在網(wǎng)絡(luò)安全的競(jìng)賽里，企業(yè)正在逐漸失去優(yōu)勢(shì)。

網(wǎng)絡(luò)威脅的發(fā)展超過(guò)了安全團(tuán)隊(duì)的適應(yīng)速度。來(lái)自數(shù)十個(gè)安全產(chǎn)品的海量數(shù)據(jù)也超過(guò)了安全團(tuán)隊(duì)的處理能力。而且預(yù)算和人才短缺也限制了安全團(tuán)隊(duì)的快速發(fā)展。問(wèn)題是，網(wǎng)絡(luò)安全團(tuán)隊(duì)如何在處理日益復(fù)雜的攻擊矢量的同時(shí)，提升擴(kuò)展能力，并將數(shù)據(jù)泄露的風(fēng)險(xiǎn)降至最低?答案就是自動(dòng)化。

[[237841]]

自動(dòng)化與安全

根據(jù)Radware的2017-2018年全球應(yīng)用及網(wǎng)絡(luò)安全報(bào)告，80%的企業(yè)稱，在2017年曾遭遇了某種形式的基于網(wǎng)絡(luò)或應(yīng)用的網(wǎng)絡(luò)攻擊。該報(bào)告還指出，2017年，零日惡意軟件、僵尸網(wǎng)絡(luò)和脈沖式攻擊的使用也有大幅增加，這些都是自動(dòng)化攻擊矢量。

數(shù)字是不會(huì)說(shuō)謊的。網(wǎng)絡(luò)犯罪分子越來(lái)越精明，他們的攻擊也越來(lái)越自動(dòng)化。此外，隨著自動(dòng)化網(wǎng)絡(luò)攻擊的出現(xiàn)，在保護(hù)敏感數(shù)據(jù)安全時(shí)，基于速率或手動(dòng)調(diào)整的防護(hù)措施等傳統(tǒng)的DDoS緩解方法明顯都已過(guò)時(shí)。

現(xiàn)在，IT企業(yè)面臨著高級(jí)持續(xù)性威脅，這些威脅不是由人類發(fā)起的，而是自動(dòng)化的機(jī)器人程序。安全人員無(wú)法應(yīng)對(duì)這些持續(xù)不斷的猛烈攻擊，也無(wú)法跟上即將到來(lái)的海量威脅容量。利用基于規(guī)則的事件關(guān)聯(lián)的老舊DDoS緩解解決方案在24小時(shí)內(nèi)就可以生成數(shù)千條警報(bào)。情況好的時(shí)候，一個(gè)SOC也只能調(diào)查其中的約100個(gè)。

此外，他們也無(wú)法快速有效地做出手動(dòng)處理這些攻擊的決策。研究表明，現(xiàn)在在某些情況下，機(jī)器學(xué)習(xí)僵尸網(wǎng)絡(luò)能夠掃描網(wǎng)絡(luò)中的漏洞，并在20秒內(nèi)成功突破其防御系統(tǒng)。

這就是自動(dòng)化成為網(wǎng)絡(luò)安全中強(qiáng)有力組成部分的原因。為了對(duì)抗即將到來(lái)的威脅的沖擊，企業(yè)必須雇傭一支實(shí)力和老練程度相當(dāng)?shù)膱F(tuán)隊(duì)。

攻擊者如何利用自動(dòng)化

網(wǎng)絡(luò)犯罪分子將自動(dòng)化和機(jī)器學(xué)習(xí)作為武器，創(chuàng)建了越來(lái)越難以捉摸的攻擊矢量，同時(shí)，物聯(lián)網(wǎng)(IoT)也已被證實(shí)是推動(dòng)這一趨勢(shì)的催化劑。IoT是許多新型自動(dòng)化機(jī)器人程序和惡意軟件的發(fā)源地。

最重要的就是越來(lái)越復(fù)雜的僵尸網(wǎng)絡(luò)，已經(jīng)成為在企業(yè)網(wǎng)絡(luò)中胡作非為的高度自動(dòng)化且致命的數(shù)字軍隊(duì)。例如，在發(fā)動(dòng)攻擊之前，黑客已經(jīng)可以利用僵尸網(wǎng)絡(luò)進(jìn)行早期的漏洞利用和網(wǎng)絡(luò)偵察。

因應(yīng)用在2016年針對(duì)DNS提供商Dyn的攻擊中而聞名的Mirai僵尸網(wǎng)絡(luò)及其后續(xù)的變體，也體現(xiàn)了其中的許多特征。該僵尸網(wǎng)絡(luò)利用了臭名昭著的水刑攻擊，可以在DNS基礎(chǔ)架構(gòu)上生成隨機(jī)域名。隨后出現(xiàn)的變體采用了自動(dòng)化，使得惡意軟件可以實(shí)時(shí)生成惡意查詢。

現(xiàn)代惡意軟件是一個(gè)同樣復(fù)雜的多矢量網(wǎng)絡(luò)攻擊武器，可以利用一系列規(guī)避工具和偽裝技術(shù)躲避檢測(cè)措施。黑客可以利用機(jī)器學(xué)習(xí)創(chuàng)建能夠擊敗惡意軟件防御系統(tǒng)的自定義惡意軟件。其中一個(gè)例子，是可以繞過(guò)黑箱機(jī)器學(xué)習(xí)模型的生成式對(duì)抗網(wǎng)絡(luò)算法。在另一個(gè)例子中，一家網(wǎng)絡(luò)安全公司采用了Elon Musk的OpenAI框架，創(chuàng)建一些緩解解決方案無(wú)法檢測(cè)到的惡意軟件。

檢測(cè)和緩解措施自動(dòng)化

因此，網(wǎng)絡(luò)安全團(tuán)隊(duì)該如何提高其處理這些日益多樣化的網(wǎng)絡(luò)攻擊的能力呢?并以以其人之道還治其人之身。自動(dòng)化網(wǎng)絡(luò)安全解決方案就提供了可以緩解這些高級(jí)威脅的數(shù)據(jù)處理能力。

高管清楚地了解這一點(diǎn)，并準(zhǔn)備利用自動(dòng)化的優(yōu)勢(shì)。根據(jù)Radware的最高管理層視角：網(wǎng)絡(luò)攻擊趨勢(shì)、安全威脅及業(yè)務(wù)影響報(bào)告，大多數(shù)高管(71%)稱，他們將更多的網(wǎng)絡(luò)安全預(yù)算轉(zhuǎn)移到了采用機(jī)器學(xué)習(xí)和自動(dòng)化的技術(shù)上。保護(hù)日益多樣化的基礎(chǔ)架構(gòu)的需求、網(wǎng)絡(luò)安全人才的短缺以及越來(lái)越危險(xiǎn)的網(wǎng)絡(luò)威脅都是造成這一財(cái)政政策轉(zhuǎn)變的主要因素。

此外，信任因素也在增加。該報(bào)告指出，在保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊侵?jǐn)_時(shí)，與人工相比，40%的高管更信賴自動(dòng)化系統(tǒng)。

傳統(tǒng)的DDoS解決方案采用了速率限制和手動(dòng)特征碼生成來(lái)緩解攻擊。速率限制可能有效，但也可能帶來(lái)大量的誤報(bào)。因此，手動(dòng)特征碼就可以用來(lái)攔截攻擊型流量，減少誤報(bào)數(shù)量。此外，由于只有在攻擊開(kāi)始后才能識(shí)別攻擊型流量，因此手動(dòng)特征碼的創(chuàng)建需要時(shí)間。現(xiàn)在，機(jī)器學(xué)習(xí)僵尸網(wǎng)絡(luò)可以在20秒內(nèi)突破防御系統(tǒng)，因此這種手動(dòng)策略也起不到什么作用了。

自動(dòng)化，尤其是機(jī)器學(xué)習(xí)，可以通過(guò)自動(dòng)生成特征碼并根據(jù)不斷變化的攻擊矢量調(diào)整防護(hù)措施的方法克服手動(dòng)特征碼生成和速率限制防護(hù)措施的缺陷。機(jī)器學(xué)習(xí)利用了先進(jìn)的數(shù)學(xué)模型和算法來(lái)查看基本網(wǎng)絡(luò)參數(shù)，評(píng)估網(wǎng)絡(luò)行為，自動(dòng)生成攻擊特征碼并調(diào)整安全配置和/或策略，進(jìn)而緩解攻擊。機(jī)器學(xué)習(xí)將企業(yè)DDoS防護(hù)策略從手動(dòng)、基于比率和速率的防護(hù)措施轉(zhuǎn)變成了基于行為分析的檢測(cè)和緩解措施(見(jiàn)圖1)。

機(jī)器學(xué)習(xí)將DDoS防護(hù)模型從左向右移動(dòng)

自動(dòng)化是網(wǎng)絡(luò)安全的未來(lái)。由于網(wǎng)絡(luò)犯罪分子變得更精明，并且越來(lái)越多地依靠自動(dòng)化來(lái)實(shí)現(xiàn)他們的惡意目的，自動(dòng)化和機(jī)器學(xué)習(xí)就將成為網(wǎng)絡(luò)安全解決方案的基石，用以有效應(yīng)對(duì)下一代攻擊的沖擊。它將幫助企業(yè)提高擴(kuò)展網(wǎng)絡(luò)安全團(tuán)隊(duì)的能力，最小化人工錯(cuò)誤，保護(hù)數(shù)字資產(chǎn)，從而確保品牌聲譽(yù)和客戶體驗(yàn)。