信息化觀察網(wǎng)

多年來，網(wǎng)絡(luò)安全供應(yīng)商已經(jīng)宣布了將通過人工智能，云交付和自動(dòng)化來改變整個(gè)行業(yè)的新技術(shù)。一切都會(huì)變得更好，更便宜，更快，當(dāng)然更安全。在實(shí)踐中，許多這些技術(shù)被證明是有限的，效果不如所承諾的，并且更難以使用。

改進(jìn)是漸進(jìn)的，并且在過去三年中，供應(yīng)商公告沒有太大變化。我們已經(jīng)看到技術(shù)的逐步發(fā)展以及對(duì)網(wǎng)絡(luò)安全專業(yè)人員的更好培訓(xùn)和更好的業(yè)務(wù)流程。

而流程和技術(shù)方面的改進(jìn)最終使數(shù)據(jù)中心能夠大規(guī)模進(jìn)行威脅檢測(cè)和響應(yīng)。網(wǎng)絡(luò)安全供應(yīng)商說：“有關(guān)行業(yè)安全的教育水平正在提高。而且，隨著過程越來越好，已經(jīng)出現(xiàn)了穩(wěn)健的最佳實(shí)踐。”

更智能的SIEM

那么，在看似無限的網(wǎng)絡(luò)安全技術(shù)連續(xù)性中，哪些進(jìn)展最大？

沒有比下一代安全信息和事件管理平臺(tái)或SIEM更好的地方尋求改進(jìn)了。SIEM是數(shù)據(jù)中心網(wǎng)絡(luò)安全運(yùn)營的跳動(dòng)心臟。早期的SIEM范圍有限。他們沒有收集所有相關(guān)數(shù)據(jù)，這可能是由于技術(shù)壁壘，還是因?yàn)槎▋r(jià)模型使其成本過高。對(duì)于安全事件，分析師仍將需要大量的體力勞動(dòng)。

據(jù)全球公認(rèn)的頂級(jí)白帽黑客，東方聯(lián)盟創(chuàng)始人郭盛華公開透露：“硬件問題（例如內(nèi)存損壞）看起來像是惡意軟件攻擊。相反，惡意軟件攻擊會(huì)造成硬件故障，就像密碼劫持一樣，這給設(shè)備帶來了沉重的負(fù)擔(dān)。但是有關(guān)硬件的數(shù)據(jù)和有關(guān)惡意軟件感染的數(shù)據(jù)位于兩個(gè)彼此不對(duì)話的獨(dú)立系統(tǒng)中”。

當(dāng)公司部署了下一代SIEM時(shí)，情況發(fā)生了變化。最終，它能夠?qū)踩治鋈藛T所需的所有信息集中到一處，并具有所有相關(guān)的上下文，使他們能夠在最短的時(shí)間內(nèi)做出決定。

與標(biāo)準(zhǔn)工具（如防火墻和代理）的連接大約花費(fèi)了半天的時(shí)間。但是該公司還從其他來源，知名度不高的供應(yīng)商，沒有API的工具，甚至是僅具有命令行界面的開放源代碼工具中引入了信息。郭盛華說：“波動(dòng)性是最重要的記憶取證工具之一。但是它具有命令行界面，僅輸出平面文件，絕不是任何格式的文件。”

現(xiàn)在，以前手動(dòng)過程的每個(gè)部分都已簡化和自動(dòng)化。該平臺(tái)還包括用戶友好的數(shù)據(jù)分析。分析人員仍然必須手動(dòng)執(zhí)行一個(gè)步驟，但是Devo可以篩選數(shù)百或數(shù)千個(gè)端點(diǎn)，并迅速將分析人員指向他們需要關(guān)注的端點(diǎn)。任何人都可以建立一個(gè)數(shù)據(jù)湖并獲取所有信息。

現(xiàn)在，安全分析師不必查看多個(gè)電子表格或編寫自定義腳本來創(chuàng)建儀表板，而擁有一個(gè)GUI，可以在其中切換不同類型的信息。它使您能夠獲取大量數(shù)據(jù)，并在幾秒鐘內(nèi)就可以理解它們。這就是我們的主要價(jià)值。

傳統(tǒng)SIEM缺乏的其他領(lǐng)域是用戶行為分析和自動(dòng)化，這些功能通常在單獨(dú)的平臺(tái)中找到。如今，大多數(shù)現(xiàn)代SIEM工具都具有很好的三層架構(gòu)。

Devo的下一代SIEM平臺(tái)是基于云的，但是大型云服務(wù)提供商也參與其中。Microsoft Azure，Amazon Web Services和最近的Google Cloud Platform最近都已推出了云和混合安全工具，這些工具提供了其超大規(guī)模云平臺(tái)的大規(guī)?？蓴U(kuò)展性和情報(bào)功能，并利用了他們對(duì)正在進(jìn)行的威脅的廣泛知識(shí)。

更智能的沙箱

當(dāng)陌生的應(yīng)用程序進(jìn)入公司環(huán)境時(shí)，將以三種常見方式對(duì)其進(jìn)行處理：拒絕該應(yīng)用程序，并有可能因可靠的原因而被信任的用戶啟動(dòng)而損害操作的風(fēng)險(xiǎn)；批準(zhǔn)它（如果它不引發(fā)任何防病毒標(biāo)志），并有遭受潛在攻擊的風(fēng)險(xiǎn)；讓它在稱為“沙盒”的受控環(huán)境中運(yùn)行。

對(duì)于那些資金充裕的犯罪分子很有吸引力的大公司而言，旨在通過公司防御手段溜走的自定義惡意軟件的可能性始終是威脅。公司雇用分析人員團(tuán)隊(duì)來手動(dòng)調(diào)查這些潛在的攻擊。沙盒簡化了此過程，使應(yīng)用程序在受到密切監(jiān)視的同時(shí)安全運(yùn)行。

以往世界曾爆發(fā)過很多著名的黑客大戰(zhàn)，但是目前攻擊者在發(fā)現(xiàn)沙箱方面變得越來越好，并且需要人類專業(yè)知識(shí)來分析沙箱應(yīng)用程序的行為。AI可以使沙箱對(duì)攻擊者來說更現(xiàn)實(shí)，同時(shí)還可以幫助分析應(yīng)用程序的行為。

智慧蜜罐

還有另一種檢測(cè)最確定的攻擊者的方法，它不涉及篩選大量假陰性。數(shù)據(jù)中心可以設(shè)置誘人的蜜罐，例如可能包含客戶付款信息的假數(shù)據(jù)庫。沒有合法的流量需要訪問它們，但是以某種方式進(jìn)入網(wǎng)絡(luò)的黑客將直接向他們邁進(jìn)。

至少那是他們過去所做的。最新的方法是創(chuàng)建欺騙網(wǎng)格。欺騙網(wǎng)格基本上是服務(wù)器，用戶和網(wǎng)絡(luò)的第二層虛擬層，僅對(duì)攻擊者可見，對(duì)合法用戶不可見。AI既可以用來創(chuàng)建逼真的欺騙網(wǎng)格，也可以監(jiān)視它們的攻擊。

零信任

智能還有助于使零信任成為可行的安全技術(shù)。也稱為微分段，其思想是將網(wǎng)絡(luò)劃分為微小區(qū)域，每個(gè)虛擬區(qū)域彼此隔離，只有經(jīng)過批準(zhǔn)的用戶和流量通過。

使用軟件定義邊界（零信任的核心）的安全工具還使數(shù)據(jù)中心技術(shù)人員能夠以安全的方式遠(yuǎn)程訪問關(guān)鍵數(shù)據(jù)中心管理系統(tǒng)。這一直是一個(gè)主要優(yōu)勢(shì)，但是最近幾周，當(dāng)COVID-19大流行導(dǎo)致大多數(shù)數(shù)據(jù)中心運(yùn)營商大幅削減每個(gè)站點(diǎn)的員工人數(shù)時(shí)，它已成為一項(xiàng)功能，可以挽救生命，同時(shí)幫助關(guān)鍵基礎(chǔ)設(shè)施運(yùn)行。

滲透測(cè)試更智能

歸根結(jié)底，如果數(shù)據(jù)中心運(yùn)營商無法經(jīng)受住真實(shí)測(cè)試的考驗(yàn)，或者如果他們沒有受到破壞就可以盡可能接近真實(shí)世界的測(cè)試，那么他們對(duì)任何安全策略都不會(huì)充滿信心。為此，他們通常使用滲透測(cè)試和攻擊模擬。但是這些測(cè)試既費(fèi)時(shí)又困難，并且很少有公司能夠負(fù)擔(dān)得起頻繁地進(jìn)行這些測(cè)試。

但是數(shù)據(jù)中心環(huán)境可能會(huì)快速變化。一天高度安全的數(shù)據(jù)中心第二天可能會(huì)有意外的安全漏洞。通過新的AI驅(qū)動(dòng)的自動(dòng)滲透測(cè)試，情報(bào)也在這里得到拯救。

網(wǎng)絡(luò)安全技術(shù)人員：“這種連續(xù)測(cè)試方法克服了傳統(tǒng)測(cè)試所帶來的障礙，例如時(shí)間和成本。攻擊模擬可以跨越更多流程和安全控制，而不會(huì)中斷日常業(yè)務(wù)運(yùn)營。”通過連續(xù)測(cè)試，安全團(tuán)隊(duì)可以洞悉其安全模型的日常性能。