在网络安全的竞赛里,企业正在逐渐失去优势。
网络威胁的发展超过了安全团队的适应速度。来自数十个安全产品的海量数据也超过了安全团队的处理能力。而且预算和人才短缺也限制了安全团队的快速发展。问题是,网络安全团队如何在处理日益复杂的攻击矢量的同时,提升扩展能力,并将数据泄露的风险降至最低?答案就是自动化。
自动化与安全
根据Radware的2017-2018年全球应用及网络安全报告,80%的企业称,在2017年曾遭遇了某种形式的基于网络或应用的网络攻击。该报告还指出,2017年,零日恶意软件、僵尸网络和脉冲式攻击的使用也有大幅增加,这些都是自动化攻击矢量。
数字是不会说谎的。网络犯罪分子越来越精明,他们的攻击也越来越自动化。此外,随着自动化网络攻击的出现,在保护敏感数据安全时,基于速率或手动调整的防护措施等传统的DDoS缓解方法明显都已过时。
现在,IT企业面临着高级持续性威胁,这些威胁不是由人类发起的,而是自动化的机器人程序。安全人员无法应对这些持续不断的猛烈攻击,也无法跟上即将到来的海量威胁容量。利用基于规则的事件关联的老旧DDoS缓解解决方案在24小时内就可以生成数千条警报。情况好的时候,一个SOC也只能调查其中的约100个。
此外,他们也无法快速有效地做出手动处理这些攻击的决策。研究表明,现在在某些情况下,机器学习僵尸网络能够扫描网络中的漏洞,并在20秒内成功突破其防御系统。
这就是自动化成为网络安全中强有力组成部分的原因。为了对抗即将到来的威胁的冲击,企业必须雇佣一支实力和老练程度相当的团队。
攻击者如何利用自动化
网络犯罪分子将自动化和机器学习作为武器,创建了越来越难以捉摸的攻击矢量,同时,物联网(IoT)也已被证实是推动这一趋势的催化剂。IoT是许多新型自动化机器人程序和恶意软件的发源地。
最重要的就是越来越复杂的僵尸网络,已经成为在企业网络中胡作非为的高度自动化且致命的数字军队。例如,在发动攻击之前,黑客已经可以利用僵尸网络进行早期的漏洞利用和网络侦察。
因应用在2016年针对DNS提供商Dyn的攻击中而闻名的Mirai僵尸网络及其后续的变体,也体现了其中的许多特征。该僵尸网络利用了臭名昭著的水刑攻击,可以在DNS基础架构上生成随机域名。随后出现的变体采用了自动化,使得恶意软件可以实时生成恶意查询。
现代恶意软件是一个同样复杂的多矢量网络攻击武器,可以利用一系列规避工具和伪装技术躲避检测措施。黑客可以利用机器学习创建能够击败恶意软件防御系统的自定义恶意软件。其中一个例子,是可以绕过黑箱机器学习模型的生成式对抗网络算法。在另一个例子中,一家网络安全公司采用了Elon Musk的OpenAI框架,创建一些缓解解决方案无法检测到的恶意软件。
检测和缓解措施自动化
因此,网络安全团队该如何提高其处理这些日益多样化的网络攻击的能力呢?并以以其人之道还治其人之身。自动化网络安全解决方案就提供了可以缓解这些高级威胁的数据处理能力。
高管清楚地了解这一点,并准备利用自动化的优势。根据Radware的最高管理层视角:网络攻击趋势、安全威胁及业务影响报告,大多数高管(71%)称,他们将更多的网络安全预算转移到了采用机器学习和自动化的技术上。保护日益多样化的基础架构的需求、网络安全人才的短缺以及越来越危险的网络威胁都是造成这一财政政策转变的主要因素。
此外,信任因素也在增加。该报告指出,在保护企业免受网络攻击侵扰时,与人工相比,40%的高管更信赖自动化系统。
传统的DDoS解决方案采用了速率限制和手动特征码生成来缓解攻击。速率限制可能有效,但也可能带来大量的误报。因此,手动特征码就可以用来拦截攻击型流量,减少误报数量。此外,由于只有在攻击开始后才能识别攻击型流量,因此手动特征码的创建需要时间。现在,机器学习僵尸网络可以在20秒内突破防御系统,因此这种手动策略也起不到什么作用了。
自动化,尤其是机器学习,可以通过自动生成特征码并根据不断变化的攻击矢量调整防护措施的方法克服手动特征码生成和速率限制防护措施的缺陷。机器学习利用了先进的数学模型和算法来查看基本网络参数,评估网络行为,自动生成攻击特征码并调整安全配置和/或策略,进而缓解攻击。机器学习将企业DDoS防护策略从手动、基于比率和速率的防护措施转变成了基于行为分析的检测和缓解措施(见图1)。
机器学习将DDoS防护模型从左向右移动
自动化是网络安全的未来。由于网络犯罪分子变得更精明,并且越来越多地依靠自动化来实现他们的恶意目的,自动化和机器学习就将成为网络安全解决方案的基石,用以有效应对下一代攻击的冲击。它将帮助企业提高扩展网络安全团队的能力,最小化人工错误,保护数字资产,从而确保品牌声誉和客户体验。