當(dāng)他們?cè)诠ぷ髦忻媾R海量數(shù)據(jù)時(shí),他們也難以捉摸多樣的威脅類型和攻擊手法。如何高效處理這些不斷變化的數(shù)據(jù),如何從中最有效地提取內(nèi)容?安全自動(dòng)化和基于ML的早期分流能夠減少數(shù)據(jù)量,提高工作效率,所以企業(yè)應(yīng)該如何利用這一工具呢?
眾多服務(wù),松散連接
在當(dāng)今多云解決方案的世界里,企業(yè)和其他組織發(fā)現(xiàn)自己正面臨著空前多樣的安全工具集。現(xiàn)在,安全運(yùn)營(yíng)團(tuán)隊(duì)不僅需要覆蓋傳統(tǒng)數(shù)據(jù)中心和多云提供商,他們還需要管理新平臺(tái)的安全,比如容器安全、Kubernetes和OpenShift等。
取而代之的是,應(yīng)用程序正在成為一個(gè)由API調(diào)用連接的多用服務(wù)的松散耦合組合體。更復(fù)雜的是,這些服務(wù)可以位于任何地方,跨越多個(gè)云和數(shù)據(jù)中心,甚至可能不是由同一公司運(yùn)行。
所以對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)而言,數(shù)據(jù)的處理方式和“應(yīng)用”的數(shù)據(jù)流變得較難理解。此外,為了溯源多種技術(shù)導(dǎo)致的安全事件,多個(gè)部署信息需融合成同一顯示畫面。因此,將不同工具獲取的信息整合到單一的總視圖中,通過(guò)處理呈現(xiàn)企業(yè)整體的安全態(tài)勢(shì)狀況。
這就是安全自動(dòng)化發(fā)揮的作用,除了呈現(xiàn)整體安全態(tài)勢(shì)狀態(tài),還可以幫助企業(yè)發(fā)現(xiàn)安全問(wèn)題并順利地處理問(wèn)題。做到安全自動(dòng)化需要人們從多角度跟蹤事件,并將多個(gè)部署數(shù)據(jù)匯合到一張顯示圖上,還可以對(duì)互相連接的端點(diǎn)完整地進(jìn)行查看和處理,幫助了解企業(yè)整體的安全狀況。
加快威脅響應(yīng)速度
完全人工型任務(wù)時(shí)代正落下帷幕。
如今,海量的數(shù)據(jù)、變化莫測(cè)的威脅攻擊意味著人們無(wú)法在有限的時(shí)間范圍內(nèi)處理這一切,因此,基于自動(dòng)化和機(jī)器學(xué)習(xí)的的早期分流可將數(shù)據(jù)量降低到人類可控的范圍內(nèi)。
IBM曾提出一種高級(jí)威脅處理評(píng)分的安全自動(dòng)化解決方案。它使用多種機(jī)器學(xué)習(xí)算法分析威脅模式,并自行采取行動(dòng),提高和降低問(wèn)題的優(yōu)先級(jí),供人類分析師審查。
該領(lǐng)域的另一個(gè)關(guān)鍵因素是IT自動(dòng)化和網(wǎng)絡(luò)安全之間的整合。雖然網(wǎng)絡(luò)安全不僅僅是一個(gè)IT問(wèn)題,但對(duì)發(fā)現(xiàn)的問(wèn)題的反應(yīng)和修復(fù)往往是屬于IT范疇。我們需要擺脫這樣一種觀念,即提出問(wèn)題后就丟給IT團(tuán)隊(duì)去處理,需要主要采取措施以應(yīng)對(duì)問(wèn)題。
相互聯(lián)動(dòng),自動(dòng)響應(yīng)
DevSecOps中提出了持續(xù)集成和持續(xù)部署(CI/CD)的概念,結(jié)合軟件定義的網(wǎng)絡(luò)和基礎(chǔ)架構(gòu),我們企業(yè)基礎(chǔ)架構(gòu)的配置現(xiàn)在是由軟件驅(qū)動(dòng)的,并且需要不斷更新。
企業(yè)使用自動(dòng)化的IT配置工具,如Ansible、Jenkins或Puppet,并將其與安全編排、自動(dòng)化和響應(yīng)(SOAR)工具相連接,這樣就能使用預(yù)先商定的配置更改(稱為playbook)來(lái)自動(dòng)響應(yīng)。由于這些playbook必須經(jīng)過(guò)IT團(tuán)隊(duì)的預(yù)先批準(zhǔn),才能由安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)來(lái)運(yùn)行,因此,這些信息可快速同步到每一個(gè)人那里,審計(jì)采取的措施并保持嚴(yán)格的配置控制也變得相對(duì)容易,這些準(zhǔn)備都縮短了安全事件的響應(yīng)時(shí)間。
將檢測(cè)與響應(yīng)聯(lián)系起來(lái),有哪些優(yōu)勢(shì)?
SOC團(tuán)隊(duì)可以主動(dòng)保護(hù)企業(yè),而不只是“提出問(wèn)題”。
安全運(yùn)營(yíng)團(tuán)隊(duì)和IT團(tuán)隊(duì)之間更好的溝通、規(guī)劃和整合。
減少IT團(tuán)隊(duì)的應(yīng)急負(fù)擔(dān)。
可以在幾分鐘內(nèi)做出事件響應(yīng),而不是幾小時(shí)或幾天。
還可以快速預(yù)防未知威脅
這種高度自動(dòng)化的方法不僅縮短了響應(yīng)時(shí)間,它還為安全運(yùn)營(yíng)和IT團(tuán)隊(duì)提供了更多的時(shí)間來(lái)研究這個(gè)已經(jīng)發(fā)生的問(wèn)題。因?yàn)楝F(xiàn)在人們往往專注于以前沒(méi)有見(jiàn)過(guò)的新攻擊,而不是處理已知威脅的重復(fù)攻擊。
安全自動(dòng)化需要合作發(fā)力
安全自動(dòng)化需要各方的協(xié)作和努力。IT團(tuán)隊(duì)的需求必須與安全團(tuán)隊(duì)的需求保持平衡,如正常的運(yùn)行時(shí)間、可靠性和彈性等。此外,IT團(tuán)隊(duì)需要信任安全運(yùn)營(yíng)團(tuán)隊(duì),并允許他們每次都在不需要IT直接批準(zhǔn)的情況下激活改變系統(tǒng)設(shè)置響應(yīng)。兩個(gè)團(tuán)隊(duì)都需要承擔(dān)責(zé)任,了解對(duì)方的需求,才能讓安全自動(dòng)化充分發(fā)揮其潛力。
企業(yè)正面臨著越來(lái)越多、越來(lái)越精細(xì)的攻擊,他們所依賴的應(yīng)用程序也變得越來(lái)越復(fù)雜。因此,攻擊檢測(cè)和響應(yīng)的自動(dòng)化不再只是美好的愿望,而是企業(yè)安全的重要組成部分。
