2013年,安全自動化和流程調度在云計算環境中的關鍵基石作用已經引起業內有心人的注意。尤其是對數據中心而言,為了達到釋放云計算潛力、降低成本、增強IT敏捷性的目的,企業需要一種能快速部署相關網絡安全服務的方法,使安全服務與動態的虛擬計算層同步,且要在虛擬化、網絡和安全元素中具有完全的自動化和編制特性。
3年過去了,終于在2016年,安全自動化和流程調度走向了前臺,成為視線的焦點。網絡虛擬化一類的技術,讓多類型流量的本地隔離,以及安全服務在應用工作流中的自動插入成為了可能。而且,自動化和流程調度也吸引了云世界之外的目光。火眼最近才并購了一家名為Invotas的安全自動化公司,提升面對高級攻擊的響應速度。
安全自動化的未來是什么?
有待被打破的一個安全領域,就是當前還處于手動狀態的安全風險驗證過程。多年來,安全主管們一直困擾于該怎樣量化他們的當前安全態勢,回答執行董事會問起的“我們有多安全?”或者“我們會被攻破嗎?之類的問題。
正確理解和量化風險,評估現有安全投資是否值回票價,對企業而言十分關鍵。這關系到企業能否弄清該將有限的資源投放到何處,該怎樣先發制人地將漏洞被黑客利用前就堵住。連二連三的數據泄露事件都告訴我們,我們并非缺乏工具,我們只是把重點搞錯了。正如Gartner所言:建立在業務上下文基礎之上的,具優先級且管理良好的修復過程,是安全運營夢寐以求的圣杯。
現有技術,比如漏洞管理系統,噪音太大,無法提供精確的風險視圖。曾有信息保障公司對100家企業進行了一系列的漏洞掃描,掃出90萬個安全相關的漏洞警告。其中,某些行業的誤報率高達89%!安全信息和事件管理(SIEM)工具可以從多個來源收集信息, 但這些工具的視野,也僅僅局限在戰術數據層面上。
因此,順理成章地,公司企業會轉向招募專業人士,比如安全顧問、白帽子黑客、安全團隊等,來應對這一挑戰。聘用具備專業技能的安全顧問,是進行年度、半年度或季度安全評估的傳統方式。但,隨著新用戶、新終端、新應用的不斷加入,風險態勢也在不斷改變, 周期性的風險評估也只能給出有限的安全風險視圖。
雇傭黑客“測試自家系統”的做法不是什么新招,但做與不做卻是個兩極分化的問題。一方面,白帽子黑客能為你提供從黑客的獨特視角將你的公司看做攻擊目標的體驗。但另一方面,出于數據敏感性的考慮,大多數測試都被限制在少數非常具體的安全用例(通常是外部威脅)上。而且,能測試出的安全漏洞也受制于所招黑客的技術水平。
眾包漏洞獎勵計劃,則是將通過把問題扔給更多的人來嘗試解決這一問題。不過,這種做法也有問題。詳情參見Facebook與研究人員起沖突的不光彩事件。公司企業可能會在漏洞嚴重性,或者特定攻擊方法上與研究人員產生分歧。
公司企業的另一種選擇,是建立自己的內部紅隊。這看起來似乎是個理想的選擇。畢竟,有個了解公司業務流程,知曉哪些資產是關鍵資產的內部團隊,能夠更好地保護公司安全環境。但是,想拉起這么一支內部安全團隊,非大公司不行——招聘具備“攻擊性”思維的特定安全專業人士可不是什么簡單的事。
現有技術和特定服務存在很多不足,意味著下一波安全創新將是,也必須是,在安全驗證和響應自動化上。我們得掌握主動,打個翻身仗。 只要能夠自動化如今的安全風險驗證過程,我們就能從瑣碎的簡單挑戰中解脫出來,把精力放到更重要的事務上。 我們可以用自動化的平臺戲耍黑客,更好地解決對手的行為;可以結合不斷發展的攻擊方法圖冊和對整個殺傷鏈的可視性,采用與改變控制流程相關聯的持續性驗證。
正如RSA總裁阿密特·尤蘭所說,在網絡安全產業,我們所想、所做的都是要推陳出新——因為安全產業一直以來操作的那一套根本沒用。
是時候好好想想這條建議了,機器崛起的時代到了。
京公網安備 11010502049343號