事件响应(IR)是快速识别攻击、最小化其影响、控制损害并修复原因以降低未来事件风险的努力。

让我们定义事件响应

几乎每家公司在某种程度上都有一个事件响应流程。对于那些希望建立更正式流程的公司，必须提出的相关问题是：

根据PonemonInstitute的一项研究，这些问题的答案很可能不是最优的，因为大多数公司在一个或多个领域都存在不足：

平均而言，识别恶意或犯罪攻击需要214天，控制和恢复需要77天。很明显，需要更好的事件响应管理来充分保护组织免受他们每天面临的不断增长和加速的威胁。

事件响应的ABC

A.合适的团队——为了提供最有效的事件响应，行业专家建议在您的团队中包括以下角色，无论您的公司规模如何。显然，技术团队将带头，但您公司的其他职能领域也应该参与其中，尤其是在发生严重攻击时。一旦确定了这些角色的人员，教育他们在发生具有广泛影响的严重、广泛的攻击时他们的责任是什么：事件响应、安全分析、IT、威胁研究、法律、人力资源、企业通信、风险管理、执行和外部安全取证专家。

B.正确的计划——全面的事件响应计划至少包括以下策略和流程：

当攻击正在进行时，沟通是关键，因此请确保建立良好的沟通流程作为响应计划的一部分。

C.正确的工具——随着未知攻击数量的增加，正确的工具可能能够为您的公司节省大量时间和金钱——这将有助于保护您的客户和您的品牌忠诚度。

信息是任何事件响应计划的关键资产。因此，基于云的端点安全解决方案通常为您提供最全面的工具，以最快的方式缓解攻击，包括通过以下方式访问关键数据：

行业脉搏：外包是事件响应不佳的解决方案吗？

几乎所有关于公司面临的安全挑战的研究都包括有关雇用和留住熟练安全人员的难度的统计数据，上述Ponemon研究中77%的人也是如此。在全球范围内迅速接近的关键安全职位短缺近200万人。

缺乏合适的安全人员会严重影响任何事件响应，以至于公司正在寻求外包这样的安全功能。事实上，Gartner认为，2018年安全外包服务支出将超过180亿美元，是仅次于咨询的第二大安全支出部分。

考虑到招聘合适人员的困难，这是有道理的，因为托管服务可以快速填补您在安全团队中的任何空白。它可以帮助您确定警报的优先级、发现新威胁并加速调查。这些服务通常由技术娴熟的威胁专家组成，他们可以持续关注您公司的环境，识别新出现的威胁并在您的团队最需要帮助时提供对关键安全服务的访问。

答案：合适的人员、计划、工具和合适的供应商

即使你有合适的人、合适的计划和合适的工具，仍然有可能发生一些事情，那么为什么要冒这个险呢？它有助于与合适的供应商合作，为您提供基于云的端点安全平台以及高级威胁搜寻功能。

如上所述，托管威胁搜寻专家可以监视您的环境并通知您的团队新出现的威胁。这些专家可以：

威胁猎手团队还可以为您提供整个端点部署的覆盖范围和威胁分类，因此您的团队可以专注于最关键的警报。您还可以访问全球威胁情报，帮助您在未来的攻击中领先一步。