安全自动化产业仍处在发展初期,但已经出现了一些有前途的技术,可即使是大公司,也并未跟上这一趋势。
大多数安全自动化行业的厂商,成立至今还只度过了1到2年的岁月,但已经产出了一些可被企业利用的光明技术——只要企业已经做了基础准备工作便可使用。
安全自动化要解决的主要问题,是攻击太多太快,而人力无法跟上。
然后还有网络罪犯的问题,他们能从勒索软件和其他攻击中获取巨大的利益,又反过来投入新攻击方法的研究。还有民族国家带来的威胁,还有惨烈的技术人才短缺问题。简直就是场完美风暴。
去年秋天的一份调研中,91%的公司称,人工过程所需时间和精力限制了他们的事件响应有效性,他们不得不积极增加人手。
62%的公司已经有了自动化事件响应过程,另35%正在开始自动化和编配项目,或者在未来12-18个月里有这个计划。
2年前,没人知道这种技术。去年,我就常常看到了。现在,我们看到了各家公司对安全自动化的预算,还看到很多风投资本注入到该领域。 ——Enterprise Strategy Group 首席分析师乔恩·奥尔兹克 |
奥尔兹克估测,安全自动化及协同的市场规模在1亿到2亿美元之间,几家小厂商的销售范围在1000万到2千万美元之间。
理论上,安全自动化可以让公司企业能够调查不断涌来的威胁,并在无人干预的情况下立即做出响应——至少,最常见的劳动密集型攻击是可以自动化响应的。于是,安全分析师就能得到解放,有更多的时间可以专注在更复杂的攻击上。
最近的一些迹象表明,这一切都是可能的。
我们已经有了更好的检测准确率,误报率降低了。而且我们更多地使用云,可以在这些事情上投入更多的处理能力。 |
到目前为止,大多数的进展都在防止攻击者进入企业上。反恶意软件系统、下一代防火墙和其他威胁识别封锁系统都是如此。
最近,带评分系统的威胁情报也出现了这就让企业可以针对高风险威胁增加自动化措施,再用以前的人工过程处理有疑问的案例。
一些大公司也在部署协调平台,驱动多系统联动的自动化过程。
“但是这一类事件响应平台目前还仅限于菁英企业,财富500强公司才有实力采用。”
另外,公司企业还会编写脚本,从头创建自己的自动化过程,不过没有几个技术专家是做不到这一点的。
自动化什么?谁来自动化?
SANS研究院的事件响应调查结论是,大多数过程仍然十分依赖人工。
50%的受访者称自己有一定程度的自动化,而这自动化程度最高的过程,是远程部署安全厂商的定制内容或病毒特征库。
位列第二的自动化过程,是封锁通往恶意IP地址的命令与控制流量,有49%的受访者反馈对该过程做了自动化。第三位的,是有47%的受访者反馈的流氓文件清除过程。
最不可能被自动化的过程包括:修复过程中将受感染主机从网络中隔离,以及关闭系统和让主机下线。
但是,总体上,安全自动化落后其他技术过程的自动化大约10年。
投资公司 Scale Venture Partners 合伙人阿里尔·车特林说:“我们看到了IT自动化的巨大效果,安全上也将看到。”
安全谜题的预防部分是最为自动化的,过去两年,巨大的投资额度落在了检测上。
如今,大量的工作围绕在检测与响应之间,公司企业需要分清他们发现的指标是否是需要调查的真正的问题。
事件响应方面,今天还有很多工作是人工在做的。这些人工处理的部分,正是未来几年大量价值涌现的地方。 |
然而,现在可用的所有产品,都还处在非常早期的阶段,这一领域还没有出现所谓的领头羊。
自动化检测过程是有意义的,但完全自动化修复过程却非常危险。
网络安全咨询公司 ClearSky Cyber Security 执行董事杰·里克说:“至少在目前,我总是建议在检测和响应之间设置人手。这个环节上,你不会想要出现误报的。”
单步修复过程可以被自动化——只要其启动是由人操控的。
但我很不喜欢现在这种自动化整个从头到尾过程的想法。太粗糙,根本就是为误报准备的。最怕出现的就是产生某种业务中断。 |
市场上已经有一些厂商承诺要自动化整个过程了,包括自动化终端设备重镜像,以及自动化用户反网络钓鱼培训。
AsTech Consulting 首席安全策略师内森·温兹勒说:“但是,现实就是,大面积自动化其实不会有什么好效果。要么误报很多,要么漏报很多。这么做只会让用户特别恼怒,尤其是在明明没什么问题系统却被重镜像了的时候。”
巩固和发展
很快,安全自动化将会普及,也会更易于使用。主流厂商正在购买小型编配公司,将他们的功能整合到平台中,SIEM厂商一直在向自己的平台里添加自动化和编配功能。
厂商还开始提供预制惯例和运维手册,让公司企业不用从头开始建立自己的修复过程。
自动化技术发展的一个积极方面是,厂商之间或产品之间的藩篱将不复存在,不同技术不同产品可以相互协作。
其他IT领域里,这种事已经发生了。而在安全上,企业环境迥异,融合与联动并不容易。
“企业有20、50或更多不同供应商很常见。”
因此,厂商被鼓励良好协作,互操作性上的限制是不被客户接受的。
为自动化做好准备
对想要部署安全自动化技术的公司而言,仅确立厂商产品是否成熟是不够的。公司自身也必须准备好。
Forrester Research 分析师约瑟夫·布兰肯施普说:“这绝对不是买来就用这么简单的事。还有些基础性工作要做。如果你将坏数据放进自动化系统中,那你不过是能更快地得出糟糕决策而已。”
很多公司的分析师各自为战。想要自动化,你就必须标准化。 |
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】