安全自動(dòng)化走向成熟 很多企業(yè)卻尚未準(zhǔn)備好采用

責(zé)任編輯:editor005

作者:nana

2017-05-11 14:55:38

摘自:安全牛

安全自動(dòng)化產(chǎn)業(yè)仍處在發(fā)展初期,但已經(jīng)出現(xiàn)了一些有前途的技術(shù),可即使是大公司,也并未跟上這一趨勢(shì)。50%的受訪者稱(chēng)自己有一定程度的自動(dòng)化,而這自動(dòng)化程度最高的過(guò)程,是遠(yuǎn)程部署安全廠商的定制內(nèi)容或病毒特征庫(kù)。

安全自動(dòng)化產(chǎn)業(yè)仍處在發(fā)展初期,但已經(jīng)出現(xiàn)了一些有前途的技術(shù),可即使是大公司,也并未跟上這一趨勢(shì)。

大多數(shù)安全自動(dòng)化行業(yè)的廠商,成立至今還只度過(guò)了1到2年的歲月,但已經(jīng)產(chǎn)出了一些可被企業(yè)利用的光明技術(shù)——只要企業(yè)已經(jīng)做了基礎(chǔ)準(zhǔn)備工作便可使用。

安全自動(dòng)化要解決的主要問(wèn)題,是攻擊太多太快,而人力無(wú)法跟上。

然后還有網(wǎng)絡(luò)罪犯的問(wèn)題,他們能從勒索軟件和其他攻擊中獲取巨大的利益,又反過(guò)來(lái)投入新攻擊方法的研究。還有民族國(guó)家?guī)?lái)的威脅,還有慘烈的技術(shù)人才短缺問(wèn)題。簡(jiǎn)直就是場(chǎng)完美風(fēng)暴。

去年秋天的一份調(diào)研中,91%的公司稱(chēng),人工過(guò)程所需時(shí)間和精力限制了他們的事件響應(yīng)有效性,他們不得不積極增加人手。

62%的公司已經(jīng)有了自動(dòng)化事件響應(yīng)過(guò)程,另35%正在開(kāi)始自動(dòng)化和編配項(xiàng)目,或者在未來(lái)12-18個(gè)月里有這個(gè)計(jì)劃。

2年前,沒(méi)人知道這種技術(shù)。去年,我就常??吹搅恕,F(xiàn)在,我們看到了各家公司對(duì)安全自動(dòng)化的預(yù)算,還看到很多風(fēng)投資本注入到該領(lǐng)域。

  ——Enterprise Strategy Group 首席分析師喬恩·奧爾茲克

奧爾茲克估測(cè),安全自動(dòng)化及協(xié)同的市場(chǎng)規(guī)模在1億到2億美元之間,幾家小廠商的銷(xiāo)售范圍在1000萬(wàn)到2千萬(wàn)美元之間。

理論上,安全自動(dòng)化可以讓公司企業(yè)能夠調(diào)查不斷涌來(lái)的威脅,并在無(wú)人干預(yù)的情況下立即做出響應(yīng)——至少,最常見(jiàn)的勞動(dòng)密集型攻擊是可以自動(dòng)化響應(yīng)的。于是,安全分析師就能得到解放,有更多的時(shí)間可以專(zhuān)注在更復(fù)雜的攻擊上。

最近的一些跡象表明,這一切都是可能的。

我們已經(jīng)有了更好的檢測(cè)準(zhǔn)確率,誤報(bào)率降低了。而且我們更多地使用云,可以在這些事情上投入更多的處理能力。

到目前為止,大多數(shù)的進(jìn)展都在防止攻擊者進(jìn)入企業(yè)上。反惡意軟件系統(tǒng)、下一代防火墻和其他威脅識(shí)別封鎖系統(tǒng)都是如此。

最近,帶評(píng)分系統(tǒng)的威脅情報(bào)也出現(xiàn)了這就讓企業(yè)可以針對(duì)高風(fēng)險(xiǎn)威脅增加自動(dòng)化措施,再用以前的人工過(guò)程處理有疑問(wèn)的案例。

一些大公司也在部署協(xié)調(diào)平臺(tái),驅(qū)動(dòng)多系統(tǒng)聯(lián)動(dòng)的自動(dòng)化過(guò)程。

“但是這一類(lèi)事件響應(yīng)平臺(tái)目前還僅限于菁英企業(yè),財(cái)富500強(qiáng)公司才有實(shí)力采用。”

另外,公司企業(yè)還會(huì)編寫(xiě)腳本,從頭創(chuàng)建自己的自動(dòng)化過(guò)程,不過(guò)沒(méi)有幾個(gè)技術(shù)專(zhuān)家是做不到這一點(diǎn)的。

自動(dòng)化什么?誰(shuí)來(lái)自動(dòng)化?

SANS研究院的事件響應(yīng)調(diào)查結(jié)論是,大多數(shù)過(guò)程仍然十分依賴(lài)人工。

50%的受訪者稱(chēng)自己有一定程度的自動(dòng)化,而這自動(dòng)化程度最高的過(guò)程,是遠(yuǎn)程部署安全廠商的定制內(nèi)容或病毒特征庫(kù)。

位列第二的自動(dòng)化過(guò)程,是封鎖通往惡意IP地址的命令與控制流量,有49%的受訪者反饋對(duì)該過(guò)程做了自動(dòng)化。第三位的,是有47%的受訪者反饋的流氓文件清除過(guò)程。

最不可能被自動(dòng)化的過(guò)程包括:修復(fù)過(guò)程中將受感染主機(jī)從網(wǎng)絡(luò)中隔離,以及關(guān)閉系統(tǒng)和讓主機(jī)下線。

但是,總體上,安全自動(dòng)化落后其他技術(shù)過(guò)程的自動(dòng)化大約10年。

投資公司 Scale Venture Partners 合伙人阿里爾·車(chē)特林說(shuō):“我們看到了IT自動(dòng)化的巨大效果,安全上也將看到。”

安全謎題的預(yù)防部分是最為自動(dòng)化的,過(guò)去兩年,巨大的投資額度落在了檢測(cè)上。

如今,大量的工作圍繞在檢測(cè)與響應(yīng)之間,公司企業(yè)需要分清他們發(fā)現(xiàn)的指標(biāo)是否是需要調(diào)查的真正的問(wèn)題。

事件響應(yīng)方面,今天還有很多工作是人工在做的。這些人工處理的部分,正是未來(lái)幾年大量?jī)r(jià)值涌現(xiàn)的地方。

然而,現(xiàn)在可用的所有產(chǎn)品,都還處在非常早期的階段,這一領(lǐng)域還沒(méi)有出現(xiàn)所謂的領(lǐng)頭羊。

自動(dòng)化檢測(cè)過(guò)程是有意義的,但完全自動(dòng)化修復(fù)過(guò)程卻非常危險(xiǎn)。

網(wǎng)絡(luò)安全咨詢(xún)公司 ClearSky Cyber Security 執(zhí)行董事杰·里克說(shuō):“至少在目前,我總是建議在檢測(cè)和響應(yīng)之間設(shè)置人手。這個(gè)環(huán)節(jié)上,你不會(huì)想要出現(xiàn)誤報(bào)的。”

單步修復(fù)過(guò)程可以被自動(dòng)化——只要其啟動(dòng)是由人操控的。

但我很不喜歡現(xiàn)在這種自動(dòng)化整個(gè)從頭到尾過(guò)程的想法。太粗糙,根本就是為誤報(bào)準(zhǔn)備的。最怕出現(xiàn)的就是產(chǎn)生某種業(yè)務(wù)中斷。

市場(chǎng)上已經(jīng)有一些廠商承諾要自動(dòng)化整個(gè)過(guò)程了,包括自動(dòng)化終端設(shè)備重鏡像,以及自動(dòng)化用戶(hù)反網(wǎng)絡(luò)釣魚(yú)培訓(xùn)。

AsTech Consulting 首席安全策略師內(nèi)森·溫茲勒說(shuō):“但是,現(xiàn)實(shí)就是,大面積自動(dòng)化其實(shí)不會(huì)有什么好效果。要么誤報(bào)很多,要么漏報(bào)很多。這么做只會(huì)讓用戶(hù)特別惱怒,尤其是在明明沒(méi)什么問(wèn)題系統(tǒng)卻被重鏡像了的時(shí)候。”

鞏固和發(fā)展

很快,安全自動(dòng)化將會(huì)普及,也會(huì)更易于使用。主流廠商正在購(gòu)買(mǎi)小型編配公司,將他們的功能整合到平臺(tái)中,SIEM廠商一直在向自己的平臺(tái)里添加自動(dòng)化和編配功能。

廠商還開(kāi)始提供預(yù)制慣例和運(yùn)維手冊(cè),讓公司企業(yè)不用從頭開(kāi)始建立自己的修復(fù)過(guò)程。

自動(dòng)化技術(shù)發(fā)展的一個(gè)積極方面是,廠商之間或產(chǎn)品之間的藩籬將不復(fù)存在,不同技術(shù)不同產(chǎn)品可以相互協(xié)作。

其他IT領(lǐng)域里,這種事已經(jīng)發(fā)生了。而在安全上,企業(yè)環(huán)境迥異,融合與聯(lián)動(dòng)并不容易。

“企業(yè)有20、50或更多不同供應(yīng)商很常見(jiàn)。”

因此,廠商被鼓勵(lì)良好協(xié)作,互操作性上的限制是不被客戶(hù)接受的。

為自動(dòng)化做好準(zhǔn)備

對(duì)想要部署安全自動(dòng)化技術(shù)的公司而言,僅確立廠商產(chǎn)品是否成熟是不夠的。公司自身也必須準(zhǔn)備好。

Forrester Research 分析師約瑟夫·布蘭肯施普說(shuō):“這絕對(duì)不是買(mǎi)來(lái)就用這么簡(jiǎn)單的事。還有些基礎(chǔ)性工作要做。如果你將壞數(shù)據(jù)放進(jìn)自動(dòng)化系統(tǒng)中,那你不過(guò)是能更快地得出糟糕決策而已。”

另外,很多公司實(shí)際上并不清楚自身都有些什么過(guò)程,也可能根本沒(méi)有定義良好的手冊(cè)。

很多公司的分析師各自為戰(zhàn)。想要自動(dòng)化,你就必須標(biāo)準(zhǔn)化。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)