網(wǎng)絡(luò)安全維護(hù)聽起來很簡單：修補(bǔ)系統(tǒng)、刪除舊賬戶、更新軟件，但對(duì)于大型企業(yè)而言，這很快就會(huì)變得一團(tuán)糟。系統(tǒng)數(shù)量成千上萬，團(tuán)隊(duì)分布各地，有些機(jī)器甚至幾個(gè)月都沒有重啟過。

自動(dòng)化可以提供幫助，但并非所有事情都應(yīng)該自動(dòng)化，也不是每種自動(dòng)化都能帶來回報(bào)。對(duì)于CISO而言，真正的問題不是“我們能否實(shí)現(xiàn)自動(dòng)化?”而是“我們是否應(yīng)該實(shí)現(xiàn)自動(dòng)化?”

以下是當(dāng)前網(wǎng)絡(luò)安全維護(hù)中值得自動(dòng)化的內(nèi)容，以及應(yīng)如何劃定界限。

從可見的內(nèi)容開始

在實(shí)現(xiàn)任何自動(dòng)化之前，請(qǐng)確保你能看清正在發(fā)生的事情，許多網(wǎng)絡(luò)故障都源于可見性不足。如果你不知道系統(tǒng)的存在，就無法修補(bǔ)它;如果你不知道某個(gè)賬戶處于活動(dòng)狀態(tài)，就無法為其輪換密碼。

資產(chǎn)發(fā)現(xiàn)應(yīng)是你首先實(shí)現(xiàn)自動(dòng)化的內(nèi)容，優(yōu)質(zhì)的資產(chǎn)清單現(xiàn)在應(yīng)包括云實(shí)例、員工筆記本電腦、移動(dòng)設(shè)備、虛擬機(jī)、影子IT等。

暴露管理工具可以自動(dòng)化網(wǎng)絡(luò)安全維護(hù)計(jì)劃的關(guān)鍵方面，例如驗(yàn)證是否啟用了多因素認(rèn)證、標(biāo)記過時(shí)的軟件以及檢測(cè)弱密碼。

許多CISO認(rèn)為暴露管理工具只是另一種形式的持續(xù)漏洞掃描，但這種觀點(diǎn)忽略了一個(gè)關(guān)鍵點(diǎn)。據(jù)Bitsight的客戶倡導(dǎo)總監(jiān)兼首席架構(gòu)師Chris Poulin所述，這些工具提供了根本不同的東西：“它們提供了至關(guān)重要的外部視角——它們對(duì)企業(yè)認(rèn)為自己擁有什么一無所知?！?/p>

正是這種外部思維模式使暴露管理如此強(qiáng)大。與基于現(xiàn)有資產(chǎn)清單假設(shè)運(yùn)行的內(nèi)部工具不同，暴露管理從零開始?！霸跊]有先入為主的觀念下，暴露管理工具采取全面方法來發(fā)現(xiàn)資產(chǎn)，”Poulin解釋道?！八鼈兝枚鄻踊膩碓础缁ヂ?lián)網(wǎng)注冊(cè)機(jī)構(gòu)(如ARIN、RIPE、APNIC、LACNIC和AFRINIC)、域名注冊(cè)商、DNS記錄、BGP公告以及證書元數(shù)據(jù)(如主題和備用名稱)——來暴露盲點(diǎn)或被忽視的資產(chǎn)。”

Poulin解釋說，這些資產(chǎn)包括：

• 影子IT：任何留下數(shù)字足跡的影子資產(chǎn)(即DNS記錄、注冊(cè)商、注冊(cè)機(jī)構(gòu)文物等)。
• 懸空DNS記錄：攻擊者可以利用未正確退役的過時(shí)DNS記錄。
• 云使用情況：暴露管理有助于識(shí)別資產(chǎn)集中可能帶來風(fēng)險(xiǎn)的地方，無論是通過單點(diǎn)故障還是使用安全性控制較弱的云提供商。
• 域名搶注和停放：企業(yè)通常會(huì)為未來使用或防止域名類似誤用(即域名搶注)而注冊(cè)域名，并將其停放在注冊(cè)商處。注冊(cè)商會(huì)在這些停放域名上出售廣告空間，但通常不會(huì)審查廣告商——從而為攻擊者留下了意想不到的攻擊場(chǎng)所。
• 并購疏忽：當(dāng)一家公司收購另一家公司或剝離部分業(yè)務(wù)時(shí)，應(yīng)包括注冊(cè)所有權(quán)。暴露管理有助于保持公共數(shù)據(jù)庫的清潔和準(zhǔn)確。

補(bǔ)丁管理：可以，但要注意復(fù)雜性

盡管企業(yè)會(huì)自動(dòng)化補(bǔ)丁部署，但這并不總是意味著補(bǔ)丁能正確應(yīng)用。例外情況不斷累積，一些業(yè)務(wù)部門會(huì)推遲重啟，遺留系統(tǒng)需要長達(dá)數(shù)周的測(cè)試周期。

如果你要自動(dòng)化補(bǔ)丁管理，請(qǐng)建立回退機(jī)制，這意味著：

• 對(duì)失敗的部署發(fā)出清晰警報(bào)
• 如果補(bǔ)丁導(dǎo)致應(yīng)用程序崩潰，具備回滾能力
• 根據(jù)風(fēng)險(xiǎn)(例如，零日漏洞應(yīng)優(yōu)先處理)升級(jí)策略控制

此外，請(qǐng)將補(bǔ)丁管理節(jié)奏與業(yè)務(wù)日程安排保持一致。在高峰時(shí)段導(dǎo)致停機(jī)的自動(dòng)補(bǔ)丁管理是迅速失去業(yè)務(wù)部門支持的方式。

請(qǐng)確保自動(dòng)補(bǔ)丁管理也與漏洞管理相關(guān)聯(lián)，沒有上下文的補(bǔ)丁管理會(huì)浪費(fèi)時(shí)間，請(qǐng)首先關(guān)注最易被利用的問題，并盡可能自動(dòng)化分類。

與自動(dòng)化程度較低或沒有自動(dòng)化的企業(yè)相比，具有高度安全自動(dòng)化的企業(yè)在數(shù)據(jù)泄露方面的成本顯著降低。

密碼和憑證：自動(dòng)化輪換，而非邏輯

憑證是大多數(shù)企業(yè)中的主要薄弱環(huán)節(jié)。舊的服務(wù)賬戶、共享的管理員憑證以及硬編碼的密碼在太多違規(guī)行為中出現(xiàn)。

你應(yīng)該自動(dòng)化以下內(nèi)容的輪換：

• 服務(wù)賬戶密碼
• 特權(quán)賬戶憑證
• API密鑰和秘密

盡可能使用保管庫工具，但不要自動(dòng)化訪問決策。人類仍需制定策略，特別是針對(duì)高特權(quán)訪問。如果做得不好，自動(dòng)化“誰有權(quán)訪問什么”的邏輯可能會(huì)創(chuàng)建盲點(diǎn)或過度授權(quán)的賬戶。

此外，請(qǐng)自動(dòng)化清理工作。一些企業(yè)在遷移或員工離職后會(huì)留下孤立的憑證。請(qǐng)?jiān)O(shè)置規(guī)則，在設(shè)定時(shí)間或一段時(shí)間不活動(dòng)后使憑證過期。

對(duì)于一直在應(yīng)對(duì)持續(xù)的身份和訪問管理挑戰(zhàn)的CISO而言，自動(dòng)化憑證輪換并為特權(quán)賬戶實(shí)施保管庫工具正變得不可或缺。“這有助于消除企業(yè)內(nèi)一些風(fēng)險(xiǎn)最高的攻擊媒介，”1Password的全球咨詢CISO Dave Lewis表示。一旦被攻破，舊的服務(wù)賬戶和共享管理員登錄名就會(huì)為攻擊者提供直接進(jìn)入關(guān)鍵系統(tǒng)的途徑，使其成為主要目標(biāo)。

Lewis指出，手動(dòng)憑證輪換“通常最多只是有些零散，容易出錯(cuò)，且難以審計(jì)”，使安全團(tuán)隊(duì)存在操作盲點(diǎn)。自動(dòng)化流程可確保一致的政策遵守，并顯著減少憑證泄露時(shí)的暴露窗口，它還使團(tuán)隊(duì)能夠在不中斷操作的情況下響應(yīng)疑似違規(guī)行為，按需輪換憑證。

同樣重要的是，保管庫工具提供了關(guān)鍵的第二層保護(hù)。“它通過集中控制、執(zhí)行嚴(yán)格的訪問限制以及維護(hù)憑證使用情況的詳細(xì)審計(jì)日志，防止密碼重復(fù)使用、硬編碼和未經(jīng)授權(quán)的共享，”Lewis表示?，F(xiàn)實(shí)世界中的違規(guī)行為經(jīng)常利用腳本和配置文件中未管理的憑證——保管庫解決方案幾乎可以消除這些漏洞。

最終，Lewis強(qiáng)調(diào)，將自動(dòng)化與保管庫結(jié)合使用不僅能加強(qiáng)防御，還能讓安全團(tuán)隊(duì)有喘息之機(jī)?！八兄谑拱踩珗F(tuán)隊(duì)能夠更專注于通過主動(dòng)安全措施來管理威脅檢測(cè)和緩解風(fēng)險(xiǎn)，”他表示?！皩?duì)于CISO而言，將憑證自動(dòng)化置于優(yōu)先地位不僅是一種良好的衛(wèi)生習(xí)慣;它還是一種基本的防御策略?！?/p>

賬戶生命周期

員工入職和離職是高風(fēng)險(xiǎn)時(shí)刻。如果有人離職后仍能訪問系統(tǒng)，那就存在漏洞。通過身份提供商和人力資源系統(tǒng)集成，自動(dòng)化配置和取消配置，這確保訪問權(quán)限與工作角色保持一致，并在應(yīng)該結(jié)束時(shí)結(jié)束。

自動(dòng)化常規(guī)任務(wù)可確保它們及時(shí)完成，并使安全人員能夠?qū)Ｗ⒂诟鼜?fù)雜的問題。自動(dòng)化在這里能提供幫助，但同樣，人類需要設(shè)定邏輯。請(qǐng)確保訪問權(quán)限與當(dāng)前角色相關(guān)聯(lián)，而不僅僅是過去的模板。

不要自動(dòng)化策略例外

每個(gè)企業(yè)都有特殊情況，有時(shí)，系統(tǒng)無法立即修補(bǔ)，或者用戶需要臨時(shí)管理員訪問權(quán)限，這些情況需要判斷。

如果你自動(dòng)化例外處理，就可能面臨永久豁免的風(fēng)險(xiǎn)。那是隨時(shí)可能發(fā)生的網(wǎng)絡(luò)安全維護(hù)失敗。相反，請(qǐng)使用自動(dòng)化來標(biāo)記例外情況，并要求人類定期批準(zhǔn)或續(xù)簽。

將其視為隔離過程，自動(dòng)化有助于檢測(cè)和隔離，但人類做出最終決定。

警報(bào)和報(bào)告

網(wǎng)絡(luò)衛(wèi)生數(shù)據(jù)很嘈雜，自動(dòng)化系統(tǒng)可能會(huì)告訴你10000個(gè)端點(diǎn)缺少補(bǔ)丁。除非按嚴(yán)重性、可利用性和業(yè)務(wù)影響進(jìn)行排序，否則這并無幫助。

使用自動(dòng)化來：

• 根據(jù)風(fēng)險(xiǎn)對(duì)警報(bào)進(jìn)行優(yōu)先級(jí)排序
• 將工單路由到正確的團(tuán)隊(duì)
• 按業(yè)務(wù)部門生成報(bào)告

但請(qǐng)避免只顯示衛(wèi)生分?jǐn)?shù)而沒有上下文的儀表板。好的報(bào)告會(huì)講述一個(gè)故事：哪些方面正在改善，哪些方面存在風(fēng)險(xiǎn)，以及下一步應(yīng)關(guān)注哪里。

據(jù)Swimlane的CISO Michael Lyborg所述，與NIST CSF、ISO/IEC 27001/2或NIST 800-53等基礎(chǔ)框架保持一致是至關(guān)重要的第一步?！安捎萌?、以框架為導(dǎo)向的方法可使團(tuán)隊(duì)能夠優(yōu)先處理風(fēng)險(xiǎn)、簡化審計(jì)準(zhǔn)備、進(jìn)行差距分析，并通過持續(xù)監(jiān)控提高態(tài)勢(shì)感知能力?！盠yborg表示。

但僅合規(guī)是不夠的，對(duì)于被噪音淹沒的安全運(yùn)營團(tuán)隊(duì)而言，警報(bào)優(yōu)先級(jí)排序仍然是一個(gè)持續(xù)的挑戰(zhàn)。Lyborg建議首先使用自動(dòng)化根據(jù)嚴(yán)重性、頻率和業(yè)務(wù)影響對(duì)警報(bào)進(jìn)行分類。“通過上下文數(shù)據(jù)豐富警報(bào)，并使用AI進(jìn)行決策支持，有助于團(tuán)隊(duì)精準(zhǔn)定位最重要的事項(xiàng)，”Lyborg指出?！皩?duì)于重復(fù)性、低風(fēng)險(xiǎn)的警報(bào)，實(shí)施自動(dòng)響應(yīng)以減少手動(dòng)工作量?！?/p>

同樣的自動(dòng)化思維應(yīng)擴(kuò)展到網(wǎng)絡(luò)安全維護(hù)?！皩Ｗ⒂谧詣?dòng)化補(bǔ)丁管理、漏洞掃描、用戶賬戶治理和日志分析，”Lyborg建議。這些基礎(chǔ)任務(wù)一旦自動(dòng)化，就能使安全團(tuán)隊(duì)將精力集中在更高價(jià)值的戰(zhàn)略計(jì)劃上。

自動(dòng)化還將報(bào)告過程——通常被視為時(shí)間消耗——轉(zhuǎn)變?yōu)橛袃r(jià)值的情報(bào)工具?！白詣?dòng)生成的漏洞掃描、補(bǔ)丁合規(guī)性、用戶訪問審查和事件響應(yīng)文檔提供了可操作的見解，”Lyborg表示?！翱梢暬?、定制化和與安全工具的集成提高了理解和實(shí)用性。”

最終，目標(biāo)是提高效率并實(shí)現(xiàn)更主動(dòng)的安全態(tài)勢(shì)?！巴ㄟ^將標(biāo)準(zhǔn)化框架與智能自動(dòng)化相結(jié)合，企業(yè)可以加強(qiáng)其安全態(tài)勢(shì)和網(wǎng)絡(luò)安全維護(hù)，減輕運(yùn)營壓力，并做出更明智、數(shù)據(jù)驅(qū)動(dòng)的決策以緩解威脅?！盠yborg總結(jié)道。

從小規(guī)模開始，衡量一切

網(wǎng)絡(luò)安全維護(hù)中的自動(dòng)化并非要消除人類，而是要幫助他們?cè)陉P(guān)鍵領(lǐng)域集中精力。對(duì)于大型企業(yè)而言，這意味著在不失去監(jiān)督的情況下擴(kuò)展基礎(chǔ)操作。

最佳的自動(dòng)化應(yīng)從以下三個(gè)問題開始：

• 這項(xiàng)衛(wèi)生任務(wù)是否一致且可重復(fù)?
• 它是否容易出錯(cuò)?
• 自動(dòng)化失敗的風(fēng)險(xiǎn)是否低于手動(dòng)操作的風(fēng)險(xiǎn)?

從小規(guī)模開始，衡量一切，并且不要設(shè)置后就置之不理。網(wǎng)絡(luò)安全維護(hù)永遠(yuǎn)做不完，但智能自動(dòng)化可以防止其崩潰。