前言在网络安全分析中,传统的网络安全在当今时代非常有限,这也导致了网络安全自动化的兴起。网络安全自动化是指通过过程自动化产品和服务实现整个网络安全分析过程的自动化,使安全分析人员能够快速关注与最大风险相关的信息和事件。安防产品和服务必然会顺应自动化的趋势,与自动化思想相结合。然而,现有的产品和服务还不能完全支持自动化改造,因此有必要对产品和服务的自动化潜力进行评估。本文将主要介绍评估自动化潜力的相关背景、API的可用性、功能考虑因素和信息考虑因素,以便读者对评估产品和服务的自动化潜力有相应的认识。本文内容主要参考文献[1]。背景随着安防自动化的推进,安防产品和服务必然会顺应自动化的趋势,与自动化相结合。然而,现有的产品和服务还不能完全支持自动化转型。出现此问题的主要原因是通过应用程序编程接口(API)获取的功能和信息可能与通??过用户界面获取的功能和信息不同。因此,评估产品和服务的自动化潜力对于当今安全自动化的实施非常重要。评估已部署或正在开发的产品和服务,以确定它们的自动化潜力是否有限。这种评估需要更多的细节,而不仅仅是确保有一个API,并且不容易与典型的供应商演示区分开来。图1显示了评估自动化潜力的过程。图1评估自动化潜力的流程图图1中的流程图提出了两组问题,功能性和信息性。这些问题是产品和服务在自动化操作流程时遇到的最常见问题。在评估产品支持自动化的能力时,评估API的可用性、API工具的功能和信息如何通过API而非工具的一般用户界面呈现是至关重要的。API可用性首先,产品或服务必须具有可供用户大规模使用的API。在安全编排、自动化和响应(SOAR)市场出现之前,并非所有产品都为用户提供直接API访问。预期的场景是用户将与仪表板或控制台交互,应用程序将在内部处理所有API请求。但是,当用户开始收到来自数十种产品的数千条警报时,这种方法就不再是一种可行的网络防御方法。现在大多数产品都期望并支持用户一定程度的自动化,但用户通过产品或服务提供的图形界面手动与应用程序交互的原始设计原则导致了不同程度的自动化支持。许多产品现在有两种不同的API可用,一种设计用于与典型用户交互,另一种设计用于支持组织管理功能和相关信息。在本文中,前者称为前端API,后者称为后端API。这种区别很重要,因为不同的API通常公开不同类型的信息和功能。因此,它们可能会受到不同的许可限制,并且这些功能和访问选项的差异可能会影响条件或复杂操作流程的自动化,这需要结合调用前端和后端API。将本地工具与基于云的产品进行比较时,可能会出现类似的情况。许多供应商在迁移到云时删除、限制或修改API访问策略和功能。如果组织依赖API访问,则在考虑供应商用于迁移到基于云的工具版本时必须对其进行评估。功能注意事项随着组织自动化操作安全流程,他们会遇到一组与API公开的功能相关的常见问题。以下三个注意事项旨在帮助组织评估产品和服务,以确保可以在适当的地方启用自动化。非限制性综合外部适用性不受限制。对于产品或服务而言,以支持自动化处理的规模提供API访问非常重要。在实施自动化流程时,通常遇到的第一个问题是许可限制。前端API密钥(用于以授权方式访问API)可能不包含在初始许可协议中。同样,有许多服务可以免费供分析师手动访问,但需要付费升级才能启用自动访问。即使组织为访问API付费,它也通常与最大数量的请求或基于当前手动操作的有限服务集相关联。在所有这些情况下,对可用API的访问都在某种程度上受到限制,这会影响组织使用其所需自动化的机会。综合的。分析师可以在应用程序中执行的每个功能都需要通过API提供。自动化流程遇到的下一个问题是API仅公开分析人员在其操作中使用的功能子集。即使通过API可以使用一组功能,应用程序对这些功能的支持与可以自动化的功能之间也可能存在差异。这是因为应用程序可能具有专有方法来实现高级功能,而这些功能无法通过将可用的API调用链接在一起来实现。分析师在操作过程中执行的任何操作或任务无法通过API调用一致和准确地实现,从而限制了通过自动化获得的效率。外部可用性。每个可以自动化的功能都需要通过API向应用程序外部的源公开。某些供应商软件包或应用程序套件具有只有他们的官方产品才能访问的API,或者只能使用套件中生成的信息调用这些API。操作流程可以从组织内部和外部的多个来源接收相同的核心信息,并且相同的自动化流程应该能够对相同类型的信息执行相同的操作,而不管信息的来源如何。如果需要为不同的来源开发不同的自动化流程,或者需要部署不同的能力以通过不同的API访问相同的信息,那么自动化的有效性将受到限制。信息注意事项随着组织自动化操作安全流程,他们还会遇到一组与API公开相关的常见问题。以下是旨在帮助组织评估产品和服务以确保它们支持适当自动化的四个注意事项。可用性一致性可控性可用性可用性。应用程序分析师可用的信息必须通过适当的API可用。许多产品限制了可以使用API调用导出或返回的内容,使某些信息仅在应用程序内部可用。前端API和后端API提供的信息往往不同,每个API的可访问性都受到法律、服务协议和安全策略的限制。生成或提供运营商使用的信息的产品和服务必须提供对该信息的API访问,否则自动化的机会将受到重大影响。一致性。任何导入操作流程中使用的信息的产品都需要通过API以一致的方式提供相同的信息。许多产品和服务提供相似的信息(例如,严重性等级、优先级),但由于对信息的访问可能非常不同,即使信息具有相同的含义,它们也可能意味着非常不同的事情。在导入过程中,有时会删除或修改某些数据字段。如果没有完善的数据检测机制,后台API输出的信息就会不一致。虽然人类可以使用上下文来推断信息的含义,但自动化通常不能。可控性。通过API访问的信息必须与应用程序提供给分析师的信息相匹配。图形用户界面使用户操作可见,并在视觉上进行了优化以支持推理。它们允许分析师自定义可见的字段、标签以及结果显示的顺序。API旨在响应请求并使用为处理响应而优化的非常具体的结构,这导致在应用程序中请求和看到的信息可能与通??过API返回的信息不同的情况。自动化流程的能力与重现分析师通过API获得的信息的能力直接相关。可用性。通过API公开的信息必须以可用于自动执行产品和服务的格式提供。在某些情况下,必须开发和维护自定义代码来解析、翻译、规范化或重新格式化从API调用接收到的信息,然后才能将其用于操作流程。必须执行的处理越多,自动化过程的效率受到的影响就越大。随着组织扩大对自动化的使用,这种影响可能会变得更加重要。总结实施自动化是应对现代网络攻击的速度和规模的关键组成部分。如果没有通过安全工具协调的自动响应,通常不可能在支持网络防御的时间范围内响应网络威胁情报。本文主要介绍相关背景、API可用性、功能考虑因素以及用于评估自动化潜力的信息考虑因素。期望读者对评估产品和服务的自动化潜力有所了解,能够判断产品和服务是否能够成功获得自动化响应的显着收益。参考文献[1]《Enabling Automation in Security Operations - Assessing Potential》
