處于壓力和緊張中的IT安全部門希望通過自動(dòng)化技術(shù)緩解來自檢測(cè)和響應(yīng)系統(tǒng)的大量警報(bào)。

網(wǎng)絡(luò)工程師Jose Arellano承認(rèn)，“我每天最棘手的工作”是保證伊利諾斯州West Aurora 129學(xué)區(qū)1.27萬名學(xué)生、1900名員工和1萬多臺(tái)連網(wǎng)設(shè)備的安全。僅有兩個(gè)人的安全部門的主要工作是讓網(wǎng)絡(luò)盡可能安全、高效地運(yùn)行，為教師和學(xué)生提供服務(wù)。在學(xué)校有限的資源和預(yù)算下，Arellano說：“我們的精力都集中在內(nèi)部網(wǎng)絡(luò)?！?/p>

然而，一場(chǎng)DDoS攻擊使該學(xué)區(qū)的網(wǎng)絡(luò)癱瘓了6個(gè)星期，他們很難找出問題所在。現(xiàn)在，他不得不把注意力從單純的預(yù)防方法轉(zhuǎn)到檢測(cè)和響應(yīng)上。他說：“這是一項(xiàng)極其困難的工作。”

越來越多的安全專家也和Arellano一樣感到沮喪，部分原因是每年報(bào)告的漏洞數(shù)量實(shí)在太多了。威脅情報(bào)公司Risk Based Security僅在2020年第一季度就記錄了近5000起新發(fā)現(xiàn)的漏洞。對(duì)于捉襟見肘的安全部門來說，很難評(píng)估這些漏洞帶來的風(fēng)險(xiǎn)。

幾乎所有參加Dimensional Research公司2020年SecOps和自動(dòng)化調(diào)查的受訪者都表示，太多的警報(bào)給安全部門帶來了問題，83%的受訪者表示，自己的部門已經(jīng)對(duì)警報(bào)麻木了。很多員工數(shù)量超過1萬人的公司每天都會(huì)收到1千多條警報(bào)。

WannaCry勒索軟件攻擊事件標(biāo)志著犯罪分子們?cè)谌虬l(fā)起了新一輪惡意軟件、勒索軟件、網(wǎng)絡(luò)釣魚等各種惡意攻擊，而且是不加選擇的攻擊各種目標(biāo)。很多企業(yè)，不管規(guī)模大小，每天都會(huì)從其監(jiān)控系統(tǒng)收到數(shù)以萬計(jì)的安全警報(bào)。例如，據(jù)研究公司Ovum的數(shù)據(jù)，大約37%的銀行每天都會(huì)收到20多萬次可能是攻擊的安全警報(bào)。

猛烈的攻擊只會(huì)讓安全部門越來越頭疼。企業(yè)不僅要對(duì)數(shù)據(jù)進(jìn)行篩選，按先后順序處理數(shù)以千計(jì)的警報(bào)，而且還要采取行動(dòng)，讓那些人手嚴(yán)重不足的網(wǎng)絡(luò)專業(yè)人員動(dòng)手開展調(diào)查。Oxford Economics公司代表ServiceNow進(jìn)行的一項(xiàng)調(diào)查顯示，81%的受訪者表示，他們擔(dān)心不能很好地解決檢測(cè)到的安全漏洞。Cybersecurity Ventures的一份報(bào)告估計(jì)，到2021年，將空缺350萬個(gè)網(wǎng)絡(luò)安全工作崗位，高于去年的100萬個(gè)。

Forrester高級(jí)分析師、安全和風(fēng)險(xiǎn)專家Joseph Blankenship說，大量新出現(xiàn)的自動(dòng)檢測(cè)和事件響應(yīng)技術(shù)雖然有所幫助，但很多企業(yè)仍不愿意讓安全實(shí)現(xiàn)自動(dòng)化。Blankenship說：“在過去，自動(dòng)化給我們帶來了問題。合法的數(shù)據(jù)流被阻斷，造成了中斷。在采取自動(dòng)化措施的過程中，如果沒有人去查看并進(jìn)行驗(yàn)證，會(huì)出現(xiàn)很多問題?！?/p>

現(xiàn)在，有的人可能又有些樂觀了。Blankenship說：“直到最近我們才開放了API，我們不僅能把數(shù)據(jù)從簡(jiǎn)單的日志數(shù)據(jù)中提取出來，而且還能推送回去。平臺(tái)之間的共享越來越多了，我們已經(jīng)創(chuàng)建了這一自動(dòng)的流程編排層，這要?dú)w功于API能夠讓我們更自由地交換數(shù)據(jù)?！?/p>

Jon Oltsik是ESG的高級(jí)首席分析師，也是該公司的網(wǎng)絡(luò)安全服務(wù)創(chuàng)始人，他說：“流程編排和自動(dòng)化有可能是不錯(cuò)的解決方案，但你真的只能淺嘗輒止，因?yàn)樗粫?huì)解決所有的問題。有時(shí)候這也意味著要改變工作流程?！?/p>

據(jù)Dimensional Research的調(diào)查，使用自動(dòng)化技術(shù)來處理警報(bào)過載的企業(yè)逐步看到了成效。雖然34%自動(dòng)化程度較低的安全部門能夠在一天內(nèi)處理大部分安全警報(bào)，而65%的安全部門報(bào)告說，他們是通過自動(dòng)化技術(shù)來處理一天內(nèi)的警報(bào)。大多數(shù)受訪者（92%）表示，自動(dòng)化是處理大量警報(bào)的最佳解決方案。

企業(yè)有大量可供選擇的自動(dòng)事件響應(yīng)解決方案，當(dāng)然不會(huì)有萬能的解決方案。三家企業(yè)分享了他們自己遇到的網(wǎng)絡(luò)安全挑戰(zhàn)和應(yīng)對(duì)策略。

管理海量的安全數(shù)據(jù)

對(duì)于完全托管服務(wù)提供商CareWorks來說，其分布在美國88個(gè)地區(qū)和6個(gè)國際地區(qū)的安全工具收集了太多的安全數(shù)據(jù)以至于很難處理，該公司首席信息官兼首席技術(shù)官Bart Murphy說：“即使我們的IT部門人員配置得很好，也很難處理這些數(shù)據(jù)。我們需想辦法以少勝多”。

Murphy開始尋找方法來收集其漏洞掃描器、安全分析軟件和端點(diǎn)解決方案中的所有數(shù)據(jù)，然后至少把一些工作流程進(jìn)行自動(dòng)化。

CareWorks已經(jīng)采用了ServiceNow的平臺(tái)即服務(wù)來實(shí)現(xiàn)企業(yè)IT運(yùn)營的自動(dòng)化。因此，在2017年3月，該公司增加了供應(yīng)商的安全運(yùn)營模塊。雖然仍然在早期應(yīng)用階段，但該公司已經(jīng)集成了Symantec、Nessus、LogRythm和Tanium等工具，目的是識(shí)別出能夠自動(dòng)化的流程。Murphy說：“我們最終會(huì)利用流程編排工具來讓流程自己去真正地應(yīng)對(duì)威脅，并返回報(bào)告?！?/p>

目前，SecOps模塊可以跟蹤與潛在或者實(shí)際的安全事件相關(guān)的所有活動(dòng)，而無需人工去查閱各種各樣的日志。目前還不能確切地知道節(jié)省了多少時(shí)間和人力?，F(xiàn)在，Murphy的目標(biāo)是“確保我們能夠盡可能地保護(hù)和預(yù)防我們所知道的”，但他說，在安全自動(dòng)化方面建立信心需要時(shí)間。

他說：“隨著時(shí)間的推移，要通過一定程度的驗(yàn)證才能適應(yīng)這種自動(dòng)化。在今后6~12個(gè)月的時(shí)間里，我并沒有不切實(shí)際地想把所有一切都實(shí)現(xiàn)自動(dòng)化。我寧愿有10個(gè)經(jīng)過深思熟慮和經(jīng)過測(cè)試的自動(dòng)化流程，而不是100個(gè)隨意的流程。確保各部門了解目標(biāo)，不要為了自動(dòng)化而自動(dòng)化。”

安全工具越少越好

對(duì)于網(wǎng)絡(luò)安全，F(xiàn)inning國際公司首席信息安全官Suzie Smibert的做法就是能簡(jiǎn)則簡(jiǎn)?？偛课挥跍馗缛A的這家公司是全球最大的Caterpillar產(chǎn)品和支持服務(wù)供應(yīng)商，Smibert也是該公司的企業(yè)架構(gòu)全球總監(jiān)，對(duì)于網(wǎng)絡(luò)響應(yīng)技術(shù)，Smibert指出，“現(xiàn)在有太多的供應(yīng)商?！?/p>

Finning每天收到成千上萬的安全警報(bào)，服務(wù)器和網(wǎng)絡(luò)覆蓋了3個(gè)地區(qū)，全球有1.3萬多名員工，每名員工都有一臺(tái)以上聯(lián)網(wǎng)的設(shè)備，所有這些因素都使得警報(bào)越來越復(fù)雜。Smibert說：“添加更多的安全工具并不能提高安全性。反而會(huì)使得情況更糟，因?yàn)槿绻捎?00種不同的安全小工具來管理復(fù)雜的環(huán)境，會(huì)帶來虛假的安全感。”更重要的是，“如果10臺(tái)設(shè)備只完成一項(xiàng)網(wǎng)絡(luò)安全功能，那么你就要付出10倍的培訓(xùn)和費(fèi)用?！?/p>

Smibert選擇少量的多功能安全工具來檢測(cè)并響應(yīng)網(wǎng)絡(luò)攻擊，這包括能夠自動(dòng)防御攻擊的網(wǎng)絡(luò)、云和端點(diǎn)相結(jié)合的安全平臺(tái)，云實(shí)現(xiàn)的端點(diǎn)防護(hù)解決方案，以及分析驅(qū)動(dòng)的SIEM。

她的部門現(xiàn)在每天能查清楚數(shù)以千計(jì)的警報(bào)，但只處理那些需要調(diào)查的——每天大約20~40個(gè)。Smibert說，好在有人手足夠的經(jīng)驗(yàn)豐富的安全專業(yè)人員來完成人工處理工作，所以她沒有急于進(jìn)行更多的流程編排和自動(dòng)化。

她說：“對(duì)于企業(yè)非常關(guān)鍵的系統(tǒng)數(shù)據(jù)和功能，我不太愿意以自動(dòng)的方式去保護(hù)它們”，特別是老應(yīng)用程序，“但并不意味著這不會(huì)發(fā)生。其中一些系統(tǒng)并不太適合進(jìn)行自動(dòng)化。如果自動(dòng)產(chǎn)生了一個(gè)誤報(bào)，或者自動(dòng)產(chǎn)生了連鎖反應(yīng)，那么其負(fù)面影響要比小規(guī)模的、可控的安全事件的影響大得多?！?/p>

網(wǎng)絡(luò)流量分析讓兩個(gè)人的部門

感覺就像200人的部門

K-12學(xué)校不像私人企業(yè)那樣有網(wǎng)絡(luò)安全工作人員和相關(guān)的預(yù)算。West Aurora 129學(xué)區(qū)轉(zhuǎn)向采用事件響應(yīng)軟件，以幫助填補(bǔ)這方面的空白。

由兩個(gè)人組成的IT部門負(fù)責(zé)管理該地區(qū)18所學(xué)校的基礎(chǔ)設(shè)施。在2016年8月開學(xué)之初，該學(xué)區(qū)的無線網(wǎng)絡(luò)崩潰了，沒有人（甚至包括該學(xué)區(qū)的ISP）能夠找到問題的根源。Arellano回憶說：“我們的設(shè)備都是思科的，但我們?nèi)狈芏喙δ?，而這些功能是可以通過固件更新（通過思科Smartnet服務(wù)）來獲得的，我們的網(wǎng)絡(luò)可見性很差。”

他說，ISP提醒我們，學(xué)區(qū)可能會(huì)成為大規(guī)模攻擊的試驗(yàn)場(chǎng)，“這讓我們感到害怕”。這個(gè)問題持續(xù)了6個(gè)多星期，直到Arellano安裝了事件響應(yīng)軟件，分析數(shù)據(jù)流，對(duì)數(shù)據(jù)進(jìn)行取證，以找出中斷的根源。

使用Plixer的網(wǎng)絡(luò)流量分析系統(tǒng)Scrutinizer，Arellano立刻看到了泛濫的DDoS警報(bào)。通過抓取數(shù)據(jù)包，他發(fā)現(xiàn)很多DNS響應(yīng)來自美國消費(fèi)者產(chǎn)品安全委員會(huì)（CPSC）。他回憶說：“我們由此確定了是哪一類攻擊?！崩肈NS反射攻擊，黑客欺騙學(xué)校的地址，并要求CPSC向?qū)W校發(fā)送大量的記錄。下一步就是去阻止它。

通過現(xiàn)在可見的時(shí)間戳和IP地址，Arellano縮小了事件范圍，只提取與事件有關(guān)的數(shù)據(jù)。所有證據(jù)指向了學(xué)校二樓的一個(gè)網(wǎng)絡(luò)教室?！拔覀冏⒁獾揭幻麑W(xué)生在刪除舊記錄。我們拿到學(xué)生的ID之后，我們挖掘出記錄，發(fā)現(xiàn)他使用一個(gè)網(wǎng)絡(luò)壓力網(wǎng)站來發(fā)動(dòng)攻擊，這個(gè)網(wǎng)站每月收費(fèi)10美元。自那以后，又阻止了兩起類似的襲擊事件。”

技術(shù)總監(jiān)Don Ringelestein說：“21世紀(jì)版本的‘拉響火警’發(fā)動(dòng)了DDoS攻擊。過去我們處于被動(dòng)的環(huán)境中，但現(xiàn)在我們要主動(dòng)多了?！彼f：“在很多情況下，我都能發(fā)現(xiàn)問題，并采用事件響應(yīng)工具，在造成破壞性之前將其阻止。”

外部安全服務(wù)提供商可以提供幫助

很多企業(yè)面對(duì)網(wǎng)絡(luò)安全威脅感到人手不足或者束手無策，他們正在尋求服務(wù)提供商的幫助，為他們提供自動(dòng)化和流程編排服務(wù)。到2020年，Gartner預(yù)測(cè)，15%的中型企業(yè)和大企業(yè)將使用托管檢測(cè)和響應(yīng)等服務(wù)，而2016年這一比例不到1%。

IDC安全戰(zhàn)略副總裁Pete Lindstrom表示：“我非常信任服務(wù)提供商，因?yàn)閷?duì)很多企業(yè)來說，每年都有一、二次這樣的事件發(fā)生。只有通過服務(wù)提供商我們才能了解風(fēng)險(xiǎn)到底在哪里?！彼f，Trustwave、FireEye和其他20多家供應(yīng)商都是如此。

有助于實(shí)現(xiàn)安全自動(dòng)化的5種機(jī)器學(xué)習(xí)技術(shù)

據(jù)ESG去年秋天進(jìn)行的一項(xiàng)調(diào)查，2/3的企業(yè)認(rèn)為安全分析和操作的自動(dòng)化是首要任務(wù)，39%的企業(yè)已經(jīng)部署了機(jī)器學(xué)習(xí)技術(shù)來幫助應(yīng)對(duì)這一挑戰(zhàn)。那么這些機(jī)器學(xué)習(xí)技術(shù)到底是什么？

1. 異常檢測(cè)

機(jī)器學(xué)習(xí)技術(shù)的一種常見用途是異常檢測(cè)。如果一家公司擁有網(wǎng)絡(luò)流量或者用戶行為的基準(zhǔn)數(shù)據(jù)集，那么機(jī)器學(xué)習(xí)可以用來發(fā)現(xiàn)不合常規(guī)的事件。例如，如果一名員工一般都是在正常工作時(shí)間工作，從工作計(jì)算機(jī)上登錄，那么下班后從國外登錄就是不正常的——而且可能是惡意的。

機(jī)器學(xué)習(xí)系統(tǒng)通常是在歷史數(shù)據(jù)集上進(jìn)行訓(xùn)練，然后去尋找任何新的或者不正常的東西。員工、網(wǎng)絡(luò)和其他系統(tǒng)會(huì)隨著時(shí)間而變化，因此，需要定期更新訓(xùn)練。然而，雖然異常檢測(cè)系統(tǒng)會(huì)報(bào)告異常事件，但它不會(huì)告訴你這些事件是否存在惡意活動(dòng)的跡象。

2. 聚類分析

另一種常見的機(jī)器學(xué)習(xí)算法是聚類分析。例如，利用規(guī)模很大的用戶行為數(shù)據(jù)集，聚類分析能確定有一組員工經(jīng)常出差并且有某些共同的行為，而另一組員工傾向于在同一個(gè)地點(diǎn)工作。

與人類相比，聚類算法能觀察到更多的各種因素和行為，并實(shí)時(shí)更新聚類。通常還是需要有人去觀察這些聚類或者異常情況，并確定究竟有什么含義：是因?yàn)楣境路较虬l(fā)展，還是因?yàn)榘l(fā)生了一些可疑的事情而導(dǎo)致出現(xiàn)了行為怪異的聚類？

3. 分類

如果有足夠大的數(shù)據(jù)集并預(yù)先劃分為不同的類別，那么，機(jī)器學(xué)習(xí)可以識(shí)別出新數(shù)據(jù)屬于哪一類別。例如，如果已經(jīng)把大量的軟件劃分為惡意軟件和合法應(yīng)用程序，那么機(jī)器學(xué)習(xí)系統(tǒng)就能判斷以前沒見過的應(yīng)用程序是不是惡意的。

隨著數(shù)據(jù)集越來越大，算法越來越智能，錯(cuò)誤率也隨之下降，這項(xiàng)技術(shù)對(duì)網(wǎng)絡(luò)安全越來越有用。同樣的技術(shù)可以應(yīng)用于各種各樣的安全難題，而不局限于對(duì)惡意軟件進(jìn)行分類。例如，如果有足夠的歷史數(shù)據(jù)表明哪些異常最終是惡意的，那么可以將分類系統(tǒng)與異常檢測(cè)系統(tǒng)結(jié)合起來，從而減少了需要安全專業(yè)人員處理的事件數(shù)量。

4. 預(yù)測(cè)

網(wǎng)絡(luò)安全情報(bào)的下一步是讓學(xué)習(xí)系統(tǒng)監(jiān)視安全專業(yè)人員怎樣處理事件。對(duì)于某一安全問題，典型的反應(yīng)是什么？

這里的難點(diǎn)是怎樣收集足夠的歷史數(shù)據(jù)來做出適當(dāng)?shù)念A(yù)測(cè)。每家公司都略有不同，即使在一家公司內(nèi)部，不同的分析師也會(huì)以不同的方式來處理問題。然而，這一領(lǐng)域不僅數(shù)據(jù)集越來越好，算法也越來越善于從數(shù)據(jù)中得出分析結(jié)果，而且供應(yīng)商也在努力從客戶數(shù)據(jù)池中創(chuàng)建匿名數(shù)據(jù)集?，F(xiàn)在，網(wǎng)絡(luò)安全平臺(tái)可以智能地預(yù)測(cè)對(duì)特定事件會(huì)有什么樣的反應(yīng)，并將其轉(zhuǎn)化為一系列建議。

5. 自動(dòng)修復(fù)

在將來的某個(gè)時(shí)候，一旦公司對(duì)所提供的建議感到足夠滿意，該技術(shù)就可以開始自動(dòng)地對(duì)那些對(duì)公司風(fēng)險(xiǎn)最低或者效益最高的建議進(jìn)行修復(fù)。要做到這一步需要時(shí)間——系統(tǒng)需要時(shí)間才能變得足夠智能，變得實(shí)用，公司也需要時(shí)間來學(xué)會(huì)信任它們。

在公司能夠自動(dòng)化其安全響應(yīng)之前，必須打好基礎(chǔ)，包括編排框架、安全規(guī)程和收集安全響應(yīng)的過程。編排允許一個(gè)安全系統(tǒng)在不同的系統(tǒng)中觸發(fā)一個(gè)操作，而不需要人登錄到各個(gè)系統(tǒng)中并手動(dòng)執(zhí)行命令。這通常是通過使用API和某種編排架構(gòu)或者平臺(tái)來實(shí)現(xiàn)的，要么完全自行開發(fā)，使用開源組件進(jìn)行組裝，要么從第三方供應(yīng)商處購買。

下一步是創(chuàng)建規(guī)程——如果發(fā)生某種事件，則執(zhí)行一系列步驟。這些規(guī)程通常是根據(jù)安全人員的專業(yè)知識(shí)和經(jīng)驗(yàn)手工編成的。通過自動(dòng)化最常見的任務(wù)，這些規(guī)程能夠立即減少工作量并加快響應(yīng)速度，同時(shí)幫助企業(yè)發(fā)現(xiàn)其集成和編排框架中的漏洞。

過渡期間

Oltsik建議，打算將事件響應(yīng)自動(dòng)化的安全領(lǐng)導(dǎo)們?cè)诮鉀Q好自己的運(yùn)營難題之前，先不要購買單點(diǎn)工具?！昂妥约旱娜苏?wù)?，找出最大的痛點(diǎn)在哪里。解決某個(gè)問題為什么需要2個(gè)小時(shí)的時(shí)間？讓員工們合作的難點(diǎn)在哪里，為什么很難得到調(diào)查取證所需的數(shù)據(jù)？從這些地方開始采用流程編排和自動(dòng)化工具。這些工作不能是強(qiáng)制性的。必須讓員工們參與進(jìn)來，每個(gè)人都朝著同一個(gè)方向努力?！?/p>

Oltsik說，只有做好自動(dòng)化準(zhǔn)備工作，結(jié)果才能唾手可得。“如果威脅情報(bào)告訴你某一IP地址或者網(wǎng)絡(luò)域有問題，而且有80%的把握，那就不應(yīng)該再分配這些地址或者網(wǎng)絡(luò)域。”

Oltsik說，下一步，花時(shí)間去進(jìn)行流程編排。假設(shè)你有了安全流程，或者花時(shí)間去梳理了與流程相關(guān)的所有任務(wù)，那你就知道怎樣應(yīng)用技術(shù)更好地做出響應(yīng)?！斑@可能需要一段時(shí)間。”

他說，應(yīng)該對(duì)任何新的自動(dòng)化或者編排流程進(jìn)行大量的檢查，這一點(diǎn)也很重要。“是不是錯(cuò)過了不應(yīng)錯(cuò)過的？下次能做得更好嗎？是不是應(yīng)該有這樣的流程，或者應(yīng)該有額外的步驟，還是遺漏了某些步驟？”

Smibert認(rèn)為，事件響應(yīng)自動(dòng)化廣泛應(yīng)用的過程與云應(yīng)用的過程相類似?！?~10年前，每個(gè)人都害怕云技術(shù)，但業(yè)界已經(jīng)證明，當(dāng)你采用一種戰(zhàn)略性的、深思熟慮的方法來使用云技術(shù)時(shí)，就會(huì)創(chuàng)造奇跡。我認(rèn)為安全自動(dòng)化也是如此。一旦業(yè)界達(dá)成共識(shí)，而且我們已經(jīng)有了成功的早期采用者，那么我們會(huì)有更多的應(yīng)用，而更多的應(yīng)用將帶來更多的創(chuàng)新。我們將看到安全自動(dòng)化就像今天的云一樣流行。”
責(zé)編AJX