網絡威脅的發展超過了安全團隊的適應速度。來自數十個安全產品的海量數據也超過了安全團隊的處理能力。而且預算和人才短缺也限制了安全團隊的快速發展。

問題是，網絡安全團隊如何在處理日益復雜的攻擊矢量的同時，提升擴展能力，并將數據泄露的風險降至最低?

答案就是自動化。

自動化與安全

根據Radware的2017-2018年全球應用及網絡安全報告，80%的企業稱，在2017年曾遭遇了某種形式的基于網絡或應用的網絡攻擊。該報告還指出，2017年，零日惡意軟件、僵尸網絡和脈沖式攻擊的使用也有大幅增加，這些都是自動化攻擊矢量。

數字是不會說謊的。網絡犯罪分子越來越精明，他們的攻擊也越來越自動化。此外，隨著自動化網絡攻擊的出現，在保護敏感數據安全時，基于速率或手動調整的防護措施等傳統的DDoS緩解方法明顯都已過時。

現在，IT企業面臨著高級持續性威脅，這些威脅不是由人類發起的，而是自動化的機器人程序。安全人員無法應對這些持續不斷的猛烈攻擊，也無法跟上即將到來的海量威脅容量。利用基于規則的事件關聯的老舊DDoS緩解解決方案在24小時內就可以生成數千條警報。情況好的時候，一個SOC也只能調查其中的約100個。

此外，他們也無法快速有效地做出手動處理這些攻擊的決策。研究表明，現在在某些情況下，機器學習僵尸網絡能夠掃描網絡中的漏洞，并在20秒內成功突破其防御系統。

這就是自動化成為網絡安全中強有力組成部分的原因。為了對抗即將到來的威脅的沖擊，企業必須雇傭一支實力和老練程度相當的團隊。

攻擊者如何利用自動化

網絡犯罪分子將自動化和機器學習作為武器，創建了越來越難以捉摸的攻擊矢量，同時，物聯網(IoT)也已被證實是推動這一趨勢的催化劑。IoT是許多新型自動化機器人程序和惡意軟件的發源地。

最重要的就是越來越復雜的僵尸網絡，已經成為在企業網絡中胡作非為的高度自動化且致命的數字軍隊。例如，在發動攻擊之前，黑客已經可以利用僵尸網絡進行早期的漏洞利用和網絡偵察。

因應用在2016年針對DNS提供商Dyn的攻擊中而聞名的Mirai僵尸網絡及其后續的變體，也體現了其中的許多特征。該僵尸網絡利用了臭名昭著的水刑攻擊，可以在DNS基礎架構上生成隨機域名。隨后出現的變體采用了自動化，使得惡意軟件可以實時生成惡意查詢。

現代惡意軟件是一個同樣復雜的多矢量網絡攻擊武器，可以利用一系列規避工具和偽裝技術躲避檢測措施。黑客可以利用機器學習創建能夠擊敗惡意軟件防御系統的自定義惡意軟件。其中一個例子，是可以繞過黑箱機器學習模型的生成式對抗網絡算法。在另一個例子中，一家網絡安全公司采用了Elon Musk的OpenAI框架，創建一些緩解解決方案無法檢測到的惡意軟件。

檢測和緩解措施自動化

因此，網絡安全團隊該如何提高其處理這些日益多樣化的網絡攻擊的能力呢?并以以其人之道還治其人之身。自動化網絡安全解決方案就提供了可以緩解這些高級威脅的數據處理能力。

高管清楚地了解這一點，并準備利用自動化的優勢。根據Radware的最高管理層視角：網絡攻擊趨勢、安全威脅及業務影響報告，大多數高管(71%)稱，他們將更多的網絡安全預算轉移到了采用機器學習和自動化的技術上。保護日益多樣化的基礎架構的需求、網絡安全人才的短缺以及越來越危險的網絡威脅都是造成這一財政政策轉變的主要因素。

此外，信任因素也在增加。該報告指出，在保護企業免受網絡攻擊侵擾時，與人工相比，40%的高管更信賴自動化系統。

傳統的DDoS解決方案采用了速率限制和手動特征碼生成來緩解攻擊。速率限制可能有效，但也可能帶來大量的誤報。因此，手動特征碼就可以用來攔截攻擊型流量，減少誤報數量。此外，由于只有在攻擊開始后才能識別攻擊型流量，因此手動特征碼的創建需要時間?，F在，機器學習僵尸網絡可以在20秒內突破防御系統，因此這種手動策略也起不到什么作用了。

自動化，尤其是機器學習，可以通過自動生成特征碼并根據不斷變化的攻擊矢量調整防護措施的方法克服手動特征碼生成和速率限制防護措施的缺陷。機器學習利用了先進的數學模型和算法來查看基本網絡參數，評估網絡行為，自動生成攻擊特征碼并調整安全配置和/或策略，進而緩解攻擊。機器學習將企業DDoS防護策略從手動、基于比率和速率的防護措施轉變成了基于行為分析的檢測和緩解措施(見圖1)。

圖1：機器學習將DDoS防護模型從左向右移動

自動化是網絡安全的未來。由于網絡犯罪分子變得更精明，并且越來越多地依靠自動化來實現他們的惡意目的，自動化和機器學習就將成為網絡安全解決方案的基石，用以有效應對下一代攻擊的沖擊。它將幫助企業提高擴展網絡安全團隊的能力，最小化人工錯誤，保護數字資產，從而確保品牌聲譽和客戶體驗。