前 言

在網(wǎng)絡安全分析中，傳統(tǒng)的網(wǎng)絡安全在當今時代背景下是十分局限的，這也造就了網(wǎng)絡安全自動化的興起。網(wǎng)絡安全自動化即，通過流程自動化的產(chǎn)品和服務實現(xiàn)整個網(wǎng)絡安全分析過程自動化，使安全分析師能快速地關注與最大風險相關的信息、事件。安全產(chǎn)品與服務將不可避免地要順應自動化的潮流，將自身與自動化思想相互結合。但現(xiàn)有的產(chǎn)品和服務并不能完全支持自動化改造，因此評估產(chǎn)品和服務的自動化潛力是十分有必要的。

本文將主要介紹評估自動化潛力的相關背景、API的可用性、功能方面的考慮和信息方面的考慮，使讀者可以對評估產(chǎn)品和服務的自動化潛力有相應的了解。本文內(nèi)容主要參考了文獻[1]。

背 景

隨著安全自動化的推廣，安全產(chǎn)品與服務將不可避免地要順應自動化的潮流，將自身與自動化相互結合，但現(xiàn)有的產(chǎn)品和服務并不能完全支持自動化改造。產(chǎn)生這一問題的主要原因是：通過應用程序編程接口(API)獲得的功能和信息可能與通過用戶界面獲得的功能和信息不同。因此，評估產(chǎn)品和服務的自動化潛力對于如今安全自動化的實行是十分重要的。評估已經(jīng)部署或正處于開發(fā)階段的產(chǎn)品和服務，以確定它們是否具有有限的自動化潛力。這種評估需要更多的細節(jié)，而不僅僅是確保有一個API，而且不容易從典型的供應商演示中區(qū)分出來。評估自動化潛力的流程如圖1所示。

圖1 評估自動化潛力流程圖

圖1中的流程圖展示了兩組問題，分別為功能方面的問題和信息方面的問題。這些問題是產(chǎn)品和服務在自動化操作流程時遇到的最常見的問題。當評估產(chǎn)品支持自動化的能力時，關鍵是評估API的可用性、來自API工具的功能和信息是如何通過API來呈現(xiàn)，而不是工具的一般用戶界面。

API可用性

首先，產(chǎn)品或服務必須具有供用戶大規(guī)模使用的API。在安全編排、自動化和響應(SOAR)市場出現(xiàn)之前，并不是所有的產(chǎn)品都為用戶提供了直接的API訪問。預期的設想是：用戶將與儀表板或控制臺交互，應用程序?qū)⒃趦?nèi)部處理所有API請求。但當用戶開始從幾十個產(chǎn)品中接收到數(shù)千個警報時，這種方法就不再是可行的網(wǎng)絡防御了?，F(xiàn)在，大多數(shù)產(chǎn)品都期望并支持用戶某種程度的自動化，但是用戶通過產(chǎn)品或服務提供的圖形界面手動與應用程序交互的最初設計原則，導致了不同程度的自動化支持。

許多產(chǎn)品現(xiàn)在都有兩個不同的API可用，一個設計用于與典型用戶交互，另一個設計用于支持組織管理功能和相關信息。在本文中，前者稱為前端API，后者稱為后端API。這種區(qū)別很重要，因為不同的API通常公開不同類型的信息和功能。因此，它們可能受到不同的許可限制，這些能力和訪問選項上的差異可能會影響條件操作流程或復雜操作流程的自動化，這需要結合調(diào)用前端和后端API來實現(xiàn)。

將本地工具與基于云的產(chǎn)品進行比較時，可能會出現(xiàn)類似的情況。許多供應商在遷移到云時刪除、限制或修改API訪問策略和功能。如果一個組織依賴于API訪問，那么在考慮供應商提供的遷移到基于云的工具版本時，必須評估這一點。

功能方面的考慮

隨著組織將操作安全流程自動化，他們會遇到一組與API公開的功能相關的常見問題。以下三個方面的考慮事項，旨在幫助組織評估產(chǎn)品和服務，以確保可在適當?shù)臅r候啟用自動化。

• 非限制性
• 綜合性
• 外部應用性

非限制性。產(chǎn)品或服務在支持自動化處理的規(guī)模上提供API訪問是十分重要的。在實現(xiàn)自動化流程中，通常遇到的第一個問題是許可限制。前端API密鑰(用于以授權方式訪問API)可能不包含在初始許可協(xié)議中。同樣，有許多服務在分析師手動訪問時是免費的，但需要付費升級以支持自動訪問。即使組織為API的訪問付費，它也常常與基于當前手工操作的最大請求數(shù)量或有限的服務集相關聯(lián)。在所有這些情況下，對可用API的訪問在某種程度上受到限制，這影響了組織使用其所需的自動化的機會。

綜合性。分析員可以在應用程序中執(zhí)行的每個功能都需要可以通過API使用。在實現(xiàn)自動化流程中，遇到的下一個問題是：API只公開了分析人員在操作中使用的功能的一個子集。即使有一組函數(shù)通過API可用，應用程序支持的這些函數(shù)的功能和可以自動化的功能之間也可能存在差異。這是因為應用程序可能通過一些專有方法來實現(xiàn)高級功能，而這些高級功能無法通過將可用API調(diào)用鏈接在一起來實現(xiàn)。分析師在操作期間執(zhí)行的任何操作或任務，如果不能通過API調(diào)用一致且準確地實現(xiàn)，就會限制通過自動化獲得的效率。

外部可用性。每個可以自動化的功能都需要由API向應用程序外部的源公開。某些供應商包或應用程序套件擁有只有其官方產(chǎn)品才能訪問的API，或者只能使用套件內(nèi)部生成的信息來調(diào)用這些API。操作流程可以從組織內(nèi)部和外部的多個來源接收相同的核心信息，相同的自動化流程應該能夠?qū)ο嗤愋偷男畔?zhí)行相同的操作，而不考慮信息的來源。如果需要為不同的源開發(fā)不同的自動化流程，或者需要部署不同的功能來通過不同的API訪問相同的信息，那么自動化操作的有效性將受到限制。

信息方面的考慮

隨著組織將操作安全流程自動化，還會遇到一組與API公開信息相關的常見問題。以下為四種考慮事項，旨在幫助組織評估產(chǎn)品和服務，以確保它們支持適當?shù)淖詣踊?/p>

• 可獲得性
• 一致性
• 可控性
• 可用性

可獲得性。應用程序分析人員可獲得的信息必須可通過適當?shù)腁PI獲得。許多產(chǎn)品限制了使用API調(diào)用可以導出或返回的內(nèi)容，使得某些信息片段只能在應用程序內(nèi)部使用。前端API和后端API提供的信息往往是不同的，每個API的可訪問性都受到法律、服務協(xié)議和安全策略的限制。生成或提供操作人員使用信息的產(chǎn)品和服務必須提供對這些信息的API訪問，否則自動化的機會將受到重大影響。

一致性。任何導入操作流程中使用的信息的產(chǎn)品都需要通過API以一致的方式提供相同的信息。許多產(chǎn)品和服務提供類似的信息(例如，嚴重性評分，優(yōu)先級)，但由于信息獲取的途徑可能是非常不同的，即使它們有著相同的含義，這些信息也可能意味著非常不同的事情。在導入過程中，有時會刪除或修改某些數(shù)據(jù)字段，如果沒有完善的數(shù)據(jù)檢測機制，將導致通過后端API導出的信息不一致。雖然人們可以使用上下文來推斷信息的含義，但自動化通常不能。

可控性。通過API訪問的信息必須與應用程序提供給分析人員的信息相匹配。圖形用戶界面使用戶操作可視，并且在視覺上進行了優(yōu)化以支持推理。它們支持分析人員定制可見的字段、標簽和顯示結果的順序。API是為響應請求而設計的，并使用非常特定的結構對處理響應進行了優(yōu)化，這將導致應用程序中所請求和看到的信息可能與通過API返回的信息不同的情況。自動化流程的能力直接與通過API重新生成分析人員獲得的信息的能力聯(lián)系在一起。

可用性。通過API公開的信息必須以某種格式提供，使其可用于產(chǎn)品和服務的自動執(zhí)行。在某些情況下，在操作流程中使用自定義代碼之前，必須開發(fā)和維護自定義代碼來解析、翻譯、規(guī)范化或重新格式化從API調(diào)用接收到的信息。必須執(zhí)行的處理越多，自動化流程的效率受到的影響就越大。隨著組織擴大自動化的使用，這種影響可能變得更加重要。

小 結

實現(xiàn)自動化是解決現(xiàn)代網(wǎng)絡攻擊速度和規(guī)模的關鍵組成部分。如果沒有通過安全工具精心安排的自動響應，通常不可能在一個能夠?qū)崿F(xiàn)網(wǎng)絡防御的時間框架內(nèi)對網(wǎng)絡威脅情報做出響應。本文主要介紹了評估自動化潛力的相關背景、API的可用性、功能方面的考慮和信息方面的考慮。期望讀者可以對評估產(chǎn)品和服務的自動化潛力有所了解，可以判斷出產(chǎn)品和服務是否能夠成功獲得自動響應的顯著好處。

參考文獻

[1]《Enabling Automation in Security Operations - Assessing Potential》