Red Hat公司的技術(shù)倡導(dǎo)者Gordon Haff說(shuō),“如果安全對(duì)企業(yè)來(lái)說(shuō)是首要任務(wù),那么,實(shí)現(xiàn)安全自動(dòng)化最好也是一個(gè)首要任務(wù)。”
這不是一個(gè)悲觀的故事,這更像是IT和安全領(lǐng)導(dǎo)者之間的一場(chǎng)戰(zhàn)爭(zhēng)。好消息是,越來(lái)越多的人開(kāi)始考慮安全自動(dòng)化。
Red Hat公司在其發(fā)布的《2023年全球科技展望》調(diào)查報(bào)告中指出,安全是IT融資的首要任務(wù)。Haff指出,安全也成為了數(shù)字化轉(zhuǎn)型的首要任務(wù)。
此項(xiàng)調(diào)查還調(diào)查了IT運(yùn)營(yíng)自動(dòng)化的優(yōu)先事項(xiàng),Haff指出,這一類別通常由配置管理等事項(xiàng)主導(dǎo)。
2023年優(yōu)先考慮安全自動(dòng)化的5個(gè)原因
2023年,安全自動(dòng)化已經(jīng)成為自動(dòng)化的首要任務(wù)。以下分析一下企業(yè)為什么應(yīng)該考慮安全自動(dòng)化。
(1)人工應(yīng)對(duì)的威脅實(shí)在太多了
企業(yè)不一定要設(shè)定一個(gè)期限,但可以說(shuō),擁有豐富資源的大型企業(yè)已經(jīng)不能夠僅憑人力和創(chuàng)造力就能處理IT安全問(wèn)題,威脅和風(fēng)險(xiǎn)的數(shù)量和種類實(shí)在是太龐大、太動(dòng)態(tài)了。
Haff說(shuō):“沒(méi)有其他方法可以在沒(méi)有實(shí)現(xiàn)自動(dòng)化的情況下大規(guī)模處理網(wǎng)絡(luò)威脅,獲得可重復(fù)性,并使安全流程持續(xù)。”
即使是IT安全的傳統(tǒng)措施(例如端點(diǎn)保護(hù)或入侵檢測(cè)),如今也需要提高自動(dòng)化水平才能發(fā)揮作用,部分原因是潛在漏洞的速度和嚴(yán)重程度繼續(xù)超過(guò)人類的能力。
Beachhead Solutions公司的軟件工程師Dan Makim說(shuō):“現(xiàn)在有太多的安全漏洞機(jī)會(huì)和端點(diǎn),企業(yè)沒(méi)有理由來(lái)緩慢實(shí)施必要的自動(dòng)化。”
他補(bǔ)充說(shuō),安全自動(dòng)化需要盡早地在流程中實(shí)施。他說(shuō),“在這種情況下,正確的策略對(duì)于阻止人工干預(yù)太晚而無(wú)法發(fā)揮作用的事件尤其重要。”
正確的安全自動(dòng)化通常并不意味著取代人類的智能和能力——與其相反,它的目的是賦予人們必要的權(quán)力來(lái)加強(qiáng)企業(yè)的安全態(tài)勢(shì)并減輕網(wǎng)絡(luò)威脅。
安全自動(dòng)化并不一定是新奇事物。特別是如果企業(yè)剛開(kāi)始采用安全自動(dòng)化技術(shù),那么即使實(shí)現(xiàn)一些簡(jiǎn)單的自動(dòng)化也可能會(huì)產(chǎn)生相當(dāng)大的影響。
Makim說(shuō):“例如,如果在企業(yè)員工的筆記本電腦上有一系列無(wú)效的登錄嘗試,自動(dòng)和預(yù)定的干預(yù)措施可以警告IT人員,或者以對(duì)話框的形式提供指導(dǎo),或者如果其他嘗試都失敗,則自動(dòng)禁用他們從該設(shè)備的訪問(wèn)。”
在另一個(gè)例子中,Makim描述了一種可以在預(yù)設(shè)的地理圍欄外移動(dòng)的設(shè)備。自動(dòng)化操作可以立即禁用對(duì)數(shù)據(jù)的訪問(wèn)或通知用戶恢復(fù)到合規(guī)性操作或者與企業(yè)的策略匹配的其他自動(dòng)化步驟。
如果企業(yè)已經(jīng)使用了像Ansible這樣的IT自動(dòng)化平臺(tái),它可以與廣泛的安全工具和流程一起工作,使各種安全操作實(shí)現(xiàn)自動(dòng)化。
這并不是說(shuō)人類不能監(jiān)控網(wǎng)絡(luò)流量或阻止可疑活動(dòng),而是自動(dòng)化技術(shù)可以更快地完成這些工作,而速度在安全活動(dòng)中至關(guān)重要。
將自動(dòng)化操作與需要人工操作的安全或IT團(tuán)隊(duì)成員進(jìn)行比較——響應(yīng)時(shí)間(即時(shí)與非即時(shí))的差異是至關(guān)重要的,Makim說(shuō),“比以往任何時(shí)候都更重要的是,那些負(fù)責(zé)安全的人不可能無(wú)處不在,自動(dòng)化安全任務(wù)可以快速應(yīng)對(duì)原本可怕的威脅場(chǎng)景。”
(2)已經(jīng)在其他地方實(shí)現(xiàn)了自動(dòng)化
軟件供應(yīng)鏈的安全仍然是2023年的主要焦點(diǎn)。因此,軟件管道充滿了安全自動(dòng)化的機(jī)會(huì),特別是因?yàn)楹芏鄨F(tuán)隊(duì)已經(jīng)將這些管道實(shí)現(xiàn)了部分自動(dòng)化。
Permiso公司的聯(lián)合創(chuàng)始人兼聯(lián)合首席執(zhí)行官Paul Nguyen表示:“在過(guò)去的幾年,工程團(tuán)隊(duì)已經(jīng)在持續(xù)集成(CI)/持續(xù)交付(CD)管道中實(shí)現(xiàn)了幾乎所有API的自動(dòng)化開(kāi)發(fā)和部署過(guò)程,不幸的是,安全性通常是事后才考慮的事項(xiàng)。因此,網(wǎng)絡(luò)攻擊者利用被盜的API密鑰和受損的服務(wù)令牌作為滲透網(wǎng)絡(luò)或服務(wù)并橫向移動(dòng)的方法。”
顯然,糾正的方向并不是放棄DevOps和持續(xù)集成(CI)/持續(xù)交付(CD)管道,而是更好地保護(hù)它們,自動(dòng)化是關(guān)鍵,DevSecOps也是如此。
Nguyen說(shuō)“現(xiàn)在是安全團(tuán)隊(duì)采用自動(dòng)化技術(shù)并加強(qiáng)安全防御的時(shí)候了,以便擁有能夠應(yīng)對(duì)網(wǎng)絡(luò)攻擊者的現(xiàn)代戰(zhàn)術(shù)。”
安全策略通常關(guān)注人員的因素,因?yàn)槿祟惒豢杀苊獾貢?huì)犯錯(cuò)誤,這可能導(dǎo)致各種各樣的風(fēng)險(xiǎn)。網(wǎng)絡(luò)釣魚(yú)電子郵件攻擊一直存在,因?yàn)樗鼈內(nèi)匀挥行А?/div>
但在軟件管道日益自動(dòng)化的背景下以及企業(yè)的業(yè)務(wù)日益自動(dòng)化的情況下,機(jī)器對(duì)機(jī)器的通信同樣重要。
Corsha公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Anusha Iyer表示:“如果我們退一步思考,網(wǎng)絡(luò)內(nèi)部、跨云平臺(tái)、跨互聯(lián)網(wǎng)的大多數(shù)通信實(shí)際上都是系統(tǒng)對(duì)系統(tǒng)和機(jī)器對(duì)機(jī)器的通信,這些系統(tǒng)可以是云計(jì)算工作負(fù)載、容器、虛擬機(jī)、微服務(wù)、傳感器、傳統(tǒng)的內(nèi)部部署服務(wù)器、工業(yè)物聯(lián)網(wǎng)設(shè)備等等。”
如果沒(méi)有實(shí)現(xiàn)安全自動(dòng)化,確保這種動(dòng)態(tài)和自動(dòng)化環(huán)境的安全幾乎是不可能的,并將機(jī)器與機(jī)器(或系統(tǒng)與系統(tǒng))交互視為與人機(jī)交互一樣重要的載體。
Iyer說(shuō):“機(jī)器身份需要被提升為‘一等公民’,以超越傳統(tǒng)的安全邊界,并以自動(dòng)化的方式大規(guī)模地在所有這些混合環(huán)境中安全傳輸數(shù)據(jù)和控制。”
(3)網(wǎng)絡(luò)攻擊者也使用自動(dòng)化
俗話說(shuō),“以其人之道還治其人之身”。在當(dāng)今的IT安全環(huán)境中,這意味著以自動(dòng)化對(duì)抗自動(dòng)化。
Inigo公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Shahar Binyamin指出:“網(wǎng)絡(luò)攻擊者也越來(lái)越多地使用更自動(dòng)化、更強(qiáng)大的工具。人工執(zhí)行的安全防御根本無(wú)法跟上這些威脅日益增長(zhǎng)的數(shù)量和復(fù)雜性。”
例如,在Inigo公司的安全領(lǐng)域——GraphQL API安全,網(wǎng)絡(luò)攻擊者已經(jīng)自動(dòng)搜索薄弱的GraphQL端點(diǎn)進(jìn)行攻擊。
Binyamin說(shuō):“他們將從最常見(jiàn)的位置開(kāi)始,并同時(shí)探測(cè)許多端點(diǎn),如果不能與自動(dòng)化相匹配,那么就是在自找麻煩。從檢測(cè)和緩解網(wǎng)絡(luò)攻擊,到強(qiáng)化攻擊面,再到訪問(wèn)控制,企業(yè)現(xiàn)在需要盡可能地實(shí)現(xiàn)自動(dòng)化。”
事實(shí)上,這一原則廣泛適用于不同的系統(tǒng)和威脅面,而不僅僅是API安全。應(yīng)對(duì)自動(dòng)網(wǎng)絡(luò)攻擊方法需要自動(dòng)防御措施。
Sisense公司的首席執(zhí)行官Amir Orad說(shuō):“安全人工智能、分析和自動(dòng)化對(duì)于跟上黑客和罪犯在制造和執(zhí)行的自動(dòng)化攻擊步伐來(lái)說(shuō)至關(guān)重要。”
Orad指出,自動(dòng)化和人工智能正在幫助網(wǎng)絡(luò)攻擊者以更快的速度和更復(fù)雜的方式進(jìn)行攻擊,例如釣魚(yú)郵件。他預(yù)計(jì)網(wǎng)絡(luò)攻擊者已經(jīng)開(kāi)始使用ChatGPT來(lái)創(chuàng)建更有效的釣魚(yú)信息。
因此,如果想“以其人之道還治其人之身”,安全自動(dòng)化正在成為賭注——如果它還沒(méi)有實(shí)現(xiàn)的話。自動(dòng)攻擊方法與信息過(guò)載(大量的摘要、警報(bào)、通知、新聞和原始數(shù)據(jù))相結(jié)合,在安全團(tuán)隊(duì)試圖人工處理所有這些問(wèn)題時(shí),可能會(huì)不堪重負(fù)。
Orad說(shuō):“當(dāng)看到警報(bào)并進(jìn)行人工調(diào)查時(shí),雙方的自動(dòng)化系統(tǒng)已經(jīng)開(kāi)始了斗爭(zhēng),這是事情的發(fā)展方向,而且在某種程度上已經(jīng)出現(xiàn)了。”
(4)自動(dòng)化有助于合規(guī)性
隨著網(wǎng)絡(luò)攻擊者越來(lái)越多地使用自動(dòng)化技術(shù),Binyamin認(rèn)為,許多企業(yè)的合規(guī)性需求日益復(fù)雜,這是2023年實(shí)現(xiàn)安全自動(dòng)化的主要驅(qū)動(dòng)力之一。
Binyamin說(shuō):“在合規(guī)性方面,各行業(yè)領(lǐng)域越來(lái)越嚴(yán)格和具體的監(jiān)管規(guī)定意味著犯錯(cuò)的空間越來(lái)越小。”
雖然合規(guī)性是一個(gè)單獨(dú)的領(lǐng)域,但它肯定是相關(guān)的。這是因?yàn)椋似渌蛑猓绻龅桨踩┒矗赡芎芸炀蜁?huì)進(jìn)行審計(jì),特別是如果涉及敏感的客戶數(shù)據(jù)。當(dāng)然,這取決于用戶的轄區(qū)、行業(yè)和其他因素。
安全自動(dòng)化可以幫助企業(yè)證明他們采取了適當(dāng)?shù)牟襟E來(lái)保護(hù)他們的系統(tǒng)和數(shù)據(jù)。
Binyamin說(shuō):“如果發(fā)生了數(shù)據(jù)泄漏的企業(yè)被審計(jì),就需要證明有必要的安全流程。因此需要盡可能多地將這些過(guò)程實(shí)現(xiàn)自動(dòng)化,使報(bào)告更易于管理,并且更加安全。”
(5)自動(dòng)化不僅有助于安全防御,還有助于進(jìn)攻
上述大部分內(nèi)容都圍繞著在發(fā)生網(wǎng)絡(luò)安全事件時(shí)加強(qiáng)安全防御和快速反應(yīng)或及時(shí)緩解。同時(shí),安全自動(dòng)化也可以幫助打擊網(wǎng)絡(luò)犯罪。
Nguyen表示,這一點(diǎn)特別重要,因?yàn)樵谶^(guò)去,企業(yè)的安全團(tuán)隊(duì)有時(shí)會(huì)通過(guò)加倍實(shí)施攻擊性策略(例如威脅搜索)來(lái)彌補(bǔ)安全自動(dòng)化的不足,即主動(dòng)尋找可能給企業(yè)帶來(lái)重大風(fēng)險(xiǎn)的問(wèn)題。
這通常是一個(gè)很好的做法,但Nguyen表示,許多團(tuán)隊(duì)缺乏適當(dāng)?shù)墓ぞ摺r(shí)間或經(jīng)驗(yàn),無(wú)法在當(dāng)今的動(dòng)態(tài)IT環(huán)境中有效地實(shí)現(xiàn)這一點(diǎn),除非他們實(shí)現(xiàn)自動(dòng)化。
Nguyen說(shuō):“大多數(shù)團(tuán)隊(duì)都在試圖人工管理現(xiàn)有工具套件中的警報(bào)或通知,但通常事倍功半。企業(yè)需要開(kāi)始采用自動(dòng)化技術(shù)來(lái)識(shí)別和背景化威脅,以確保網(wǎng)絡(luò)的安全不是基于人類的響應(yīng)時(shí)間或技能集,并協(xié)調(diào)應(yīng)對(duì)措施,以增強(qiáng)安全團(tuán)隊(duì)的大規(guī)模檢測(cè)能力。”
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)