自動化網(wǎng)絡(luò)安全防御可快速、準(zhǔn)確地識別并響應(yīng)威脅，前景十分誘人。波耐蒙研究所的調(diào)查研究發(fā)現(xiàn)，數(shù)據(jù)泄露事件的平均成本已高達386萬美元，平均檢測和控制時間也固定在280天之久，絲毫不見縮短?？梢哉f，企業(yè)對任何能夠降低這些數(shù)字的系統(tǒng)都翹首以待。于是，人工智能(AI)和其他自動化防御技術(shù)的快速普及也就不足為奇了。

網(wǎng)絡(luò)罪犯和其他黑客也可以使用同樣的技術(shù)，或者操縱企業(yè)采用的自動化系統(tǒng)。由于這些技術(shù)并不成熟，或者普通IT部門對之不甚了解，也留下了錯誤配置和重疊系統(tǒng)間相互沖突的可能性。

[[422002]]

不切實際的期望

網(wǎng)絡(luò)安全的每一個新興趨勢都伴隨著炒作。自動化防御技術(shù)浪潮被吹噓為應(yīng)對安全人才短缺和攻擊不斷升級的良藥。安全編排、自動化與響應(yīng)(SOAR)、擴展檢測與響應(yīng)(XDR)和用戶及實體行為分析(UEBA)便是這股浪潮的風(fēng)口浪尖。但問題是，這些技術(shù)的功能有時候被夸大了，而其引入的問題可能會多過好處。

大多數(shù)企業(yè)的規(guī)模和復(fù)雜程度增加了技術(shù)采用的難度。想要收獲自動化系統(tǒng)的種種好處，離不開適當(dāng)?shù)囊?guī)劃和兼容的基礎(chǔ)設(shè)施。而且，企業(yè)還存在將這些新技術(shù)“物盡其用”的危險想法，不管適不適用都想用上一把，尤其是在做出大筆投資之后。

盡管長期來講這些新技術(shù)可以節(jié)約成本，但短期內(nèi)自動化系統(tǒng)的恰當(dāng)集成和管理可能反而會增加成本。不切實際的期望和自滿有可能引發(fā)災(zāi)難。

缺乏了解

自動化網(wǎng)絡(luò)安全賽道十分擁擠。360 Research Reports的報告顯示，SOAR市場增長迅速，預(yù)計2026年市場規(guī)模將達13億美元，遠超今年的7.21億美元。市場領(lǐng)導(dǎo)者天然想要保護他們的知識產(chǎn)權(quán)。很多機器學(xué)習(xí)系統(tǒng)也依賴黑箱模式，幾乎無法窺探此類產(chǎn)品的內(nèi)部工作機制。

如果連供應(yīng)商都不了解決策是怎么做出的，其客戶又從何得知呢?

對未經(jīng)證明的自治系統(tǒng)賦予如此信任是極具風(fēng)險的。更糟的是，自治系統(tǒng)還會產(chǎn)生連鎖反應(yīng)，擠占企業(yè)人才的生存空間。隨著自治系統(tǒng)頂著可填補人才缺口的期望接管工程師的工作，人才招聘將變得越來越少，員工培訓(xùn)的意愿也會下降。

數(shù)據(jù)集中毒

信任自動化系統(tǒng)的幾大危險之一，是自動化系統(tǒng)可能遭到黑客篡改。遭攻擊的企業(yè)根本無法得知系統(tǒng)是否被篡改。用經(jīng)篡改的數(shù)據(jù)集給自動化系統(tǒng)下毒太容易不過。數(shù)據(jù)集中毒可能會令機器學(xué)習(xí)算法隨時間推移發(fā)生危險的扭曲，或者導(dǎo)致無辜流量在短期內(nèi)被標(biāo)記為異常。攻擊者未必需要欺騙系統(tǒng)，他們只需要使之超載即可突然關(guān)停服務(wù)或網(wǎng)絡(luò)，讓所有人都不得其門而入。

即使沒有惡意黑客的暗中謀劃，一些自動化防御技術(shù)也可能與公司網(wǎng)絡(luò)上的其他工具和系統(tǒng)發(fā)生沖突。以感染導(dǎo)致人體發(fā)燒為例。免疫系統(tǒng)升高體溫，試圖殺死侵入人體的細菌，但在極端情況下，發(fā)熱可能導(dǎo)致失能甚或死亡。

怎樣合理采用

盡管存在風(fēng)險，自動化網(wǎng)絡(luò)安全防御技術(shù)也代表著真實的機會。但如何采用卻必須小心謹(jǐn)慎。采用自動化網(wǎng)絡(luò)安全防御技術(shù)必須經(jīng)過周密的計劃，設(shè)置合理的期待值，并確保公司有內(nèi)部人才可以正確配置和詮釋自動化系統(tǒng)。

我們有必要評估這些系統(tǒng)的自治程度，并限制其在無人監(jiān)督情況下關(guān)停服務(wù)的能力。信任建立必須緩慢而謹(jǐn)慎。應(yīng)仔細審查自動化防御的依賴源，找到可以持續(xù)監(jiān)測數(shù)據(jù)集的方法，防止中毒攻擊嘗試。

制定事件響應(yīng)計劃可以緩解風(fēng)險，滿足各種自動化系統(tǒng)故障的場景。排演這些響應(yīng)計劃并按需做出調(diào)整，這樣可以確保計劃有效。實施嚴(yán)格的測試和變更管理以減少對任何自動化系統(tǒng)的過度依賴也是明智之舉。

毫無疑問，自動化網(wǎng)絡(luò)安全防御將發(fā)揮越來越重要的作用，但我們必須忍住倉促上馬的誘惑。想要充分發(fā)揮這項新興技術(shù)的效用，就要選擇經(jīng)過深思熟慮的策略而非盲目信任，并且要適當(dāng)調(diào)整自己對這項技術(shù)的期待值。