4000-110-253
安全自動化:企業威脅防禦的未來(lái). 2021-03-05
“工欲善其事必先利其器(qì)”,自動化工具和(hé)機器(qì)學習(ML)對于網絡安全專家(jiā)而言,正是此理(lǐ)。
當他們在工作(zuò)中面臨海量數(shù)據時(shí),他們也難以捉摸多(duō)樣的威脅類型和(hé)攻擊手法。如何高(gāo)效處理(lǐ)這些(xiē)不斷變化的數(shù)據,如何從中最有(yǒu)效地提取內(nèi)容?安全自動化和(hé)基于ML的早期分流能夠減少(shǎo)數(shù)據量,提高(gāo)工作(zuò)效率,所以企業應該如何利用這一工具呢?
衆多(duō)服務,松散連接
在當今多(duō)雲解決方案的世界裏,企業和(hé)其他組織發現自己正面臨着空(kōng)前多(duō)樣的安全工具集。現在,安全運營團隊不僅需要覆蓋傳統數(shù)據中心和(hé)多(duō)雲提供商,他們還(hái)需要管理(lǐ)新平台的安全,比如容器(qì)安全、Kubernetes和(hé)OpenShift等。
取而代之的是,應用程序正在成為(wèi)一個(gè)由API調用連接的多(duō)用服務的松散耦合組合體(tǐ)。更複雜的是,這些(xiē)服務可(kě)以位于任何地方,跨越多(duō)個(gè)雲和(hé)數(shù)據中心,甚至可(kě)能不是由同一公司運行(xíng)。
所以對于安全運營團隊而言,數(shù)據的處理(lǐ)方式和(hé)“應用”的數(shù)據流變得(de)較難理(lǐ)解。此外,為(wèi)了溯源多(duō)種技(jì)術(shù)導緻的安全事件,多(duō)個(gè)部署信息需融合成同一顯示畫(huà)面。因此,将不同工具獲取的信息整合到單一的總視(shì)圖中,通(tōng)過處理(lǐ)呈現企業整體(tǐ)的安全态勢狀況。
這就是安全自動化發揮的作(zuò)用,除了呈現整體(tǐ)安全态勢狀态,還(hái)可(kě)以幫助企業發現安全問題并順利地處理(lǐ)問題。做(zuò)到安全自動化需要人(rén)們從多(duō)角度跟蹤事件,并将多(duō)個(gè)部署數(shù)據彙合到一張顯示圖上(shàng),還(hái)可(kě)以對互相連接的端點完整地進行(xíng)查看和(hé)處理(lǐ),幫助了解企業整體(tǐ)的安全狀況。
加快威脅響應速度
完全人(rén)工型任務時(shí)代正落下帷幕。
如今,海量的數(shù)據、變化莫測的威脅攻擊意味着人(rén)們無法在有(yǒu)限的時(shí)間(jiān)範圍內(nèi)處理(lǐ)這一切,因此,基于自動化和(hé)機器(qì)學習的的早期分流可(kě)将數(shù)據量降低(dī)到人(rén)類可(kě)控的範圍內(nèi)。
IBM曾提出一種高(gāo)級威脅處理(lǐ)評分的安全自動化解決方案。它使用多(duō)種機器(qì)學習算(suàn)法分析威脅模式,并自行(xíng)采取行(xíng)動,提高(gāo)和(hé)降低(dī)問題的優先級,供人(rén)類分析師(shī)審查。
該領域的另一個(gè)關鍵因素是IT自動化和(hé)網絡安全之間(jiān)的整合。雖然網絡安全不僅僅是一個(gè)IT問題,但(dàn)對發現的問題的反應和(hé)修複往往是屬于IT範疇。我們需要擺脫這樣一種觀念,即提出問題後就丢給IT團隊去處理(lǐ),需要主要采取措施以應對問題。
相互聯動,自動響應
DevSecOps中提出了持續集成和(hé)持續部署(CI/CD)的概念,結合軟件定義的網絡和(hé)基礎架構,我們企業基礎架構的配置現在是由軟件驅動的,并且需要不斷更新。
企業使用自動化的IT配置工具,如Ansible、Jenkins或Puppet,并将其與安全編排、自動化和(hé)響應(SOAR)工具相連接,這樣就能使用預先商定的配置更改(稱為(wèi)playbook)來(lái)自動響應。由于這些(xiē)playbook必須經過IT團隊的預先批準,才能由安全運營中心(SOC)團隊來(lái)運行(xíng),因此,這些(xiē)信息可(kě)快速同步到每一個(gè)人(rén)那(nà)裏,審計(jì)采取的措施并保持嚴格的配置控制(zhì)也變得(de)相對容易,這些(xiē)準備都縮短(duǎn)了安全事件的響應時(shí)間(jiān)。
将檢測與響應聯系起來(lái),有(yǒu)哪些(xiē)優勢?
SOC團隊可(kě)以主動保護企業,而不隻是“提出問題”。
安全運營團隊和(hé)IT團隊之間(jiān)更好的溝通(tōng)、規劃和(hé)整合。
減少(shǎo)IT團隊的應急負擔。
可(kě)以在幾分鍾內(nèi)做(zuò)出事件響應,而不是幾小(xiǎo)時(shí)或幾天。
還(hái)可(kě)以快速預防未知威脅
這種高(gāo)度自動化的方法不僅縮短(duǎn)了響應時(shí)間(jiān),它還(hái)為(wèi)安全運營和(hé)IT團隊提供了更多(duō)的時(shí)間(jiān)來(lái)研究這個(gè)已經發生(shēng)的問題。因為(wèi)現在人(rén)們往往專注于以前沒有(yǒu)見過的新攻擊,而不是處理(lǐ)已知威脅的重複攻擊。
安全自動化需要合作(zuò)發力
安全自動化需要各方的協作(zuò)和(hé)努力。IT團隊的需求必須與安全團隊的需求保持平衡,如正常的運行(xíng)時(shí)間(jiān)、可(kě)靠性和(hé)彈性等。此外,IT團隊需要信任安全運營團隊,并允許他們每次都在不需要IT直接批準的情況下激活改變系統設置響應。兩個(gè)團隊都需要承擔責任,了解對方的需求,才能讓安全自動化充分發揮其潛力。
企業正面臨着越來(lái)越多(duō)、越來(lái)越精細的攻擊,他們所依賴的應用程序也變得(de)越來(lái)越複雜。因此,攻擊檢測和(hé)響應的自動化不再隻是美好的願望,而是企業安全的重要組成部分。
轉自freebuf/Sandra1432
參考來(lái)源https://securityintelligence.com/posts/security-automation-enterprise-defense/
