當(dāng)他們在工作中面臨海量數(shù)據(jù)時,他們也難以捉摸多樣的威脅類型和攻擊手法。如何高效處理這些不斷變化的數(shù)據(jù),如何從中最有效地提取內(nèi)容?安全自動化和基于ML的早期分流能夠減少數(shù)據(jù)量,提高工作效率,所以企業(yè)應(yīng)該如何利用這一工具呢?
眾多服務(wù),松散連接
在當(dāng)今多云解決方案的世界里,企業(yè)和其他組織發(fā)現(xiàn)自己正面臨著空前多樣的安全工具集。現(xiàn)在,安全運(yùn)營團(tuán)隊不僅需要覆蓋傳統(tǒng)數(shù)據(jù)中心和多云提供商,他們還需要管理新平臺的安全,比如容器安全、Kubernetes和OpenShift等。
取而代之的是,應(yīng)用程序正在成為一個由API調(diào)用連接的多用服務(wù)的松散耦合組合體。更復(fù)雜的是,這些服務(wù)可以位于任何地方,跨越多個云和數(shù)據(jù)中心,甚至可能不是由同一公司運(yùn)行。
所以對于安全運(yùn)營團(tuán)隊而言,數(shù)據(jù)的處理方式和“應(yīng)用”的數(shù)據(jù)流變得較難理解。此外,為了溯源多種技術(shù)導(dǎo)致的安全事件,多個部署信息需融合成同一顯示畫面。因此,將不同工具獲取的信息整合到單一的總視圖中,通過處理呈現(xiàn)企業(yè)整體的安全態(tài)勢狀況。
這就是安全自動化發(fā)揮的作用,除了呈現(xiàn)整體安全態(tài)勢狀態(tài),還可以幫助企業(yè)發(fā)現(xiàn)安全問題并順利地處理問題。做到安全自動化需要人們從多角度跟蹤事件,并將多個部署數(shù)據(jù)匯合到一張顯示圖上,還可以對互相連接的端點(diǎn)完整地進(jìn)行查看和處理,幫助了解企業(yè)整體的安全狀況。
加快威脅響應(yīng)速度
完全人工型任務(wù)時代正落下帷幕。
如今,海量的數(shù)據(jù)、變化莫測的威脅攻擊意味著人們無法在有限的時間范圍內(nèi)處理這一切,因此,基于自動化和機(jī)器學(xué)習(xí)的的早期分流可將數(shù)據(jù)量降低到人類可控的范圍內(nèi)。
IBM曾提出一種高級威脅處理評分的安全自動化解決方案。它使用多種機(jī)器學(xué)習(xí)算法分析威脅模式,并自行采取行動,提高和降低問題的優(yōu)先級,供人類分析師審查。
該領(lǐng)域的另一個關(guān)鍵因素是IT自動化和網(wǎng)絡(luò)安全之間的整合。雖然網(wǎng)絡(luò)安全不僅僅是一個IT問題,但對發(fā)現(xiàn)的問題的反應(yīng)和修復(fù)往往是屬于IT范疇。我們需要擺脫這樣一種觀念,即提出問題后就丟給IT團(tuán)隊去處理,需要主要采取措施以應(yīng)對問題。
相互聯(lián)動,自動響應(yīng)
DevSecOps中提出了持續(xù)集成和持續(xù)部署(CI/CD)的概念,結(jié)合軟件定義的網(wǎng)絡(luò)和基礎(chǔ)架構(gòu),我們企業(yè)基礎(chǔ)架構(gòu)的配置現(xiàn)在是由軟件驅(qū)動的,并且需要不斷更新。
企業(yè)使用自動化的IT配置工具,如Ansible、Jenkins或Puppet,并將其與安全編排、自動化和響應(yīng)(SOAR)工具相連接,這樣就能使用預(yù)先商定的配置更改(稱為playbook)來自動響應(yīng)。由于這些playbook必須經(jīng)過IT團(tuán)隊的預(yù)先批準(zhǔn),才能由安全運(yùn)營中心(SOC)團(tuán)隊來運(yùn)行,因此,這些信息可快速同步到每一個人那里,審計采取的措施并保持嚴(yán)格的配置控制也變得相對容易,這些準(zhǔn)備都縮短了安全事件的響應(yīng)時間。
將檢測與響應(yīng)聯(lián)系起來,有哪些優(yōu)勢?
SOC團(tuán)隊可以主動保護(hù)企業(yè),而不只是“提出問題”。
安全運(yùn)營團(tuán)隊和IT團(tuán)隊之間更好的溝通、規(guī)劃和整合。
減少IT團(tuán)隊的應(yīng)急負(fù)擔(dān)。
可以在幾分鐘內(nèi)做出事件響應(yīng),而不是幾小時或幾天。
還可以快速預(yù)防未知威脅
這種高度自動化的方法不僅縮短了響應(yīng)時間,它還為安全運(yùn)營和IT團(tuán)隊提供了更多的時間來研究這個已經(jīng)發(fā)生的問題。因?yàn)楝F(xiàn)在人們往往專注于以前沒有見過的新攻擊,而不是處理已知威脅的重復(fù)攻擊。
安全自動化需要合作發(fā)力
安全自動化需要各方的協(xié)作和努力。IT團(tuán)隊的需求必須與安全團(tuán)隊的需求保持平衡,如正常的運(yùn)行時間、可靠性和彈性等。此外,IT團(tuán)隊需要信任安全運(yùn)營團(tuán)隊,并允許他們每次都在不需要IT直接批準(zhǔn)的情況下激活改變系統(tǒng)設(shè)置響應(yīng)。兩個團(tuán)隊都需要承擔(dān)責(zé)任,了解對方的需求,才能讓安全自動化充分發(fā)揮其潛力。
企業(yè)正面臨著越來越多、越來越精細(xì)的攻擊,他們所依賴的應(yīng)用程序也變得越來越復(fù)雜。因此,攻擊檢測和響應(yīng)的自動化不再只是美好的愿望,而是企業(yè)安全的重要組成部分。
