IBM安全为企业提供全面的安全防护能力

政府会针对各种突发公共事件,例如地震,火灾,流行疾病等设立各种应急流程预案,通过该流程的执行的可以在灾难突现时将社会损失减到最小。同样办公室所处的楼宇物业也会针对各种突发事件制定应急响应流程，我们都会参加过物业定期举行的消防演练。

随着移动互联和云计算以及IOT设备的普及，企业面临信息安全威胁会越多越复杂和有针对性，其中企业商业信息泄露的安全威胁最为突出。IBM和Ponemon Institute的一份关于“2015年数据泄露的损失”的研究显示，企业每一次数据泄露的平均损失为379万美元，这一数字将会在2016年内持续增长。当企业有了适当及时的准备来及时响应信息安全攻击威胁时，就可大幅度减少被网络罪犯攻击的机会。

当前企业缺少完善的安全事件应急响应流程

企业中安全操作与事件响应有很大的不足

在本人参与的安全项目中，真正制定和实施安全事件响应平台的企业比例很小，其中有些企业即使已经开始设计和实施相应的响应流程依然很难做到完善和自动化，企业缺乏安全事件响应的能力我认为主要是因为以下几点原因：

信息安全建设以主动防御为主

绝大部分企业在建设信息安全体系时仅注重主动防御，以为部署了防火墙，入侵防御设备和防病毒软件就可以100%地应对各种安全入侵。针对当前复杂的安全攻击缺少发现能力更没有应急响应的意识。

技术欠缺，很难快速响应

众多复杂的安全攻击行为是跨设备跨应用的，对于企业现有的安全部门技术人员很难独立应对复杂的安全攻击并进行及时的响应。

缺少事先定义好的流程

复杂的网络攻击往往跨越多个系统和应用，影射到企业将会跨越不同的部门，因此建立完整的应急响应流程是非常复杂和耗时的事情，如果流程没有及时定义将很难及时对复杂攻击进行响应。

缺少对业务和行业法律法规以及合规要求的理解

企业一般认为信息安全事件仅仅是安全小组的事情，安全小组的技术人员很难对基于企业商业的攻击以及企业商业违规行为理解并及时判断和响应。

Resilient的事件响应平台帮助企业快速应对安全事件

Resilient System的事件响应平台(IRP)

本人曾经参与过多家企业安全事件应急响应流程的设计工作。传统的安全事件应急响应流程设计过程是在企业现有的流程平台上针对不同的攻击类型手动地定义参与的部门和人员以及相应的行动来应对。在这种模式下一旦安全事件发生很难实现自动化，在部门协调和扯皮上浪费非常多的时间，更多时候由于没有被流程设定的攻击类型发生时相关管理人员将很难有正确地响应。

Resilient System的事件响应平台(IRP)是一个将流程(Process),人员(People)和技术(Technology)进行紧密集成的自动化平台,它基于世界上最大的监管法规知识库并通过内置的行业标准和最佳实践帮助企业进行快速安全事件应急响应。参与流程的员工确切知道自己应该做什么而不是将时间浪费在内部协调和不知所措上。企业安全管理人员只需要利用IRP中大量的已经定义的流程或者适当进行定制就可以快速地应对绝大多数的安全事件而无需手动过程。

Resilient System的事件响应平台(IRP)可以与企业现有的SIEM，GRC或者反恶意软件等平台进行无缝集成，当这些系统分析出安全事件时直接通过接口自动化调用IRP的相应流程就可以实现自动化的事件响应。

Resilient System的事件响应平台(IRP)内置分析模块，可以对每一次的事件响应进行分析，例如响应的时间(TTR)，并可以发现流程中的不足点提醒企业相关人员进行不断地修正来改善现有流程。

就像楼宇物业经常进行消防演练一样，对于安全事件防患于未然尤其重要。IRP中内置了桌面演练和安全事件模拟平台可以不断地帮助企业安全事件响应团队对各种潜在的安全威胁进行演练和模拟，当真正的威胁到来之时可以从容和快速地应对。

IBM Security为企业提供从防护，到检测再到响应的全面安全防护能力

IBM Security从防护，到检测再到响应

在IBM安全框架中我们可以看到IBM安全解决方案四条产品线：身份安全，数据安全，应用安全和基础架构安全致力于帮助企业建立全面的安全防护体系从而可以阻止典型网络攻击对企业的入侵。

由于当前网络攻击的复杂性和多样性，例如未能及时披露和修补的零日漏洞被利用，企业安全架构中的短板，安全管理人员的错误配置等，企业仅仅依靠传统的防护体系是很难100%应对这些全新的安全挑战。因此基于数据分析和威胁情报来发现潜在的未能被阻止的攻击和威胁将对于传统的安全防护体系提供有效的补充。IBM Qradar安全智能平台基于X-Force威胁情报并将企业内的各种日志，网络流量，网络配置，资产漏洞，人员和数据操作行为等进行关联分析可以帮助企业发现未被及时阻止的攻击和威胁。

通过App exchange可以实现Qradar与IRP的紧急集成

IBM在收购Resilient IRP之前，Qradar安全智能平台发现潜在的攻击和威胁后将通过与企业现有的Ticket平台集成实现安全事件的应急响应。在这种集成模式中，整个流程需要人为在Ticket系统进行定制。

现在通过App Exchange ，Qradar安全智能平台可以与Resilient IRP无缝集成，企业可以通过Resilient IRP内置的标准流程，操作规程和行业最佳实践快速地制定安全事件应急响应流程。

IBM Security现在可以为企业提供从防护，到检测再到响应的全面安全防护能力。