自動(dòng)化網(wǎng)絡(luò)安全防御可快速、準(zhǔn)確地識(shí)別并響應(yīng)威脅,前景十分誘人。波耐蒙研究所的調(diào)查研究發(fā)現(xiàn),數(shù)據(jù)泄露事件的平均成本已高達(dá)386萬(wàn)美元,平均檢測(cè)和控制時(shí)間也固定在280天之久,絲毫不見縮短。可以說,企業(yè)對(duì)任何能夠降低這些數(shù)字的系統(tǒng)都翹首以待。于是,人工智能(AI)和其他自動(dòng)化防御技術(shù)的快速普及也就不足為奇了。
網(wǎng)絡(luò)罪犯和其他黑客也可以使用同樣的技術(shù),或者操縱企業(yè)采用的自動(dòng)化系統(tǒng)。由于這些技術(shù)并不成熟,或者普通IT部門對(duì)之不甚了解,也留下了錯(cuò)誤配置和重疊系統(tǒng)間相互沖突的可能性。
不切實(shí)際的期望
網(wǎng)絡(luò)安全的每一個(gè)新興趨勢(shì)都伴隨著炒作。自動(dòng)化防御技術(shù)浪潮被吹噓為應(yīng)對(duì)安全人才短缺和攻擊不斷升級(jí)的良藥。安全編排、自動(dòng)化與響應(yīng)(SOAR)、擴(kuò)展檢測(cè)與響應(yīng)(XDR)和用戶及實(shí)體行為分析(UEBA)便是這股浪潮的風(fēng)口浪尖。但問題是,這些技術(shù)的功能有時(shí)候被夸大了,而其引入的問題可能會(huì)多過好處。
大多數(shù)企業(yè)的規(guī)模和復(fù)雜程度增加了技術(shù)采用的難度。想要收獲自動(dòng)化系統(tǒng)的種種好處,離不開適當(dāng)?shù)囊?guī)劃和兼容的基礎(chǔ)設(shè)施。而且,企業(yè)還存在將這些新技術(shù)“物盡其用”的危險(xiǎn)想法,不管適不適用都想用上一把,尤其是在做出大筆投資之后。
盡管長(zhǎng)期來講這些新技術(shù)可以節(jié)約成本,但短期內(nèi)自動(dòng)化系統(tǒng)的恰當(dāng)集成和管理可能反而會(huì)增加成本。不切實(shí)際的期望和自滿有可能引發(fā)災(zāi)難。
缺乏了解
自動(dòng)化網(wǎng)絡(luò)安全賽道十分擁擠。360ResearchReports的報(bào)告顯示,SOAR市場(chǎng)增長(zhǎng)迅速,預(yù)計(jì)2026年市場(chǎng)規(guī)模將達(dá)13億美元,遠(yuǎn)超今年的7.21億美元。市場(chǎng)領(lǐng)導(dǎo)者天然想要保護(hù)他們的知識(shí)產(chǎn)權(quán)。很多機(jī)器學(xué)習(xí)系統(tǒng)也依賴黑箱模式,幾乎無法窺探此類產(chǎn)品的內(nèi)部工作機(jī)制。
如果連供應(yīng)商都不了解決策是怎么做出的,其客戶又從何得知呢?
對(duì)未經(jīng)證明的自治系統(tǒng)賦予如此信任是極具風(fēng)險(xiǎn)的。更糟的是,自治系統(tǒng)還會(huì)產(chǎn)生連鎖反應(yīng),擠占企業(yè)人才的生存空間。隨著自治系統(tǒng)頂著可填補(bǔ)人才缺口的期望接管工程師的工作,人才招聘將變得越來越少,員工培訓(xùn)的意愿也會(huì)下降。
數(shù)據(jù)集中毒
信任自動(dòng)化系統(tǒng)的幾大危險(xiǎn)之一,是自動(dòng)化系統(tǒng)可能遭到黑客篡改。遭攻擊的企業(yè)根本無法得知系統(tǒng)是否被篡改。用經(jīng)篡改的數(shù)據(jù)集給自動(dòng)化系統(tǒng)下毒太容易不過。數(shù)據(jù)集中毒可能會(huì)令機(jī)器學(xué)習(xí)算法隨時(shí)間推移發(fā)生危險(xiǎn)的扭曲,或者導(dǎo)致無辜流量在短期內(nèi)被標(biāo)記為異常。攻擊者未必需要欺騙系統(tǒng),他們只需要使之超載即可突然關(guān)停服務(wù)或網(wǎng)絡(luò),讓所有人都不得其門而入。
即使沒有惡意黑客的暗中謀劃,一些自動(dòng)化防御技術(shù)也可能與公司網(wǎng)絡(luò)上的其他工具和系統(tǒng)發(fā)生沖突。以感染導(dǎo)致人體發(fā)燒為例。免疫系統(tǒng)升高體溫,試圖殺死侵入人體的細(xì)菌,但在極端情況下,發(fā)熱可能導(dǎo)致失能甚或死亡。
怎樣合理采用
盡管存在風(fēng)險(xiǎn),自動(dòng)化網(wǎng)絡(luò)安全防御技術(shù)也代表著真實(shí)的機(jī)會(huì)。但如何采用卻必須小心謹(jǐn)慎。采用自動(dòng)化網(wǎng)絡(luò)安全防御技術(shù)必須經(jīng)過周密的計(jì)劃,設(shè)置合理的期待值,并確保公司有內(nèi)部人才可以正確配置和詮釋自動(dòng)化系統(tǒng)。
我們有必要評(píng)估這些系統(tǒng)的自治程度,并限制其在無人監(jiān)督情況下關(guān)停服務(wù)的能力。信任建立必須緩慢而謹(jǐn)慎。應(yīng)仔細(xì)審查自動(dòng)化防御的依賴源,找到可以持續(xù)監(jiān)測(cè)數(shù)據(jù)集的方法,防止中毒攻擊嘗試。
制定事件響應(yīng)計(jì)劃可以緩解風(fēng)險(xiǎn),滿足各種自動(dòng)化系統(tǒng)故障的場(chǎng)景。排演這些響應(yīng)計(jì)劃并按需做出調(diào)整,這樣可以確保計(jì)劃有效。實(shí)施嚴(yán)格的測(cè)試和變更管理以減少對(duì)任何自動(dòng)化系統(tǒng)的過度依賴也是明智之舉。
毫無疑問,自動(dòng)化網(wǎng)絡(luò)安全防御將發(fā)揮越來越重要的作用,但我們必須忍住倉(cāng)促上馬的誘惑。想要充分發(fā)揮這項(xiàng)新興技術(shù)的效用,就要選擇經(jīng)過深思熟慮的策略而非盲目信任,并且要適當(dāng)調(diào)整自己對(duì)這項(xiàng)技術(shù)的期待值。
