“工欲善其事必先利其器”,自动化工具和机器学习(ML)对于网络安全专家而言,正是此理。
当他们在工作中面临海量数据时,他们也难以捉摸多样的威胁类型和攻击手法。如何高效处理这些不断变化的数据,如何从中最有效地提取内容?安全自动化和基于ML的早期分流能够减少数据量,提高工作效率,所以企业应该如何利用这一工具呢?
在当今多云解决方案的世界里,企业和其他组织发现自己正面临着空前多样的安全工具集。现在,安全运营团队不仅需要覆盖传统数据中心和多云提供商,他们还需要管理新平台的安全,比如容器安全、Kubernetes和OpenShift等。
取而代之的是,应用程序正在成为一个由API调用连接的多用服务的松散耦合组合体。更复杂的是,这些服务可以位于任何地方,跨越多个云和数据中心,甚至可能不是由同一公司运行。
所以对于安全运营团队而言,数据的处理方式和“应用”的数据流变得较难理解。此外,为了溯源多种技术导致的安全事件,多个部署信息需融合成同一显示画面。因此,将不同工具获取的信息整合到单一的总视图中,通过处理呈现企业整体的安全态势状况。
这就是安全自动化发挥的作用,除了呈现整体安全态势状态,还可以帮助企业发现安全问题并顺利地处理问题。做到安全自动化需要人们从多角度跟踪事件,并将多个部署数据汇合到一张显示图上,还可以对互相连接的端点完整地进行查看和处理,帮助了解企业整体的安全状况。
完全人工型任务时代正落下帷幕。
如今,海量的数据、变化莫测的威胁攻击意味着人们无法在有限的时间范围内处理这一切,因此,基于自动化和机器学习的的早期分流可将数据量降低到人类可控的范围内。
IBM曾提出一种高级威胁处理评分的安全自动化解决方案。它使用多种机器学习算法分析威胁模式,并自行采取行动,提高和降低问题的优先级,供人类分析师审查。
该领域的另一个关键因素是IT自动化和网络安全之间的整合。虽然网络安全不仅仅是一个IT问题,但对发现的问题的反应和修复往往是属于IT范畴。我们需要摆脱这样一种观念,即提出问题后就丢给IT团队去处理,需要主要采取措施以应对问题。
DevSecOps中提出了持续集成和持续部署(CI/CD)的概念,结合软件定义的网络和基础架构,我们企业基础架构的配置现在是由软件驱动的,并且需要不断更新。
企业使用自动化的IT配置工具,如Ansible、Jenkins或Puppet,并将其与安全编排、自动化和响应(SOAR)工具相连接,这样就能使用预先商定的配置更改(称为playbook)来自动响应。由于这些playbook必须经过IT团队的预先批准,才能由安全运营中心(SOC)团队来运行,因此,这些信息可快速同步到每一个人那里,审计采取的措施并保持严格的配置控制也变得相对容易,这些准备都缩短了安全事件的响应时间。
将检测与响应联系起来,有哪些优势?
SOC团队可以主动保护企业,而不只是“提出问题”。
安全运营团队和IT团队之间更好的沟通、规划和整合。
减少IT团队的应急负担。
可以在几分钟内做出事件响应,而不是几小时或几天。
还可以快速预防未知威胁
这种高度自动化的方法不仅缩短了响应时间,它还为安全运营和IT团队提供了更多的时间来研究这个已经发生的问题。因为现在人们往往专注于以前没有见过的新攻击,而不是处理已知威胁的重复攻击。
安全自动化需要各方的协作和努力。IT团队的需求必须与安全团队的需求保持平衡,如正常的运行时间、可靠性和弹性等。此外,IT团队需要信任安全运营团队,并允许他们每次都在不需要IT直接批准的情况下激活改变系统设置响应。两个团队都需要承担责任,了解对方的需求,才能让安全自动化充分发挥其潜力。
企业正面临着越来越多、越来越精细的攻击,他们所依赖的应用程序也变得越来越复杂。因此,攻击检测和响应的自动化不再只是美好的愿望,而是企业安全的重要组成部分。
https://securityintelligence.com/posts/security-automation-enterprise-defense/