【51CTO.com 快译】也许此刻大家手中已经掌握着非常丰富的安全工具——入侵检测、网络接入控制、端点安全乃至移动设备管理等等——这一切都服务于同一个目标,以自动化方式帮助用户快速发现并阻止攻击活动。
不过出于各种各样的实际理由,大家可能一直不愿意启用这些功能。我们也许会担心其错误地将部分合法业务事务屏蔽在企业环境之外,或者对员工的设备进行暂时隔离而导致其无法正常工作,甚至有可能以远程方式移除用户移动设备中的全部数据。
当然,大家也可能只是一直在忙着处理其它事务而无暇构建这类自动化机制。“我们需要投入大量时间及技能储备来进行产品调整,从而保证这类解决方案能够充分发挥其自动化功能及优势,”企业战略集团资深首席分析师Jon Oltsik指出。“除此之外,自动化机制的实现往往还取决于我们是否能够将多种安全技术加以整合,而这项工作的难度可不低,”Oltsik进一步补充称。
这些担忧当然属于合理范畴,但人们却不愿直面这些问题。正如Olstik所言:“从历史角度来讲,人们始终认为安全决策必须要在一定程度上由人为介入的方式来实现。”
正如自动驾驶车辆或者其它一些旨在帮助人们脱离驾驶位的技术成果一样,人们会本能地对此产生抗拒,或者说很难对这种自动化方案接手的处理方式给予信任。
而在另一方面,如今数据泄露事故的成本正愈发高企,而物色经验丰富的网络安全专业人士的难度也在不断攀升,这一切都使得安全技术面临缺乏依托的窘境。
现在是时候引导安全实践者们采取新的实施途径,从而最大程度享受技术优势带来的便利了。
驱动力正在逐步成形
“我们发现采用自动化功能的现象正在逐渐普及。其中的主要驱动力在于,安全专业人士们开始更加清醒地意识到自身所面临的威胁情报数据拥有何等庞大、甚至根本不可能人工加以排查的规模,”Oltsik解释道。“因此,他们开始努力将自动化机制引入更多基础性操作,进而帮助信息安全团队从那些枯燥的基础性任务当中解放出来。”
使用自动化机制的最大优势在于带来殊为可观的效率水平,Oltsik表示。“如今的网络安全工作已经更多像是一种运维问题,而非单纯的技术问题,”他指出。“我们不具备数量充足的高技术水平网络安全从业者,而且任务数量也已经增长到不可能以手动方式完成的程度。通过自动化网络安全流程整治机制,我们能够帮助企业中的安全从业人员以更睿智的方式处理问题——而非一味提升工作强度。”
而那些充分发挥安全产品内自动化功能的企业也已经开始切实收到成效。
作为一家客户体验管理服务供应商,Sitecore公司目前正在其办公环境当中使用来自Palo Alto网络公司的网络防火墙产品。与此同时,他们还配备有同样由Palo Alto方面提供的基于云的WildFire恶意软件分析服务。WildFire能够提供高级威胁检测及防御机制,其起效范畴涵盖整套网络,并能够以自动化方式在15分钟之内将保护信息同全球范围内的所有WildFire订阅客户进行共享。
Sitecore公司依赖于WildFire“尝试检测并阻止入侵活动突破我们的网络”,该公司全球IT经理Dylan Lloyd指出。其同时还在测试Palo Alto出品的Traps产品以及移动安全管理器,从而利用MDM方案“强化我们的安全水平并努力阻止更多指向移动及端点侧的攻击活动,”他解释道。
Sitecore公司采取安全自动化机制的理由多种多样,Lloyd表示。“其一在于,我们的安全团队确实规模有限,而且我们需要确保自身能够尽可能充分利用现有资源,”他表示。
自动化机制旨在降低安全人员的工作强度,“并切实达成了一目标,因此我们能够在相关功能的支持之下拥有更具安全保障的工作环境,”Lloyd指出。
提升自动化依赖程度的另一个原因在于,目前的安全威胁正在逐步扩展,即使小型企业也无法逃脱其攻击视野。“这些攻击活动在数量与复杂程度上愈发高企,单靠人力已经无法加以应对,大家需要采取自动化功能才能确保企业继续安全稳定地运营及生产,”Lloyd评论称。
如果没有这些系统,“我们将快速在网络安全威胁当中沦陷,这将直接导致员工根本无法在业务环境内正常工作,”Lloyd表示。他同时指出,由于Palo Alto公司不断在威胁情报领域倾注心力,选择这家厂商对Sitecore的网络进行保护可谓明智之举。
提升端点安全性
就目前来看,自动化机制的最大助益在于提升端点安全性。Sitecore公司已经在采用了防火墙与WildFire这一组合方案之后,获得了切实可见的恶意软件“发生率下降”,其中很大一部分甚至尚未触及公司网络即遭到屏蔽。
“这几乎已经将我们的恶意软件感染率控制在不存在的水平,”Lloyd表示。“我认为我们作为一家拥有超过1000个端点的企业,曾经发现的受感染端点数据仅在10个左右。这意味着过去三年内,我们的端点受感染率仅为约1%。我个人已经在IT领域工作了15年,此前还从来没有体验过成效如此出众的安全保护方案,而Traps的自动化特性的确帮我们实现了这一伟大目标。”
当然,安全自动化的普及道路上还存在着诸多挑战。“在将相关方案部署到位之后,合法业务流量遭到屏蔽可以说是不可避免的现象,因此我们确实遇到了一定程度的阻碍,”Lloyd指出。“此前我们遇到过多次类似的情况,即某个部门启用了一套新的SaaS工具,但其旋即遭到上述工具的屏蔽,而我们不得不以手动方式加以放行。”
然而公司管理层以及最终用户并没有对此提出反对意见,Lloyd回忆道。“作为一家技术企业的一员,他们普遍认同公司需要利用这类工具来保护现有业务的正常运转,”他指出。
而作为一家面向航空航天、国防以及生命科学领域的在线协作解决方案供应商,Exostar公司亦充分享受到了由自动化技术带来的安全优势——他们所选择的是Tenable的SecurityCenter,其支持入侵检测、安全漏洞管理以及其它相关事务。
“由于目前攻击活动的数量与复杂程度都在不断攀升,因此我们就必须投入可观的时间与人力来跟上这种发展趋势,”Exostar公司安全事务主管Rob Sherwood表示。“通过启用安全自动化功能,我们能够始终保持先发优势并集中将企业资源用于解决方案的开发与交付,从而满足客户群体不断增长的实际需要。”
安全自动化切实帮助这家企业获得了更出色的可视化能力,“我们也因此得以了解哪里存在着潜在风险,并以此为指导做出调整,”Sherwood解释称。“毫无疑问,这些功能帮助我们成功预防了大量针对企业员工业务设备的主动攻击活动。而更值得一提的是,我们已经有能力将保护范畴扩大到虚拟业务环境之外,以主动方式帮助客户日常需要使用的各类应用抵御攻击活动的侵袭。”
与此同时,Exostar公司还在自动化与人工控制之间找到了理想的平衡点,Sherwood表示。“随着我们对于安全工具实际成效的了解与信任,我们开始采取其它步骤对自动化的针对方向做出指引,”他指出。“由于我们需要面向航空航天、国防、生命科学以及医疗卫生等关键性领域,因此必须确保自身与相关监管机构提出的要求相吻合,而强大的安全保障能力正是其中的必要前提。有鉴于此,我们一直以非常积极的态度对安全要求以及安全工具的自动化能力做出调整。”
为了避免自动化机制给用户造成影响或者引发潜在的生产效率下降状况,企业高管层面需要首先采取一套基准安全态势支持方案,从而在必要时对行货机制进行控制、限制或者进行临时性的例外处理,Sherwood解释道。
纽约城市大学皇后学院目前也在采用安全自动化相关功能。该学院依托于来自Forescout公司的CounterACT实现入侵预防效果,其通过使用行为来检测网络异常状况或者病毒,并能够立即屏蔽相关用户。
“在此基础之上,我们进一步采用了CounterACT网络门户,旨在向用户通知现有问题并帮助其与服务台取得联系,”该学院网络服务与互联网安全事务主管Morris Altman表示。“这能够帮助我们摆脱几十年前那种较为原始的安全处理流程,即发现网络当中存在蠕虫病毒传播现象并笨拙地以手动方式进行解决。”
一旦这类状况出现,学院中的成百上千台计算机都面临着被感染的风险,“而我们会以手动方式断开并禁用其网络端口,确保这些计算设备处于离线状态,并随后通过防火墙日志来排查这些计算机,”Altman表示。
该学院如今能够主动阻断攻击活动,而无需再粗暴地直接对全部计算机设备进行屏蔽。“CounterACT的这种强大能力使其成为我们心目中一套出色的生产力与时间节约方案,”Altman指出。“我们如今仍然能够见到类似的恶意感染传播状况,但现在我们已经能够轻松阻止其进一步传播。”
而在该学院的无线网络方面——也就是面向学生的客户网络——“我们发现了众多存在各类安全问题的接入计算机设备,”Altman表示。“我们会在追踪过程中对其进行屏蔽,这样对应的学生既可以自行修复,亦可以同我们的服务台取得联系。现在我们又开始在学生的智能手机上发现病毒程序,而在这方面主动出击仍将成为致胜的关键。”
纽约皇后学院还制定了一些比必要水平更为严苛的管理政策;举例来说,如果某位用户没有安装Windows更新补丁,则其访问会被立即屏蔽,Altman告诉我们。
“现在我们已经制定出确切的时间周期,我们能够在此期间向用户发出警告并指导学生根据Web界面及服务台显示出的具体问题着手处理,”Altman表示。“我们会给学生预留一周左右的解决周期,如果到期问题仍未得到解决,其访问权限将被立即取消。这是我们长久以来积累得出的有效处理办法,能够切实平衡安全风险与生产效率之间的最佳切入点。我们当然不希望粗暴地剥夺用户处理日常任务的能力,但有时候如果安全风险太过巨大,这也是不得已之下的最好办法。”
原文标题:It’s time to pull the trigger on security automation
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】