承受压力和压力的IT安全部门希望通过自动化来减轻来自检测和响应系统的大量警报。网络工程师JoseArellano承认,“我每天最艰难的工作”是确保伊利诺伊州西奥罗拉129学区的12,700名学生、1,900名员工和10,000多台联网设备的安全。安全二人组的主要工作是为师生尽可能保证网络的安全高效运行。由于学校的资源和预算有限,Arellano说,“我们的精力都集中在内部网络上。”然而,一次DDoS攻击使该地区的网络瘫痪了六周,他们很难找出问题所在。现在,他不得不将注意力从纯粹的预防方法转向检测和响应。“这是一项非常困难的工作,”他说。越来越多的安全专家和Arellano一样感到沮丧,部分原因是每年报告的漏洞数量之多。威胁情报公司RiskBasedSecurity仅在2020年第一季度就记录了近5,000个新发现的漏洞。紧张的安全部门很难评估这些漏洞带来的风险。在DimensionalResearch的2020年SecOps和自动化调查中,几乎所有受访者都表示警报太多给安全组织带来了问题,83%的人表示他们的部门已经对警报不敏感了。许多拥有超过10,000名员工的公司每天都会收到超过1,000条警报。WannaCry勒索病毒攻击标志着全球不法分子发起了新一轮的恶意软件、勒索软件、钓鱼等恶意攻击,对各类目标进行无差别攻击。许多企业,无论规模大小,每天都会从其监控系统收到数以万计的安全警报。例如,根据研究公司Ovum的数据,大约37%的银行每天收到超过200,000条可能受到攻击的安全警报。暴力攻击只会让安全部门越来越头疼。企业不仅必须筛选数据并确定数千条警报的优先级,而且还必须采取行动,从人手严重不足的专业人员网络中获得实际调查。在牛津经济研究院代表ServiceNow进行的一项调查中,81%的受访者表示,他们担心检测到的安全漏洞没有得到充分解决。Cyber??securityVentures的一份报告估计,到2021年将有350万个网络安全职位空缺,高于去年的100万个。Forrester的高级分析师兼安全和风险专家JosephBlankenship表示,虽然大量新的自动检测和事件响应技术正在发挥作用,但许多组织仍然不愿意实现安全自动化。“过去,自动化给我们带来了问题,”布兰肯希普说。“立法数据流动受阻,造成中断。在采取自动化措施的过程中,如果没有人去查看和验证,就会出现很多问题。”现在,有些人可能会更乐观一些。Blankenship说:“直到最近我们开放了API,我们不仅可以从简单的日志数据中提取数据,还可以将其推回。平台之间的共享越来越多,我们创建了这个自动感谢API,我们可以交换数据更自由。”ESG高级首席分析师兼该公司网络安全服务创始人JonOltsik表示:“编排和自动化有可能成为一个很好的解决方案,但你真的只是触及表面,因为它并不能解决所有问题。有时它意味着改变工作流程。”根据DimensionalResearch的数据,使用自动化来处理警报过载的公司逐渐看到了结果。虽然34%的自动化水平较低的安全部门能够在一天内处理大部分安全警报,但65%的公司表示他们使用自动化来在一天内处理警报。大多数受访者(92%)表示自动化是处理大量警报的最佳解决方案。企业有大量的自动化事件响应解决方案可供选择,当然没有单一的解决方案-适合所有人的解决方案。这三家公司分享了各自的网络安全挑战和应对策略。管理大量安全数据对于完全托管的服务提供商CareWorks,其在美国88个地区和六个国际地区的安全工具收集了太多的安全数据来处理,该公司的首席信息官兼首席执行官说。“即使我们拥有人员配备齐全的IT部门,处理数据非常困难。首席技术官巴特·墨菲(BartMurphy)说:“我们需要弄清楚如何事半功倍。”墨菲开始寻找在其漏洞扫描器、安全分析软件和端点解决方案中收集所有数据的方法,然后至少将部分工作流程自动化。CareWorks采用了ServiceNow的平台即服务来自动化企业IT运营。因此,2017年3月,该公司添加了供应商安全运营模块。虽然仍处于早期采用阶段,但该公司已经集成了赛门铁克、Nessus、LogRythm和Tanium的工具,以确定可以自动化的流程。“我们最终将使用流程编排工具让流程真正处理威胁本身并进行报告,”墨菲说。目前,SecOps模块可以跟踪所有与潜在或实际安全事件相关的活动,而无需手动审查各种安全事件。各种日志。目前尚不清楚究竟节省了多少时间和劳动力。现在,墨菲的目标是“确保我们能够尽可能多地保护和预防”,但他表示,建立对安全自动化的信心需要时间。“随着时间的推移需要一些验证才能习惯这种自动化,”他说。“我并非不切实际地考虑在接下来的6到12个月内实现一切自动化。我宁愿拥有10个经过深思熟虑和测试的自动化流程,而不是100个随意的流程。确保部门了解目标并且不自动化为了自动化。”FinningInternational首席信息安全官SuzieSmibert的方法是让事情变得简单,安全工具越少对网络安全越好。这家总部位于温哥华的公司是全球最大的卡特彼勒产品和支持服务供应商,斯米伯特也是该公司的企业架构全球总监。对于网络响应技术,斯密伯特指出,“现在供应商太多了。”Finning每天收到来自数以万计的安全警报、服务器和网络,覆盖3个地区,全球13,000多名员工,每个员工都有一个以上的连接设备,所有这些因素都使警报复杂化。“添加更多的安全工具并不能提高安全性,”Smibert说。“这让情况变得更糟,因为如果你有100种不同的安全设备来管理一个复杂的环境,你就会产生一种错误的安全感。”更重要的是,“如果您有10台设备只执行一项网络安全功能,那么您要支付10倍的培训和费用。”Smibert选择了少量多功能安全工具来检测和响应网络攻击,包括自动防御攻击的能力。一个集网络、云和端点于一体的安全平台,一个支持云的端点保护解决方案,以及一个分析驱动的SIEM。她的部门现在每天清除数千个警报,但只处理那些需要调查的警报——每天大约20到40个。幸运的是,手头有足够多的经验丰富的安全专家来完成手工工作,所以她没有急于进行更多的流程编排和自动化,Smibert说。“我有点不愿意保护对业务非常关键的系统中的数据和功能,”尤其是遗留应用程序,“但这并不意味着它不会发生。其中一些系统不是很安全,“她说。适用于自动化。如果你自动产生误报,或者自动产生连锁反应,其负面影响远大于一个小的、可控的安全事件的影响。”网络流量分析让两人部门感觉像一个200人的部门K-12学校没有私营企业那样的网络安全人员和相关预算。西奥罗拉129学区转向事件响应软件来帮助填补空白。一个由两人组成的IT部门管理该地区18所学校的基础设施2016年8月开学时,学区的无线网络崩溃了,没有人(甚至学区的ISP)都找不到问题的根源。“我们的设备都是思科的,但我们缺了很多通过固件更新[通过CiscoSmartnet服务]可以使用的功能,我们的网络可见性非常差,”Arellano回忆道。ISP,他说,提醒我们学区可能是一些大规模攻击的试验场“吓坏了我们”。这个问题持续了六个多星期,直到Arellano安装了事件响应软件,分析了数据流,并对数据进行取证以找到中断的根源。使用Plixer的网络流量分析系统Scrutinizer,Arellano立即看到了大量的DDoS警报。通过抓取数据包,他发现许多DNS响应来自美国消费品安全委员会(CPSC)。“这就是我们如何弄清楚这是哪种攻击的方式,”他回忆道。使用DNS反射攻击,黑客伪造了学校的地址,并要求CPSC向学校发送大量记录。下一步是阻止它。现在可以看到时间戳和IP地址,Arellano缩小了事件范围,只提取与其相关的数据。所有证据都指向学校二楼的一个在线教室。“我们注意到一名学生正在删除旧记录。我们拿到学生的ID后,翻了一下记录,发现他使用的是一个每月收费10美元的在线压力网站进行攻击。此后,又有两起类似的袭击被阻止。“21世纪版本的‘拉响火警’发起了DDoS攻击,”技术总监DonRingelestein说。我们曾经处于被动的环境中,但现在我们更加主动。“在许多情况下,我已经能够发现问题并使用事件响应工具在它变得具有破坏性之前将其阻止,”他说。“外部安全服务提供商可以提供帮助许多企业在面对网络安全威胁时感到人手不足或束手无策,他们正在寻求服务提供商的帮助,为其提供自动化和流程编排服务。到2020年,Gartner预测15%的中型和大型企业将使用托管检测和响应等服务,高于2016年的不到1%。IDC安全战略副总裁PeteLindstrom表示:“我非常信任服务提供商,因为对于许多企业每年都会发生一两起这样的事件。只有通过服务提供商,我们才能了解风险在哪里。他说,Trustwave、FireEye和其他20多家供应商都是如此。5可以帮助实现安全自动化的机器学习技术根据ESG去年秋天进行的一项调查,三分之二的企业认为安全分析和运营是自动化的重中之重,其中39%的企业部署了机器学习技术来帮助解决这个挑战。那么这些机器学习技术到底是什么?1.异常检测机器学习技术的一种常见用途是异常检测。如果一家公司拥有网络流量或用户行为的基线数据集,则可以使用机器学习来发现违规行为。例如,如果员工通常在正常工作时间工作并从工作计算机登录,那么下班后从国外登录是不正常的——并且可能是恶意的。机器学习系统通常在历史数据集上进行训练,然后去寻找任何新的或异常的东西。员工、网络和其他系统随时间变化,因此需要定期更新培训。然而,虽然异常检测系统会报告异常事件,但它不会告诉您这些事件是否是恶意活动的迹象。2.聚类分析另一种常见的机器学习算法是聚类分析例如,使用用户行为的大数据集,聚类分析可以识别出一组经常出差并具有某些共同行为的员工,而另一组员工倾向于在相同的位置。与人类相比,聚类算法可以观察到更多的各种因素和行为,并实时更新聚类。通常仍然需要有人查看这些集群或异常并确定其含义:是因为公司正在朝着新的方向发展,还是有什么可疑的事情导致集群表现异常?3.分类给定足够大的数据集并预先划分为不同的类别,机器学习可以识别新数据属于哪一类。例如,如果大量软件已被分类为恶意软件和合法应用程序,机器学习系统可以判断以前看不见的应用程序是否是恶意的。随着数据集越来越大,算法越来越智能,错误率下降,该技术对网络安全的作用越来越大。同样的技术可以应用于各种各样的安全挑战,不仅限于对恶意软件进行分类。例如,如果有足够的历史数据表明哪些异常是恶意的,则分类系统可以与异常检测系统相结合,从而减少安全专业人员需要处理的事件数量。4.预测网络安全情报的下一步是让学习系统监控安全专业人员如何处理事件。对安全问题的典型反应是什么?这里的难点在于如何收集足够多的历史数据来做出合适的预测。每家公司都略有不同,甚至在一家公司内,不同的分析师以不同的方式处理问题。然而,不仅数据集在这个领域变得更好,而且算法在从数据中获得洞察力方面也越来越好,而且供应商也在努力从客户数据池中创建匿名数据集。现在,网络安全平台可以智能地预测对特定事件的反应,并将其转化为一系列建议。5.自动修复在未来的某个时候,一旦公司对所提供的建议足够满意,该技术就可以开始自动修复那些风险最小或对公司最有利的建议。实现这一目标需要时间——系统需要时间变得足够智能以至于有用,公司也需要时间学会信任它们。在公司可以自动化其安全响应之前,基础必须到位,包括编排框架、安全程序和收集安全响应的过程。编排允许一个安全系统在不同系统中触发一个动作,而不需要人登录到每个系统并手动执行命令。这通常是通过使用API和某种编排框架或平台来实现的,它们要么完全在内部开发,要么使用开源组件组装,要么从第三方供应商处购买。下一步是创建一个过程——发生特定事件时要执行的一系列步骤。这些程序通常是根据安全人员的专业知识和经验手工编写的。通过自动化最常见的任务,这些规程立即减少工作量并加快响应速度,同时帮助组织识别其集成和编排框架中的差距。在此期间,Oltsik建议寻求自动化事件响应的安全领导者在解决自己的运营挑战之前不要购买单点工具。“与你自己的人交谈,找出最大的痛点在哪里。为什么解决某个问题需要2个小时?让员工配合有什么难点,为什么调查取证需要的数据很难拿到?从这些流程编排和自动化工具开始在本地采用。这些努力不能是强制性的。员工必须参与进来,每个人都朝着同一个方向努力。”Oltsik说,只有当自动化做好准备时,结果才会触手可及。“如果威胁情报告诉你某个IP地址或网络域有问题,而你有80%的把握,那么你不应该分配这些地址或网络域。”Oltsik表示,下一步将花时间在流程编排上。假设您有适当的安全流程,或者已经花时间梳理出与该流程相关的所有任务,那么您就知道如何应用技术来更好地做出响应。“它可能需要一段时间。”他说,对任何新的自动化或编排流程进行广泛检查也很重要。“我是不是漏掉了不该漏掉的东西?下次能不能做得更好?是不是应该有这样一个过程,或者是不是应该增加一些步骤,或者是少了一些步骤?”Smibert认为,事件响应自动化被广泛使用的过程类似于云应用程序。“5-10年前,每个人都害怕云技术,但行业已经证明,当你采取战略性、深思熟虑的方法来使用云技术时,它可以创造奇迹。我认为安全自动化也是如此。一旦如果业界一致认为,我们已经有了成功的早期采用者,然后我们将有更多的应用,更多的应用将带来更多的创新。我们将看到安全自动化变得像今天的云一样流行。”
