“工欲善其事,必先利其器”,而自动化工具和机器学习(ML)正是网络安全专业人士的必备工具。当他们在工作中面对海量数据时,他们也对各种威胁类型和攻击方式感到无所适从。如何高效地处理这些不断变化的数据,如何最有效地从中提取内容?安全自动化和早期基于机器学习的分类可以减少数据量并提高工作效率,那么企业应该如何使用这个工具呢?松散连接的众多服务在当今的多云解决方案世界中,企业和其他组织发现自己面临着前所未有的各种安全工具集。现在,安全运营团队不仅需要覆盖传统数据中心和多云提供商,还需要管理新平台的安全,例如容器安全、Kubernetes和OpenShift。相反,应用程序正在成为通过API调用连接的多个服务的松耦合组合。更复杂的是,这些服务可以位于任何地方,跨越多个云和数据中心,甚至可能不是由同一家公司运营。所以对于安全运营团队来说,数据是如何处理的,“应用”的数据流向变得更加难以理解。此外,为了追溯由多种技术引起的安全事件,需要将多种部署信息融合到同一个显示屏中。因此,将不同工具获取的信息整合为一个整体视图,通过处理呈现企业整体的安全态势。这就是安全自动化发挥作用的地方。除了呈现整体安全态势,还可以帮助企业识别安全问题并顺利处理。为了实现安全自动化,人们需要从多个角度跟踪事件,并将多个部署数据组合成一个显示地图。他们还可以完整地查看和处理互连的端点,有助于了解企业的??整体安全状况。加速威胁响应完全人工任务的时代即将结束。今天,海量数据和不可预知的威胁攻击意味着人们无法在有限的时间内处理所有这些数据。因此,基于自动化和机器学习的早期分流可以将数据量减少到人类可控的范围内。IBM提出了一种用于高级威胁处理评分的安全自动化解决方案。它使用多种机器学习算法分析威胁模式并自行采取行动,提高和降低问题的优先级以供人类分析师审查。该领域的另一个关键因素是IT自动化和网络安全之间的集成。虽然网络安全不仅仅是一个IT问题,但响应和修复发现的问题通常是IT的领域。我们需要摒弃这样一种观念,即一旦出现问题,就由IT团队来处理,需要采取的行动主要是为了解决问题。相互联动,自动响应持续集成和持续部署(CI/CD)的概念在DevSecOps中被提出,结合软件定义的网络和基础设施,现在我们企业基础设施的配置由软件驱动,需要不断更新。企业使用自动化IT配置工具,例如Ansible、Jenkins或Puppet,并将它们与安全编排、自动化和响应(SOAR)工具连接起来,以便可以使用预先商定的配置更改(称为剧本)自动响应。由于这些剧本必须经过IT团队的预先批准,然后才能由安全运营中心(SOC)团队运行,因此信息可以快速同步给每个人,从而相对容易地审计所采取的行动并保持严格的配置控制。很简单,这些准备工作缩短了对安全事件的响应时间。联动检测和响应有什么好处?SOC团队可以主动保护企业,而不仅仅是“提出问题”。安全运营和IT团队之间更好的沟通、规划和集成。减轻IT团队的紧急负担。事件响应可以在几分钟内完成,而不是几小时或几天。还可以快速预防未知威胁。这种高度自动化的方法不仅缩短了响应时间,还为安全运营和IT团队提供了更多时间来调查已经发生的问题。因为人们倾向于关注他们以前没有见过的新攻击,而不是应对已知威胁的重复攻击。安全自动化需要合作安全自动化需要各方的合作和努力。IT团队的需求必须与安全团队的需求相平衡,例如正常运行时间、可靠性和弹性。此外,IT团队需要信任安全运营团队,并允许他们每次都激活更改系统设置响应,而无需IT的直接批准。两个团队都需要负责了解对方的需求,以便安全自动化充分发挥其潜力。企业面临越来越复杂的攻击,它们所依赖的应用程序也越来越复杂。因此,攻击检测和响应的自动化不再只是一厢情愿,而是企业安全的重要组成部分。参考来源https://securityintelligence.com/posts/security-automation-enterprise-defense/
