由于人類智能在網(wǎng)絡(luò)安全中仍然至關(guān)重要,那么如何將自動化與人類的判斷和專業(yè)知識策略性地結(jié)合起來,以更有效地識別威脅和分析模式?
Rochford:在理想情況下,我們希望將盡可能多的瑣碎和重復(fù)的工作實現(xiàn)自動化,從而讓網(wǎng)絡(luò)安全專家騰出時間專注于完成高價值的任務(wù)。在需要場景或?qū)I(yè)知識的行為分析中,或者在不容易對情況進行分類時,為了確定正確的行動方案,人類的認知是不可替代的。
實際上,這可能意味著自動化子任務(wù),而不是將整個過程完全實現(xiàn)自動化,例如關(guān)聯(lián)或豐富事件數(shù)據(jù),獲取額外的取證證據(jù),或打開和注釋事件票據(jù)。關(guān)鍵是設(shè)計符合人體工程學(xué)的工作流程,其中自動化以這樣一種方式嵌入,以幫助安全分析師和其他專業(yè)安全人員專注于分析和決策,同時減少他們的認知工作量并避免場景切換。它是關(guān)于利用每個人的優(yōu)勢——能夠解析、處理、關(guān)聯(lián)和分析機器的大量數(shù)據(jù),并通過人類理解這些數(shù)據(jù)。
但是,企業(yè)越來越需要采用一種更積極的自動化策略來抵御機器的攻擊,或者在殺傷鏈的后期階段檢測攻擊,例如數(shù)據(jù)泄露。在這種情況下,人工過程可能不夠迅速。威脅行為者也在積極采用自動化技術(shù),而速度將變得越來越重要。
需要哪些關(guān)鍵元素來確保支持安全自動化的數(shù)據(jù)是可信的?
Rochford:例如,如果我們想要將威脅響應(yīng)和遏制實現(xiàn)自動化,通常只能容忍非常少量的誤報。首先,我們必須確保收集正確的數(shù)據(jù)源,并且收集的數(shù)據(jù)是可靠和一致的。然后,我們還需要一種方法來確定何時通過檢測或相關(guān)規(guī)則啟動響應(yīng),或者更常見的是使用像機器學(xué)習(xí)模型這樣的東西。準確的檢測可能需要額外的數(shù)據(jù)源,例如機器可讀的威脅情報提要,或資產(chǎn)和用戶角色場景。
所有這些數(shù)據(jù)必須以正確的格式在需要時及時提供。我們還需要進一步的決策邏輯來編排自動響應(yīng)過程,就像SOAR解決方案中的響應(yīng)劇本一樣。這個多序列過程的每一步都需要高水平的數(shù)據(jù)質(zhì)量、完整性和可靠性。尤其是在自動化某些東西的時候,“壞數(shù)據(jù)輸入,壞數(shù)據(jù)輸出”這句格言有了更直接的含義。幾乎任何事情都可以實現(xiàn)自動化,甚至是看似簡單的過程,通常會導(dǎo)致復(fù)雜的劇本,其中有許多單點故障,尤其是數(shù)據(jù)故障。
模型的可解釋性也變得越來越重要,尤其是在自動化中建立信任的時候。能夠信任用于驅(qū)動自動化的數(shù)據(jù)至關(guān)重要。人們很難相信黑盒,尤其是當誤報仍然很常見的時候。
為什么安全主管對自動化基本任務(wù)感到滿意,但對更高級的任務(wù)持保留態(tài)度?這兩個類別的區(qū)別是什么?
Rochford:我認為很難一概而論,因為對自動化的興趣和對相關(guān)風(fēng)險的容忍度取決于許多因素,包括過去的經(jīng)驗、競爭對手和同行的行為、業(yè)務(wù)壓力,以及技術(shù)成熟度和能力。更普遍的是,企業(yè)作為一個整體如何實現(xiàn)自動化是一個重要的因素。安全團隊很難在沒有企業(yè)高管支持的情況下領(lǐng)導(dǎo)文化變革。
一些因素通常會促使人們愿意實現(xiàn)安全自動化。其中一個因素是,沒有實現(xiàn)自動化的風(fēng)險是否超過了自動化出錯的風(fēng)險:如果企業(yè)在高風(fēng)險環(huán)境中開展業(yè)務(wù),那么沒有實現(xiàn)自動化時造成損害的潛在風(fēng)險可能高于基于誤報觸發(fā)自動化響應(yīng)的風(fēng)險。金融欺詐就是一個很好的例子,銀行通常會自動阻止他們發(fā)現(xiàn)可疑的交易,因為人工過程太慢了。
另一個因素是當自動化出錯的潛在損害較低時。例如,當試圖從遠程系統(tǒng)獲取不存在的文件進行取證分析時,沒有潛在的損害。
真正重要的是自動化的可靠性。例如,當今的許多威脅行為者使用的是生存技術(shù),例如使用常見的、良性的系統(tǒng)實用程序(例如PowerShell)。從檢測的角度來看,沙箱中沒有唯一可識別的特征,例如文件散列或惡意二進制文件。重要的是誰在使用這個工具。網(wǎng)絡(luò)攻擊者可能還竊取了管理員憑證,因此即使這樣也不足以準確檢測惡意行為。
同樣重要的是如何使用PowerShell。然而,這需要深入了解其他用戶通常做什么,他們通常處理哪些資產(chǎn),等等。這就是人們通常會看到無監(jiān)督機器學(xué)習(xí)被應(yīng)用于這類問題的原因,因為它有助于檢測異常,而不需要事先了解折衷指標。但這也意味著誤報很常見。這是一種權(quán)衡。
所以歸根結(jié)底就是決策邏輯的可靠性和可信度。遺憾的是,也沒有太多硬性規(guī)定。檢測到某些東西的難易程度并不總是與威脅所代表的風(fēng)險大小有關(guān)。
然后還必須考慮到,我們面對的是真正的對手,他們經(jīng)常改變攻擊方式,對我們的防御也會試圖躲避。檢測和更普遍的自動化分析都是我們只解決了一部分的難題,即使是大型語言模型也不能完全提供幫助。
在考慮更復(fù)雜的安全流程的自動化時,您認為企業(yè)會感知到哪些潛在的風(fēng)險或陷阱?
Rochford:從技術(shù)角度來看,經(jīng)過多年失敗的歷史實驗,例如反垃圾郵件過濾器和主動入侵防御系統(tǒng),假陰性和假陽性的數(shù)量和比例被認為是至關(guān)重要的。如果企業(yè)最終將節(jié)省下來的時間用于錯誤檢測的根本原因分析以及調(diào)整和優(yōu)化自動化邏輯和規(guī)則,那么自動化的投資回報率將迅速下降。特別是更復(fù)雜的安全自動化現(xiàn)在依賴于機器學(xué)習(xí)或類似的數(shù)據(jù)分析技術(shù),這可能會受到缺乏可解釋性的影響,這一事實將會進一步復(fù)雜化。
可以選擇性地只關(guān)注高度準確和可靠的自動化,但由于準確性與威脅類型無關(guān),具有高度的可變性,這將使企業(yè)在覆蓋范圍內(nèi)保持一組非常復(fù)雜的自動化和差距。這就是為自動化優(yōu)先的方法選擇正確的技術(shù)也是至關(guān)重要的原因。希望實現(xiàn)高度自動化的安全團隊最好選擇那些具有自動化功能的技術(shù),并使其能夠提高自動化程度。
許多網(wǎng)絡(luò)安全團隊似乎負擔過重,承擔著各種各樣的責任。您如何看待自動化在不損害安全性的情況下幫助緩解這個問題?
Rochford:自從黑客攻擊和確保網(wǎng)絡(luò)安全開始,我們就開始嘗試實現(xiàn)自動化,從第一個自動遠程登錄到TCP/IP端口的端口掃描儀,然后到代碼檢測。但由于缺乏數(shù)據(jù)和計算,我們一直受到阻礙。大多數(shù)自動化功能或者以隨意的方式應(yīng)用或者集成在一起。以SOAR為例。將自動化應(yīng)用于一切事物,就像將大腦和身體分開一樣有意義。雖然將一些過程實現(xiàn)自動化,但它并沒有在數(shù)據(jù)所在的位置或工作完成的位置實現(xiàn)自動化,而且它依賴于必須人工創(chuàng)建和維護的劇本。除了一些最常見的劇本,創(chuàng)建更多的劇本可能節(jié)省更多的時間。我們需要轉(zhuǎn)換一種自動化優(yōu)先的思維方式,我們需要在解決方案的每個級別都包含自動化功能,并且還需要在解決方案之間啟用自動化。
我們還需要學(xué)習(xí)如何最大限度地發(fā)揮人機合作的潛力,以及如何開發(fā)結(jié)合自動化和人類分析師優(yōu)勢的工作流程。這意味著將任務(wù)實現(xiàn)自動化,例如場景和智能豐富、將事件映射到威脅模型、預(yù)取取證數(shù)據(jù)或構(gòu)建數(shù)據(jù)可視化,所有這些都是為了讓數(shù)據(jù)變成正確的形狀,以便人類理解它并決定下一步該做什么。
我們也有一些需要學(xué)習(xí)的事情,例如,我們?nèi)绾问褂萌藱C交互的過程,使自動化更有效和安全。
最后,如果您要建議希望利用安全自動化的企業(yè),他們的主要考慮應(yīng)該是什么?他們應(yīng)該避免或特別注意什么?
Rochford:我認為最重要的是,要有策略。培養(yǎng)自動化思維需要時間和可驗證的成功。通過將日常和重復(fù)的任務(wù)實現(xiàn)自動化,從容易實現(xiàn)的目標開始,釋放網(wǎng)絡(luò)安全專家的時間,讓他們專注于高價值的活動。這也將為企業(yè)提供構(gòu)建業(yè)務(wù)案例的指標,以證明進一步自動化的合理性,并幫助說服懷疑論者。
需要從人體工程學(xué)角度考慮如何將自動化集成到工作流中,以支持安全分析師,使他們能夠?qū)W⒂诜治龊蜎Q策,同時最大限度地減少認知工作量和場景切換。
在自動化遏制的情況下,重點關(guān)注需要快速響應(yīng)的威脅,其中人工響應(yīng)可能不夠快,例如機器速度的攻擊和在殺傷鏈的后期階段檢測到的威脅。
如果企業(yè)正在使用機器學(xué)習(xí)或類似的方法來實現(xiàn)自動化,需要尋求具有良好可解釋性的解決方案,以更好地理解決策過程并建立對結(jié)果的信任。自動化的采用依賴于信任。如果用戶遇到一些錯誤警報,他們可能會開始懷疑每一個結(jié)果。
一般來說,選擇嵌入自動化功能的自動化技術(shù),并隨著企業(yè)變得更加自信和成熟而增加自動化能力。通過在定義良好的工作流中結(jié)合自動化和人工分析師的優(yōu)勢,利用人機交互的過程,嘗試最大限度地發(fā)揮人機團隊的潛力。
最后,人們要有學(xué)習(xí)的心態(tài),不斷地衡量和改進自動化過程。
