乎仍然保持领先，自动化可以帮助企业缩短与攻击者的距离。