為了預防資安事故的發生,企業除了仰賴本身建置的各種防護機制作為事前準備,在事中與事後的處理程序上,市面上,也出現不少支援資安應變(Secure Incident Response)的套裝產品,以及代管服務,然而,這些解決方案大多是長期使用,若臨時要請資安廠商幫忙,企業又會有許多顧慮,例如,可能有隱藏成本,服務內容與計價方式不夠固定、透明。

最近我們看到有些資安廠商推出新的服務型態,來因應這種短期的緊急應變需求。例如,Sophos在10月推出的Rapid Response,就是主打定期合約制的網路攻擊應變服務。

這套服務涉及廠商與用戶的溝通,主要是透過英文來進行,為期45天,提供專屬的全天候(24/7)事故應變、威脅獵捕與威脅分析處理,並以用戶的使用者人數與伺服器數量來計價,號稱能快速阻止進階威脅攻擊,並且從用戶的網路環境當中移除敵人植入的惡意程式,以及攻擊手法,以減少相關的破壞行為與損害的成本,縮短復原時間。

對於用戶而言,Sophos Rapid Response提供的服務會如何進行?在用戶同意服務協議、送出申請,Sophos也同意提供服務,接著會進行4個步驟,分別是進駐(onboarding)、檢傷分類(triage)、威脅解除(neutralization)、監控(monitoring)。這些步驟會花多少時間?Sophos表示,Rapid Response服務的進駐可在幾小時內完成,檢傷分類在48小時之內完成,當Sophos從遠端完成服務的部署之後,威脅應變程序會在幾個小時內開始執行。

而在Rapid Response進駐的流程裡面,Sophos提供快速部署(Rapid Deployment)的選項(不額外收費),而隸屬於快速部署團隊的專家,會在這些正在經歷資安事故的用戶環境當中,快速安裝服務所需要的軟體,也就是Sophos EDR產品Intercept X Advanced with EDR的代理程式(它也是Sophos威脅應變代管服務Managed Threat Response的代理程式),再以此提供全天候的監控與應變處理。而在快速部署進行的過程中,Rapid Response團隊也會同時運用手邊能夠找到的資料及工具,來協助企業應變。

不過,在處理資安事故之際,Sophos明言當中有些限制,因為有些用戶可能會期待提供資安服務廠商進行的工作,實際上並不包含在Sophos的這項緊急應變服務,例如,解開被勒索軟體加密的資料,以及與攻擊者協商贖金支付。

一旦Sophos解除網路攻擊的威脅,Rapid Response隨即會改為持續監控的模式,由Sophos的Managed Threat Response服務團隊,進行威脅獵捕、調查、偵測、反應的工作。最終他們將會提供正式的調查摘要報告,詳述發現的細節、採取的處理動作,並基於被攻入的根本原因來推薦矯正方式,協助用戶了解攻擊來源,找出敵對者身分,以及被攻入的IT資產、被存取與外洩的資料,並且產生可長期執行的建議指南,讓用戶了解未來若再面臨類似的威脅,該如何減緩這些攻擊行動。

若45天之後Rapid Response服務到期,企業還想續用,Sophos也會建議他們升級到Sophos Managed Threat Response代管服務。

 

產品資訊

Sophos Rapid Response
●原廠:Sophos
●建議售價:廠商未提供
●計價方式:使用者與伺服器數量、45天定期合約
●服務持續期間:45天的事故應變與24/7監控
●受理申請後開始進駐時間:2小時以內
●聯絡電話:1-781-494-5800,臺灣(02)7709-1980
●服務進行流程:進駐、分類、中和、監控
●整合持續監控與反應的技術:Sophos Managed Threat Response /  Intercept X Advanced with EDR

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement