網(wǎng)絡(luò)威脅的發(fā)展超過了安全團(tuán)隊(duì)的適應(yīng)速度。來自數(shù)十個安全產(chǎn)品的海量數(shù)據(jù)也超過了安全團(tuán)隊(duì)的處理能力。而且預(yù)算和人才短缺也限制了安全團(tuán)隊(duì)的快速發(fā)展。
問題是,網(wǎng)絡(luò)安全團(tuán)隊(duì)如何在處理日益復(fù)雜的攻擊矢量的同時,提升擴(kuò)展能力,并將數(shù)據(jù)泄露的風(fēng)險(xiǎn)降至最低?
答案就是自動化。
自動化與安全
根據(jù)Radware的2017-2018年全球應(yīng)用及網(wǎng)絡(luò)安全報(bào)告,80%的企業(yè)稱,在2017年曾遭遇了某種形式的基于網(wǎng)絡(luò)或應(yīng)用的網(wǎng)絡(luò)攻擊。該報(bào)告還指出,2017年,零日惡意軟件、僵尸網(wǎng)絡(luò)和脈沖式攻擊的使用也有大幅增加,這些都是自動化攻擊矢量。
數(shù)字是不會說謊的。網(wǎng)絡(luò)犯罪分子越來越精明,他們的攻擊也越來越自動化。此外,隨著自動化網(wǎng)絡(luò)攻擊的出現(xiàn),在保護(hù)敏感數(shù)據(jù)安全時,基于速率或手動調(diào)整的防護(hù)措施等傳統(tǒng)的DDoS緩解方法明顯都已過時。
現(xiàn)在,IT企業(yè)面臨著高級持續(xù)性威脅,這些威脅不是由人類發(fā)起的,而是自動化的機(jī)器人程序。安全人員無法應(yīng)對這些持續(xù)不斷的猛烈攻擊,也無法跟上即將到來的海量威脅容量。利用基于規(guī)則的事件關(guān)聯(lián)的老舊DDoS緩解解決方案在24小時內(nèi)就可以生成數(shù)千條警報(bào)。情況好的時候,一個SOC也只能調(diào)查其中的約100個。
此外,他們也無法快速有效地做出手動處理這些攻擊的決策。研究表明,現(xiàn)在在某些情況下,機(jī)器學(xué)習(xí)僵尸網(wǎng)絡(luò)能夠掃描網(wǎng)絡(luò)中的漏洞,并在20秒內(nèi)成功突破其防御系統(tǒng)。
這就是自動化成為網(wǎng)絡(luò)安全中強(qiáng)有力組成部分的原因。為了對抗即將到來的威脅的沖擊,企業(yè)必須雇傭一支實(shí)力和老練程度相當(dāng)?shù)膱F(tuán)隊(duì)。
攻擊者如何利用自動化
網(wǎng)絡(luò)犯罪分子將自動化和機(jī)器學(xué)習(xí)作為武器,創(chuàng)建了越來越難以捉摸的攻擊矢量,同時,物聯(lián)網(wǎng)(IoT)也已被證實(shí)是推動這一趨勢的催化劑。IoT是許多新型自動化機(jī)器人程序和惡意軟件的發(fā)源地。
最重要的就是越來越復(fù)雜的僵尸網(wǎng)絡(luò),已經(jīng)成為在企業(yè)網(wǎng)絡(luò)中胡作非為的高度自動化且致命的數(shù)字軍隊(duì)。例如,在發(fā)動攻擊之前,黑客已經(jīng)可以利用僵尸網(wǎng)絡(luò)進(jìn)行早期的漏洞利用和網(wǎng)絡(luò)偵察。
因應(yīng)用在2016年針對DNS提供商Dyn的攻擊中而聞名的Mirai僵尸網(wǎng)絡(luò)及其后續(xù)的變體,也體現(xiàn)了其中的許多特征。該僵尸網(wǎng)絡(luò)利用了臭名昭著的水刑攻擊,可以在DNS基礎(chǔ)架構(gòu)上生成隨機(jī)域名。隨后出現(xiàn)的變體采用了自動化,使得惡意軟件可以實(shí)時生成惡意查詢。
現(xiàn)代惡意軟件是一個同樣復(fù)雜的多矢量網(wǎng)絡(luò)攻擊武器,可以利用一系列規(guī)避工具和偽裝技術(shù)躲避檢測措施。黑客可以利用機(jī)器學(xué)習(xí)創(chuàng)建能夠擊敗惡意軟件防御系統(tǒng)的自定義惡意軟件。其中一個例子,是可以繞過黑箱機(jī)器學(xué)習(xí)模型的生成式對抗網(wǎng)絡(luò)算法。在另一個例子中,一家網(wǎng)絡(luò)安全公司采用了Elon Musk的OpenAI框架,創(chuàng)建一些緩解解決方案無法檢測到的惡意軟件。
檢測和緩解措施自動化
因此,網(wǎng)絡(luò)安全團(tuán)隊(duì)該如何提高其處理這些日益多樣化的網(wǎng)絡(luò)攻擊的能力呢?并以以其人之道還治其人之身。自動化網(wǎng)絡(luò)安全解決方案就提供了可以緩解這些高級威脅的數(shù)據(jù)處理能力。
高管清楚地了解這一點(diǎn),并準(zhǔn)備利用自動化的優(yōu)勢。根據(jù)Radware的最高管理層視角:網(wǎng)絡(luò)攻擊趨勢、安全威脅及業(yè)務(wù)影響報(bào)告,大多數(shù)高管(71%)稱,他們將更多的網(wǎng)絡(luò)安全預(yù)算轉(zhuǎn)移到了采用機(jī)器學(xué)習(xí)和自動化的技術(shù)上。保護(hù)日益多樣化的基礎(chǔ)架構(gòu)的需求、網(wǎng)絡(luò)安全人才的短缺以及越來越危險(xiǎn)的網(wǎng)絡(luò)威脅都是造成這一財(cái)政政策轉(zhuǎn)變的主要因素。
此外,信任因素也在增加。該報(bào)告指出,在保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊侵?jǐn)_時,與人工相比,40%的高管更信賴自動化系統(tǒng)。
傳統(tǒng)的DDoS解決方案采用了速率限制和手動特征碼生成來緩解攻擊。速率限制可能有效,但也可能帶來大量的誤報(bào)。因此,手動特征碼就可以用來攔截攻擊型流量,減少誤報(bào)數(shù)量。此外,由于只有在攻擊開始后才能識別攻擊型流量,因此手動特征碼的創(chuàng)建需要時間?,F(xiàn)在,機(jī)器學(xué)習(xí)僵尸網(wǎng)絡(luò)可以在20秒內(nèi)突破防御系統(tǒng),因此這種手動策略也起不到什么作用了。
自動化,尤其是機(jī)器學(xué)習(xí),可以通過自動生成特征碼并根據(jù)不斷變化的攻擊矢量調(diào)整防護(hù)措施的方法克服手動特征碼生成和速率限制防護(hù)措施的缺陷。機(jī)器學(xué)習(xí)利用了先進(jìn)的數(shù)學(xué)模型和算法來查看基本網(wǎng)絡(luò)參數(shù),評估網(wǎng)絡(luò)行為,自動生成攻擊特征碼并調(diào)整安全配置和/或策略,進(jìn)而緩解攻擊。機(jī)器學(xué)習(xí)將企業(yè)DDoS防護(hù)策略從手動、基于比率和速率的防護(hù)措施轉(zhuǎn)變成了基于行為分析的檢測和緩解措施(見圖1)。
圖1:機(jī)器學(xué)習(xí)將DDoS防護(hù)模型從左向右移動
自動化是網(wǎng)絡(luò)安全的未來。由于網(wǎng)絡(luò)犯罪分子變得更精明,并且越來越多地依靠自動化來實(shí)現(xiàn)他們的惡意目的,自動化和機(jī)器學(xué)習(xí)就將成為網(wǎng)絡(luò)安全解決方案的基石,用以有效應(yīng)對下一代攻擊的沖擊。它將幫助企業(yè)提高擴(kuò)展網(wǎng)絡(luò)安全團(tuán)隊(duì)的能力,最小化人工錯誤,保護(hù)數(shù)字資產(chǎn),從而確保品牌聲譽(yù)和客戶體驗(yàn)。