安全自動化產業仍處在發展初期,但已經出現了一些有前途的技術,可即使是大公司,也并未跟上這一趨勢。
大多數安全自動化行業的廠商,成立至今還只度過了1到2年的歲月,但已經產出了一些可被企業利用的光明技術——只要企業已經做了基礎準備工作便可使用。
安全自動化要解決的主要問題,是攻擊太多太快,而人力無法跟上。
然后還有網絡罪犯的問題,他們能從勒索軟件和其他攻擊中獲取巨大的利益,又反過來投入新攻擊方法的研究。還有民族國家帶來的威脅,還有慘烈的技術人才短缺問題。簡直就是場完美風暴。
去年秋天的一份調研中,91%的公司稱,人工過程所需時間和精力限制了他們的事件響應有效性,他們不得不積極增加人手。
62%的公司已經有了自動化事件響應過程,另35%正在開始自動化和編配項目,或者在未來12-18個月里有這個計劃。
2年前,沒人知道這種技術。去年,我就常常看到了。現在,我們看到了各家公司對安全自動化的預算,還看到很多風投資本注入到該領域。
——Enterprise Strategy Group 首席分析師喬恩·奧爾茲克
奧爾茲克估測,安全自動化及協同的市場規模在1億到2億美元之間,幾家小廠商的銷售范圍在1000萬到2千萬美元之間。
理論上,安全自動化可以讓公司企業能夠調查不斷涌來的威脅,并在無人干預的情況下立即做出響應——至少,最常見的勞動密集型攻擊是可以自動化響應的。于是,安全分析師就能得到解放,有更多的時間可以專注在更復雜的攻擊上。
最近的一些跡象表明,這一切都是可能的。
我們已經有了更好的檢測準確率,誤報率降低了。而且我們更多地使用云,可以在這些事情上投入更多的處理能力。
到目前為止,大多數的進展都在防止攻擊者進入企業上。反惡意軟件系統、下一代防火墻和其他威脅識別封鎖系統都是如此。
最近,帶評分系統的威脅情報也出現了這就讓企業可以針對高風險威脅增加自動化措施,再用以前的人工過程處理有疑問的案例。
一些大公司也在部署協調平臺,驅動多系統聯動的自動化過程。
“但是這一類事件響應平臺目前還僅限于菁英企業,財富500強公司才有實力采用。”
另外,公司企業還會編寫腳本,從頭創建自己的自動化過程,不過沒有幾個技術專家是做不到這一點的。
自動化什么?誰來自動化?
SANS研究院的事件響應調查結論是,大多數過程仍然十分依賴人工。
50%的受訪者稱自己有一定程度的自動化,而這自動化程度最高的過程,是遠程部署安全廠商的定制內容或病毒特征庫。
位列第二的自動化過程,是封鎖通往惡意IP地址的命令與控制流量,有49%的受訪者反饋對該過程做了自動化。第三位的,是有47%的受訪者反饋的流氓文件清除過程。
最不可能被自動化的過程包括:修復過程中將受感染主機從網絡中隔離,以及關閉系統和讓主機下線。
但是,總體上,安全自動化落后其他技術過程的自動化大約10年。
投資公司 Scale Venture Partners 合伙人阿里爾·車特林說:“我們看到了IT自動化的巨大效果,安全上也將看到。”
安全謎題的預防部分是最為自動化的,過去兩年,巨大的投資額度落在了檢測上。
如今,大量的工作圍繞在檢測與響應之間,公司企業需要分清他們發現的指標是否是需要調查的真正的問題。
事件響應方面,今天還有很多工作是人工在做的。這些人工處理的部分,正是未來幾年大量價值涌現的地方。
然而,現在可用的所有產品,都還處在非常早期的階段,這一領域還沒有出現所謂的領頭羊。
自動化檢測過程是有意義的,但完全自動化修復過程卻非常危險。
網絡安全咨詢公司 ClearSky Cyber Security 執行董事杰·里克說:“至少在目前,我總是建議在檢測和響應之間設置人手。這個環節上,你不會想要出現誤報的。”
單步修復過程可以被自動化——只要其啟動是由人操控的。
但我很不喜歡現在這種自動化整個從頭到尾過程的想法。太粗糙,根本就是為誤報準備的。最怕出現的就是產生某種業務中斷。
市場上已經有一些廠商承諾要自動化整個過程了,包括自動化終端設備重鏡像,以及自動化用戶反網絡釣魚培訓。
AsTech Consulting 首席安全策略師內森·溫茲勒說:“但是,現實就是,大面積自動化其實不會有什么好效果。要么誤報很多,要么漏報很多。這么做只會讓用戶特別惱怒,尤其是在明明沒什么問題系統卻被重鏡像了的時候。”
鞏固和發展
很快,安全自動化將會普及,也會更易于使用。主流廠商正在購買小型編配公司,將他們的功能整合到平臺中,SIEM廠商一直在向自己的平臺里添加自動化和編配功能。
廠商還開始提供預制慣例和運維手冊,讓公司企業不用從頭開始建立自己的修復過程。
自動化技術發展的一個積極方面是,廠商之間或產品之間的藩籬將不復存在,不同技術不同產品可以相互協作。
其他IT領域里,這種事已經發生了。而在安全上,企業環境迥異,融合與聯動并不容易。
“企業有20、50或更多不同供應商很常見。”
因此,廠商被鼓勵良好協作,互操作性上的限制是不被客戶接受的。
為自動化做好準備
對想要部署安全自動化技術的公司而言,僅確立廠商產品是否成熟是不夠的。公司自身也必須準備好。
Forrester Research 分析師約瑟夫·布蘭肯施普說:“這絕對不是買來就用這么簡單的事。還有些基礎性工作要做。如果你將壞數據放進自動化系統中,那你不過是能更快地得出糟糕決策而已。”
另外,很多公司實際上并不清楚自身都有些什么過程,也可能根本沒有定義良好的手冊。
很多公司的分析師各自為戰。想要自動化,你就必須標準化。