信息化觀察網(wǎng)

處于壓力和緊張中的IT安全部門希望通過自動化技術(shù)緩解來自檢測和響應(yīng)系統(tǒng)的大量警報。

網(wǎng)絡(luò)工程師Jose Arellano承認(rèn)，“我每天最棘手的工作”是保證伊利諾斯州West Aurora 129學(xué)區(qū)1.27萬名學(xué)生、1900名員工和1萬多臺連網(wǎng)設(shè)備的安全。僅有兩個人的安全部門的主要工作是讓網(wǎng)絡(luò)盡可能安全、高效地運行，為教師和學(xué)生提供服務(wù)。在學(xué)校有限的資源和預(yù)算下，Arellano說：“我們的精力都集中在內(nèi)部網(wǎng)絡(luò)。”

然而，一場DDoS攻擊使該學(xué)區(qū)的網(wǎng)絡(luò)癱瘓了6個星期，他們很難找出問題所在。現(xiàn)在，他不得不把注意力從單純的預(yù)防方法轉(zhuǎn)到檢測和響應(yīng)上。他說：“這是一項極其困難的工作。”

越來越多的安全專家也和Arellano一樣感到沮喪，部分原因是每年報告的漏洞數(shù)量實在太多了。威脅情報公司Risk Based Security僅在2020年第一季度就記錄了近5000起新發(fā)現(xiàn)的漏洞。對于捉襟見肘的安全部門來說，很難評估這些漏洞帶來的風(fēng)險。

幾乎所有參加Dimensional Research公司2020年SecOps和自動化調(diào)查的受訪者都表示，太多的警報給安全部門帶來了問題，83%的受訪者表示，自己的部門已經(jīng)對警報麻木了。很多員工數(shù)量超過1萬人的公司每天都會收到1千多條警報。

WannaCry勒索軟件攻擊事件標(biāo)志著犯罪分子們在全球發(fā)起了新一輪惡意軟件、勒索軟件、網(wǎng)絡(luò)釣魚等各種惡意攻擊，而且是不加選擇的攻擊各種目標(biāo)。很多企業(yè)，不管規(guī)模大小，每天都會從其監(jiān)控系統(tǒng)收到數(shù)以萬計的安全警報。例如，據(jù)研究公司Ovum的數(shù)據(jù)，大約37%的銀行每天都會收到20多萬次可能是攻擊的安全警報。

猛烈的攻擊只會讓安全部門越來越頭疼。企業(yè)不僅要對數(shù)據(jù)進行篩選，按先后順序處理數(shù)以千計的警報，而且還要采取行動，讓那些人手嚴(yán)重不足的網(wǎng)絡(luò)專業(yè)人員動手開展調(diào)查。Oxford Economics公司代表ServiceNow進行的一項調(diào)查顯示，81％的受訪者表示，他們擔(dān)心不能很好地解決檢測到的安全漏洞。Cybersecurity Ventures的一份報告估計，到2021年，將空缺350萬個網(wǎng)絡(luò)安全工作崗位，高于去年的100萬個。

Forrester高級分析師、安全和風(fēng)險專家Joseph Blankenship說，大量新出現(xiàn)的自動檢測和事件響應(yīng)技術(shù)雖然有所幫助，但很多企業(yè)仍不愿意讓安全實現(xiàn)自動化。Blankenship說：“在過去，自動化給我們帶來了問題。合法的數(shù)據(jù)流被阻斷，造成了中斷。在采取自動化措施的過程中，如果沒有人去查看并進行驗證，會出現(xiàn)很多問題。”

現(xiàn)在，有的人可能又有些樂觀了。Blankenship說：“直到最近我們才開放了API，我們不僅能把數(shù)據(jù)從簡單的日志數(shù)據(jù)中提取出來，而且還能推送回去。平臺之間的共享越來越多了，我們已經(jīng)創(chuàng)建了這一自動的流程編排層，這要歸功于API能夠讓我們更自由地交換數(shù)據(jù)。”

Jon Oltsik是ESG的高級首席分析師，也是該公司的網(wǎng)絡(luò)安全服務(wù)創(chuàng)始人，他說：“流程編排和自動化有可能是不錯的解決方案，但你真的只能淺嘗輒止，因為它不會解決所有的問題。有時候這也意味著要改變工作流程。”

據(jù)Dimensional Research的調(diào)查，使用自動化技術(shù)來處理警報過載的企業(yè)逐步看到了成效。雖然34%自動化程度較低的安全部門能夠在一天內(nèi)處理大部分安全警報，而65%的安全部門報告說，他們是通過自動化技術(shù)來處理一天內(nèi)的警報。大多數(shù)受訪者（92%）表示，自動化是處理大量警報的最佳解決方案。

企業(yè)有大量可供選擇的自動事件響應(yīng)解決方案，當(dāng)然不會有萬能的解決方案。三家企業(yè)分享了他們自己遇到的網(wǎng)絡(luò)安全挑戰(zhàn)和應(yīng)對策略。

管理海量的安全數(shù)據(jù)

對于完全托管服務(wù)提供商CareWorks來說，其分布在美國88個地區(qū)和6個國際地區(qū)的安全工具收集了太多的安全數(shù)據(jù)以至于很難處理，該公司首席信息官兼首席技術(shù)官Bart Murphy說：“即使我們的IT部門人員配置得很好，也很難處理這些數(shù)據(jù)。我們需想辦法以少勝多”。

Murphy開始尋找方法來收集其漏洞掃描器、安全分析軟件和端點解決方案中的所有數(shù)據(jù)，然后至少把一些工作流程進行自動化。

CareWorks已經(jīng)采用了ServiceNow的平臺即服務(wù)來實現(xiàn)企業(yè)IT運營的自動化。因此，在2017年3月，該公司增加了供應(yīng)商的安全運營模塊。雖然仍然在早期應(yīng)用階段，但該公司已經(jīng)集成了Symantec、Nessus、LogRythm和Tanium等工具，目的是識別出能夠自動化的流程。Murphy說：“我們最終會利用流程編排工具來讓流程自己去真正地應(yīng)對威脅，并返回報告。”

目前，SecOps模塊可以跟蹤與潛在或者實際的安全事件相關(guān)的所有活動，而無需人工去查閱各種各樣的日志。目前還不能確切地知道節(jié)省了多少時間和人力?，F(xiàn)在，Murphy的目標(biāo)是“確保我們能夠盡可能地保護和預(yù)防我們所知道的”，但他說，在安全自動化方面建立信心需要時間。

他說：“隨著時間的推移，要通過一定程度的驗證才能適應(yīng)這種自動化。在今后6~12個月的時間里，我并沒有不切實際地想把所有一切都實現(xiàn)自動化。我寧愿有10個經(jīng)過深思熟慮和經(jīng)過測試的自動化流程，而不是100個隨意的流程。確保各部門了解目標(biāo)，不要為了自動化而自動化。”

安全工具越少越好

對于網(wǎng)絡(luò)安全，F(xiàn)inning國際公司首席信息安全官Suzie Smibert的做法就是能簡則簡?？偛课挥跍馗缛A的這家公司是全球最大的Caterpillar產(chǎn)品和支持服務(wù)供應(yīng)商，Smibert也是該公司的企業(yè)架構(gòu)全球總監(jiān)，對于網(wǎng)絡(luò)響應(yīng)技術(shù)，Smibert指出，“現(xiàn)在有太多的供應(yīng)商。”

Finning每天收到成千上萬的安全警報，服務(wù)器和網(wǎng)絡(luò)覆蓋了3個地區(qū)，全球有1.3萬多名員工，每名員工都有一臺以上聯(lián)網(wǎng)的設(shè)備，所有這些因素都使得警報越來越復(fù)雜。Smibert說：“添加更多的安全工具并不能提高安全性。反而會使得情況更糟，因為如果采用100種不同的安全小工具來管理復(fù)雜的環(huán)境，會帶來虛假的安全感。”更重要的是，“如果10臺設(shè)備只完成一項網(wǎng)絡(luò)安全功能，那么你就要付出10倍的培訓(xùn)和費用。”

Smibert選擇少量的多功能安全工具來檢測并響應(yīng)網(wǎng)絡(luò)攻擊，這包括能夠自動防御攻擊的網(wǎng)絡(luò)、云和端點相結(jié)合的安全平臺，云實現(xiàn)的端點防護解決方案，以及分析驅(qū)動的SIEM。

她的部門現(xiàn)在每天能查清楚數(shù)以千計的警報，但只處理那些需要調(diào)查的——每天大約20~40個。Smibert說，好在有人手足夠的經(jīng)驗豐富的安全專業(yè)人員來完成人工處理工作，所以她沒有急于進行更多的流程編排和自動化。

她說：“對于企業(yè)非常關(guān)鍵的系統(tǒng)數(shù)據(jù)和功能，我不太愿意以自動的方式去保護它們”，特別是老應(yīng)用程序，“但并不意味著這不會發(fā)生。其中一些系統(tǒng)并不太適合進行自動化。如果自動產(chǎn)生了一個誤報，或者自動產(chǎn)生了連鎖反應(yīng)，那么其負(fù)面影響要比小規(guī)模的、可控的安全事件的影響大得多。”

網(wǎng)絡(luò)流量分析讓兩個人的部門

感覺就像200人的部門

K-12學(xué)校不像私人企業(yè)那樣有網(wǎng)絡(luò)安全工作人員和相關(guān)的預(yù)算。West Aurora 129學(xué)區(qū)轉(zhuǎn)向采用事件響應(yīng)軟件，以幫助填補這方面的空白。

由兩個人組成的IT部門負(fù)責(zé)管理該地區(qū)18所學(xué)校的基礎(chǔ)設(shè)施。在2016年8月開學(xué)之初，該學(xué)區(qū)的無線網(wǎng)絡(luò)崩潰了，沒有人（甚至包括該學(xué)區(qū)的ISP）能夠找到問題的根源。Arellano回憶說：“我們的設(shè)備都是思科的，但我們?nèi)狈芏喙δ?，而這些功能是可以通過固件更新（通過思科Smartnet服務(wù)）來獲得的，我們的網(wǎng)絡(luò)可見性很差。”

他說，ISP提醒我們，學(xué)區(qū)可能會成為大規(guī)模攻擊的試驗場，“這讓我們感到害怕”。這個問題持續(xù)了6個多星期，直到Arellano安裝了事件響應(yīng)軟件，分析數(shù)據(jù)流，對數(shù)據(jù)進行取證，以找出中斷的根源。

使用Plixer的網(wǎng)絡(luò)流量分析系統(tǒng)Scrutinizer，Arellano立刻看到了泛濫的DDoS警報。通過抓取數(shù)據(jù)包，他發(fā)現(xiàn)很多DNS響應(yīng)來自美國消費者產(chǎn)品安全委員會（CPSC）。他回憶說：“我們由此確定了是哪一類攻擊。”利用DNS反射攻擊，黑客欺騙學(xué)校的地址，并要求CPSC向?qū)W校發(fā)送大量的記錄。下一步就是去阻止它。

通過現(xiàn)在可見的時間戳和IP地址，Arellano縮小了事件范圍，只提取與事件有關(guān)的數(shù)據(jù)。所有證據(jù)指向了學(xué)校二樓的一個網(wǎng)絡(luò)教室。“我們注意到一名學(xué)生在刪除舊記錄。我們拿到學(xué)生的ID之后，我們挖掘出記錄，發(fā)現(xiàn)他使用一個網(wǎng)絡(luò)壓力網(wǎng)站來發(fā)動攻擊，這個網(wǎng)站每月收費10美元。自那以后，又阻止了兩起類似的襲擊事件。”

技術(shù)總監(jiān)Don Ringelestein說：“21世紀(jì)版本的‘拉響火警’發(fā)動了DDoS攻擊。過去我們處于被動的環(huán)境中，但現(xiàn)在我們要主動多了。”他說：“在很多情況下，我都能發(fā)現(xiàn)問題，并采用事件響應(yīng)工具，在造成破壞性之前將其阻止。”

外部安全服務(wù)提供商可以提供幫助

很多企業(yè)面對網(wǎng)絡(luò)安全威脅感到人手不足或者束手無策，他們正在尋求服務(wù)提供商的幫助，為他們提供自動化和流程編排服務(wù)。到2020年，Gartner預(yù)測，15%的中型企業(yè)和大企業(yè)將使用托管檢測和響應(yīng)等服務(wù)，而2016年這一比例不到1%。

IDC安全戰(zhàn)略副總裁Pete Lindstrom表示：“我非常信任服務(wù)提供商，因為對很多企業(yè)來說，每年都有一、二次這樣的事件發(fā)生。只有通過服務(wù)提供商我們才能了解風(fēng)險到底在哪里。”他說，Trustwave、FireEye和其他20多家供應(yīng)商都是如此。

有助于實現(xiàn)安全自動化的5種機器學(xué)習(xí)技術(shù)

據(jù)ESG去年秋天進行的一項調(diào)查，2/3的企業(yè)認(rèn)為安全分析和操作的自動化是首要任務(wù)，39%的企業(yè)已經(jīng)部署了機器學(xué)習(xí)技術(shù)來幫助應(yīng)對這一挑戰(zhàn)。那么這些機器學(xué)習(xí)技術(shù)到底是什么？

1.異常檢測

機器學(xué)習(xí)技術(shù)的一種常見用途是異常檢測。如果一家公司擁有網(wǎng)絡(luò)流量或者用戶行為的基準(zhǔn)數(shù)據(jù)集，那么機器學(xué)習(xí)可以用來發(fā)現(xiàn)不合常規(guī)的事件。例如，如果一名員工一般都是在正常工作時間工作，從工作計算機上登錄，那么下班后從國外登錄就是不正常的——而且可能是惡意的。

機器學(xué)習(xí)系統(tǒng)通常是在歷史數(shù)據(jù)集上進行訓(xùn)練，然后去尋找任何新的或者不正常的東西。員工、網(wǎng)絡(luò)和其他系統(tǒng)會隨著時間而變化，因此，需要定期更新訓(xùn)練。然而，雖然異常檢測系統(tǒng)會報告異常事件，但它不會告訴你這些事件是否存在惡意活動的跡象。

2.聚類分析

另一種常見的機器學(xué)習(xí)算法是聚類分析。例如，利用規(guī)模很大的用戶行為數(shù)據(jù)集，聚類分析能確定有一組員工經(jīng)常出差并且有某些共同的行為，而另一組員工傾向于在同一個地點工作。

與人類相比，聚類算法能觀察到更多的各種因素和行為，并實時更新聚類。通常還是需要有人去觀察這些聚類或者異常情況，并確定究竟有什么含義：是因為公司朝著新方向發(fā)展，還是因為發(fā)生了一些可疑的事情而導(dǎo)致出現(xiàn)了行為怪異的聚類？

3.分類

如果有足夠大的數(shù)據(jù)集并預(yù)先劃分為不同的類別，那么，機器學(xué)習(xí)可以識別出新數(shù)據(jù)屬于哪一類別。例如，如果已經(jīng)把大量的軟件劃分為惡意軟件和合法應(yīng)用程序，那么機器學(xué)習(xí)系統(tǒng)就能判斷以前沒見過的應(yīng)用程序是不是惡意的。

隨著數(shù)據(jù)集越來越大，算法越來越智能，錯誤率也隨之下降，這項技術(shù)對網(wǎng)絡(luò)安全越來越有用。同樣的技術(shù)可以應(yīng)用于各種各樣的安全難題，而不局限于對惡意軟件進行分類。例如，如果有足夠的歷史數(shù)據(jù)表明哪些異常最終是惡意的，那么可以將分類系統(tǒng)與異常檢測系統(tǒng)結(jié)合起來，從而減少了需要安全專業(yè)人員處理的事件數(shù)量。

4.預(yù)測

網(wǎng)絡(luò)安全情報的下一步是讓學(xué)習(xí)系統(tǒng)監(jiān)視安全專業(yè)人員怎樣處理事件。對于某一安全問題，典型的反應(yīng)是什么？

這里的難點是怎樣收集足夠的歷史數(shù)據(jù)來做出適當(dāng)?shù)念A(yù)測。每家公司都略有不同，即使在一家公司內(nèi)部，不同的分析師也會以不同的方式來處理問題。然而，這一領(lǐng)域不僅數(shù)據(jù)集越來越好，算法也越來越善于從數(shù)據(jù)中得出分析結(jié)果，而且供應(yīng)商也在努力從客戶數(shù)據(jù)池中創(chuàng)建匿名數(shù)據(jù)集?，F(xiàn)在，網(wǎng)絡(luò)安全平臺可以智能地預(yù)測對特定事件會有什么樣的反應(yīng)，并將其轉(zhuǎn)化為一系列建議。

5.自動修復(fù)

在將來的某個時候，一旦公司對所提供的建議感到足夠滿意，該技術(shù)就可以開始自動地對那些對公司風(fēng)險最低或者效益最高的建議進行修復(fù)。要做到這一步需要時間——系統(tǒng)需要時間才能變得足夠智能，變得實用，公司也需要時間來學(xué)會信任它們。

在公司能夠自動化其安全響應(yīng)之前，必須打好基礎(chǔ)，包括編排框架、安全規(guī)程和收集安全響應(yīng)的過程。編排允許一個安全系統(tǒng)在不同的系統(tǒng)中觸發(fā)一個操作，而不需要人登錄到各個系統(tǒng)中并手動執(zhí)行命令。這通常是通過使用API和某種編排架構(gòu)或者平臺來實現(xiàn)的，要么完全自行開發(fā)，使用開源組件進行組裝，要么從第三方供應(yīng)商處購買。

下一步是創(chuàng)建規(guī)程——如果發(fā)生某種事件，則執(zhí)行一系列步驟。這些規(guī)程通常是根據(jù)安全人員的專業(yè)知識和經(jīng)驗手工編成的。通過自動化最常見的任務(wù)，這些規(guī)程能夠立即減少工作量并加快響應(yīng)速度，同時幫助企業(yè)發(fā)現(xiàn)其集成和編排框架中的漏洞。

過渡期間

Oltsik建議，打算將事件響應(yīng)自動化的安全領(lǐng)導(dǎo)們在解決好自己的運營難題之前，先不要購買單點工具。“和自己的人談?wù)劊页鲎畲蟮耐袋c在哪里。解決某個問題為什么需要2個小時的時間？讓員工們合作的難點在哪里，為什么很難得到調(diào)查取證所需的數(shù)據(jù)？從這些地方開始采用流程編排和自動化工具。這些工作不能是強制性的。必須讓員工們參與進來，每個人都朝著同一個方向努力。”

Oltsik說，只有做好自動化準(zhǔn)備工作，結(jié)果才能唾手可得。“如果威脅情報告訴你某一IP地址或者網(wǎng)絡(luò)域有問題，而且有80%的把握，那就不應(yīng)該再分配這些地址或者網(wǎng)絡(luò)域。”

Oltsik說，下一步，花時間去進行流程編排。假設(shè)你有了安全流程，或者花時間去梳理了與流程相關(guān)的所有任務(wù)，那你就知道怎樣應(yīng)用技術(shù)更好地做出響應(yīng)。“這可能需要一段時間。”

他說，應(yīng)該對任何新的自動化或者編排流程進行大量的檢查，這一點也很重要。“是不是錯過了不應(yīng)錯過的？下次能做得更好嗎？是不是應(yīng)該有這樣的流程，或者應(yīng)該有額外的步驟，還是遺漏了某些步驟？”

Smibert認(rèn)為，事件響應(yīng)自動化廣泛應(yīng)用的過程與云應(yīng)用的過程相類似。“5~10年前，每個人都害怕云技術(shù)，但業(yè)界已經(jīng)證明，當(dāng)你采用一種戰(zhàn)略性的、深思熟慮的方法來使用云技術(shù)時，就會創(chuàng)造奇跡。我認(rèn)為安全自動化也是如此。一旦業(yè)界達成共識，而且我們已經(jīng)有了成功的早期采用者，那么我們會有更多的應(yīng)用，而更多的應(yīng)用將帶來更多的創(chuàng)新。我們將看到安全自動化就像今天的云一樣流行。”

作者：Stacy Collett是《計算機世界》、CSO和《網(wǎng)絡(luò)世界》的特約撰稿人，他的文章涉及各種安全和風(fēng)險問題。Maria Korolov過去20年一直涉足新興技術(shù)和新興市場。她曾對俄羅斯、印度和阿富汗進行報道，在中國的新聞機構(gòu)工作了五年之后，最近回到了美國。

編譯：Charles

原文網(wǎng)址：https://www.csoonline.com/article/3245171/

keeping-pace-with-security-automation.html