近年来,业界对安全运营自动化和自主安全的看法不一。多年来,领先的网络安全供应商和分析公司一直向分析师和运营团队保证,繁琐的安全运营工作将移交给机器的日子即将到来,但不幸的是,担任这些角色的安全专业人员今天仍在苦苦挣扎。加班率居高不下。哪里有问题?我们离安全自动化还有多远?要回答这个问题,我们不妨借鉴一下汽车行业的自动驾驶分类。作为传统产业的代表,汽车行业似乎没有什么资格在创新领域“拉动”科技行业,但融合多领域变革的自动驾驶汽车却是个例外。汽车和科技行业联手为自动驾驶汽车创建了一个标准化框架,网络安全行业在制定自动化路线图时很可能会参考该框架。血染自动驾驶分级如今,汽车比以往任何时候都更省油、更豪华、更安全。但是有一件事变得越来越糟:司机。根据美国国家公路交通安全管理局(NHTSA)的数据分析,94%的严重汽车事故是由人为错误造成的。为改善道路安全和驾驶员体验,汽车制造商正在引入雨量感应雨刷、自动大灯和盲点检测系统等创新技术,以帮助驾驶员更加专注于道路。但这并不总是有效(甚至有害)。例如,自动巡航控制系统(我们可以将其视为某种程度的自动化)旨在减少将脚放在油门踏板上的疲劳。但一个普遍的问题是,它会降低驾驶员对情况的意识,迫使你在踩油门时更加注意。稍微更先进的自适应巡航控制系统(ACC)具有更多“自主”功能,现在已成为标准配置,因为它解决了ACC1.0面临的一些挑战(容易偏离车道、追尾碰撞等)。这是从“自动化”到“自主”演变的一个很好的例子。事实上,汽车工程师协会(SAE)制定了描述汽车自动化水平的标准,该标准已被美国交通部和联合国采用。根据自动驾驶分级标准,传统的自动巡航控制系统为0级,ACC为1级。特斯拉的“Autopilot”或凯迪拉克的SuperCruise系统被认为是Level2。如果将此标准应用于网络安全自动化成熟度,它可以映射如下:级别0:无自动化。零自治;安全分析师执行所有分类、搜索和调查。级别1:分析师协助。大多数安全工作是手动的,但工具集中可能包含一些分析师协助。级别2:部分自动化。安全程序自动执行响应操作和策略执行等功能,但由于误报的普遍存在,分析师必须保持参与。级别3:有条件的自动化。分析师是必不可少的,随时可以控制,但高保真检测、自主搜索、分类、调查和响应可以提高安全性和效率。第4级:高度自动化。所有安全工具都可以在特定条件下自主运行。分析师专注于定义和控制技术,然后执行这些策略。5级:完全自动化。所有安全工具在任何情况下都能自主运行。该技术自动定义和执行分析师可以自主覆盖的策略。网络安全的“无人驾驶”刚刚上路,正如特斯拉FSD8。网络安全“无人驾驶”还有很长的路要走。在网络安全领域,当今被视为标准的一种基本自动化是SIEM和网络安全工具之间的关联。例如,将与IP地址关联的所有警报聚合到一个屏幕上,或者通过对共享源或目标的警报进行分组来识别攻击活动。一些工具更智能并使用其他上下文来源,例如ActiveDirectory(AD)或威胁情报,或过滤掉“非恶意内容”。但是,就像汽车最初的自动巡航控制一样,网络安全领域的自动化也有许多意想不到的后果,主要表现为大量误报或漏报。例如,随着设备变得越来越移动,在公司网络内外“漫游”,在每个位置使用新的IP地址,同一设备可能在短时间内拥有多个地址,这会大大增加误报的机会。与SAE0级自动驾驶——汽车自动巡航控制相比,IP可以说是同级别的安全自动化。从更广泛的角度来看网络安全自动化,大多数行业可能仅处于第1级。SOAR(安全编排、自动化和响应)可归类为第2级(部分自动化)。此类技术可自动执行多项低影响响应和补救任务,例如为IT服务台创建支持票证、自动关联多个安全工具或将证据收集到事件数据存储中。达到第4级和第5级将需要整个网络安全行业大幅提高其竞争力。现在,重点应该放在第3级:有条件的自动化。回到与自动驾驶仪的类比,特斯拉的自动驾驶仪不仅会分析车速、行驶车道、刹车、加速等车辆环境数据,还会分析其他车辆共享的道路数据,为司机提供决策依据。安全行业需要类似的自动化功能,才能将网络安全提升到3级自动化。根据我们从汽车中学到的知识,有一些基本要求可以实现:首先我们需要减少人类的认知负担,以便安全团队可以专注于重要的事情,消除单调任务等压力,并专注于以记录决策路径的方式进行用户体验,允许人们在需要的时间和地点进行更深入的挖掘。其次,人类分析师将继续在安全操作流程中发挥重要作用,并且很可能在未来几年继续发挥作用。通过打破最佳安全决策所需的知识和信息壁垒和壁垒,网络安全人员的技能将提升到更高的水平,这也将推动企业坚定地走上自主安全的道路。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
