“工欲善其事必先利其器”，自動(dòng)化工具和機(jī)器學(xué)習(xí)(ML)對(duì)于網(wǎng)絡(luò)安全專家而言，正是此理。

當(dāng)他們?cè)诠ぷ髦忻媾R海量數(shù)據(jù)時(shí)，他們也難以捉摸多樣的威脅類型和攻擊手法。如何高效處理這些不斷變化的數(shù)據(jù)，如何從中最有效地提取內(nèi)容?安全自動(dòng)化和基于ML的早期分流能夠減少數(shù)據(jù)量，提高工作效率，所以企業(yè)應(yīng)該如何利用這一工具呢?

[[384952]]

眾多服務(wù)，松散連接

在當(dāng)今多云解決方案的世界里，企業(yè)和其他組織發(fā)現(xiàn)自己正面臨著空前多樣的安全工具集?，F(xiàn)在，安全運(yùn)營(yíng)團(tuán)隊(duì)不僅需要覆蓋傳統(tǒng)數(shù)據(jù)中心和多云提供商，他們還需要管理新平臺(tái)的安全，比如容器安全、Kubernetes和OpenShift等。

取而代之的是，應(yīng)用程序正在成為一個(gè)由API調(diào)用連接的多用服務(wù)的松散耦合組合體。更復(fù)雜的是，這些服務(wù)可以位于任何地方，跨越多個(gè)云和數(shù)據(jù)中心，甚至可能不是由同一公司運(yùn)行。

所以對(duì)于安全運(yùn)營(yíng)團(tuán)隊(duì)而言，數(shù)據(jù)的處理方式和“應(yīng)用”的數(shù)據(jù)流變得較難理解。此外，為了溯源多種技術(shù)導(dǎo)致的安全事件，多個(gè)部署信息需融合成同一顯示畫面。因此，將不同工具獲取的信息整合到單一的總視圖中，通過(guò)處理呈現(xiàn)企業(yè)整體的安全態(tài)勢(shì)狀況。

這就是安全自動(dòng)化發(fā)揮的作用，除了呈現(xiàn)整體安全態(tài)勢(shì)狀態(tài)，還可以幫助企業(yè)發(fā)現(xiàn)安全問(wèn)題并順利地處理問(wèn)題。做到安全自動(dòng)化需要人們從多角度跟蹤事件，并將多個(gè)部署數(shù)據(jù)匯合到一張顯示圖上，還可以對(duì)互相連接的端點(diǎn)完整地進(jìn)行查看和處理，幫助了解企業(yè)整體的安全狀況。

加快威脅響應(yīng)速度

完全人工型任務(wù)時(shí)代正落下帷幕。

如今，海量的數(shù)據(jù)、變化莫測(cè)的威脅攻擊意味著人們無(wú)法在有限的時(shí)間范圍內(nèi)處理這一切，因此，基于自動(dòng)化和機(jī)器學(xué)習(xí)的的早期分流可將數(shù)據(jù)量降低到人類可控的范圍內(nèi)。

IBM曾提出一種高級(jí)威脅處理評(píng)分的安全自動(dòng)化解決方案。它使用多種機(jī)器學(xué)習(xí)算法分析威脅模式，并自行采取行動(dòng)，提高和降低問(wèn)題的優(yōu)先級(jí)，供人類分析師審查。

該領(lǐng)域的另一個(gè)關(guān)鍵因素是IT自動(dòng)化和網(wǎng)絡(luò)安全之間的整合。雖然網(wǎng)絡(luò)安全不僅僅是一個(gè)IT問(wèn)題，但對(duì)發(fā)現(xiàn)的問(wèn)題的反應(yīng)和修復(fù)往往是屬于IT范疇。我們需要擺脫這樣一種觀念，即提出問(wèn)題后就丟給IT團(tuán)隊(duì)去處理，需要主要采取措施以應(yīng)對(duì)問(wèn)題。

相互聯(lián)動(dòng)，自動(dòng)響應(yīng)

DevSecOps中提出了持續(xù)集成和持續(xù)部署(CI/CD)的概念，結(jié)合軟件定義的網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)，我們企業(yè)基礎(chǔ)架構(gòu)的配置現(xiàn)在是由軟件驅(qū)動(dòng)的，并且需要不斷更新。

企業(yè)使用自動(dòng)化的IT配置工具，如Ansible、Jenkins或Puppet，并將其與安全編排、自動(dòng)化和響應(yīng)(SOAR)工具相連接，這樣就能使用預(yù)先商定的配置更改(稱為playbook)來(lái)自動(dòng)響應(yīng)。由于這些playbook必須經(jīng)過(guò)IT團(tuán)隊(duì)的預(yù)先批準(zhǔn)，才能由安全運(yùn)營(yíng)中心(SOC)團(tuán)隊(duì)來(lái)運(yùn)行，因此，這些信息可快速同步到每一個(gè)人那里，審計(jì)采取的措施并保持嚴(yán)格的配置控制也變得相對(duì)容易，這些準(zhǔn)備都縮短了安全事件的響應(yīng)時(shí)間。

• 將檢測(cè)與響應(yīng)聯(lián)系起來(lái)，有哪些優(yōu)勢(shì)?
• SOC團(tuán)隊(duì)可以主動(dòng)保護(hù)企業(yè)，而不只是“提出問(wèn)題”。
• 安全運(yùn)營(yíng)團(tuán)隊(duì)和IT團(tuán)隊(duì)之間更好的溝通、規(guī)劃和整合。
• 減少IT團(tuán)隊(duì)的應(yīng)急負(fù)擔(dān)。
• 可以在幾分鐘內(nèi)做出事件響應(yīng)，而不是幾小時(shí)或幾天。
• 還可以快速預(yù)防未知威脅

這種高度自動(dòng)化的方法不僅縮短了響應(yīng)時(shí)間，它還為安全運(yùn)營(yíng)和IT團(tuán)隊(duì)提供了更多的時(shí)間來(lái)研究這個(gè)已經(jīng)發(fā)生的問(wèn)題。因?yàn)楝F(xiàn)在人們往往專注于以前沒有見過(guò)的新攻擊，而不是處理已知威脅的重復(fù)攻擊。

安全自動(dòng)化需要合作發(fā)力

安全自動(dòng)化需要各方的協(xié)作和努力。IT團(tuán)隊(duì)的需求必須與安全團(tuán)隊(duì)的需求保持平衡，如正常的運(yùn)行時(shí)間、可靠性和彈性等。此外，IT團(tuán)隊(duì)需要信任安全運(yùn)營(yíng)團(tuán)隊(duì)，并允許他們每次都在不需要IT直接批準(zhǔn)的情況下激活改變系統(tǒng)設(shè)置響應(yīng)。兩個(gè)團(tuán)隊(duì)都需要承擔(dān)責(zé)任，了解對(duì)方的需求，才能讓安全自動(dòng)化充分發(fā)揮其潛力。

企業(yè)正面臨著越來(lái)越多、越來(lái)越精細(xì)的攻擊，他們所依賴的應(yīng)用程序也變得越來(lái)越復(fù)雜。因此，攻擊檢測(cè)和響應(yīng)的自動(dòng)化不再只是美好的愿望，而是企業(yè)安全的重要組成部分。

參考來(lái)源

https://securityintelligence.com/posts/security-automation-enterprise-defense/