Maria+Korolov

對網(wǎng)絡(luò)和端點設(shè)備的應(yīng)急響應(yīng)和緩解過程實現(xiàn)自動化是一個棘手的難題

許多公司都有自動化系統(tǒng)用于預(yù)防、檢測和調(diào)查安全事件，但對網(wǎng)絡(luò)和端點設(shè)備的應(yīng)急響應(yīng)和緩解過程實現(xiàn)自動化一直是一個棘手的難題。

這包括端點設(shè)備自動重新鏡像，將設(shè)備與公司網(wǎng)絡(luò)隔離，或者關(guān)閉某一網(wǎng)絡(luò)進程以便快速高效地對攻擊做出響應(yīng)等措施。

Forrester Research分析師Joseph Blankenship說：“我認為在這方面有很大的潛力。我們的確還處在探索時期，但這一定會發(fā)生，一定會成為大規(guī)模主流應(yīng)用?！?/p>

他說，企業(yè)首先需要在安全自動化工具方面獲得更多的經(jīng)驗，看看這會有什么影響。

他說，但是應(yīng)急響應(yīng)完全自動化仍然需要三到五年的時間才能成為現(xiàn)實。

他說：“現(xiàn)在有一些早期的嘗試。比如說，如果每次看到相同的威脅指示時，分析師都會從自動化工具或者機器學(xué)習(xí)算法中獲得行動建議，并做出相同的選擇，點擊‘是，繼續(xù)下一步。那么，如果我們這樣做500次或者1000次，我們就會覺得這是一個能夠完全自動化的過程，分析師可以完全從循環(huán)中擺脫出來。”

在這一點上，分析師可以專注于那些更困難、更復(fù)雜的情形。

但是，加利福尼亞州Foster市的投資公司Scale Venture Partners合伙人Ariel Tseitlin指出，如果公司自己已經(jīng)有了應(yīng)急響應(yīng)規(guī)程，也可以不通過機器學(xué)習(xí)系統(tǒng)實現(xiàn)自動化。

他說：“采用其中一個規(guī)程，使用安全自動化工具，測試該規(guī)程在多大程度上能夠?qū)崿F(xiàn)自動化。這是一個非常實用而且現(xiàn)實的方式來確定一個工具是否適用于個人環(huán)境，以及您可以從中獲得多少好處。”

他說，即使部分自動化也是非常有效的。

他說：“假設(shè)您的一臺端點設(shè)備上有惡意軟件，對此您的規(guī)程中50個步驟。假如您能夠?qū)崿F(xiàn)80%的自動化，您會發(fā)現(xiàn)安全部門節(jié)省了大量的時間，很快就能看到這樣做的價值所在?！?/p>

Tseitlin說，他在決定是否投資某一安全創(chuàng)業(yè)公司時，與客戶進行了討論，他發(fā)現(xiàn)這方面已經(jīng)實現(xiàn)了真正的價值。

確定某一應(yīng)急響應(yīng)技術(shù)是否有效的一個關(guān)鍵因素是企業(yè)本身是否準備好進行自動化。

他說：“不同的公司處于不同的安全成熟階段。如果您沒有想過這個過程，那么可以認為自動化是不成熟的。您首先要做的是籌劃好風(fēng)險、威脅和控制，然后考慮如何實施每一項控制。但是，當您經(jīng)歷了這一過程后，就會明白自動化是加速和提高企業(yè)效率的好方法?！?/p>

清理端點設(shè)備

在端點設(shè)備上最早使用的自動化功能之一是在惡意軟件進行任何破壞之前對其進行隔離或者刪除。

現(xiàn)在幾乎每臺PC都安裝了某種形式的反病毒軟件，很多公司也使用基于行為的惡意軟件探測技術(shù)來發(fā)現(xiàn)新的威脅。

人工響應(yīng)太慢，因為惡意軟件能夠很快破壞設(shè)備，在人工做出響應(yīng)之前甚至就已經(jīng)蔓延到了同一網(wǎng)絡(luò)的其他計算機上。

ISACA董事會成員和安全顧問Rob Clyde說：“這不是一個新概念?！?/p>

但是，如果用戶點擊惡意鏈接或者附件，并安裝能夠逃避所有防御的惡意軟件，將其安裝在機器上，開始破壞，那該怎么辦呢？

典型的響應(yīng)措施是存儲設(shè)備鏡像的副本以便以后進行取證分析，擦除機器，從干凈的鏡像恢復(fù)，并從最新的備份還原用戶的文件。雖然這一切曾發(fā)生過，用戶仍然需要參加一些反網(wǎng)絡(luò)釣魚培訓(xùn)，下一次會更加小心。

Clyde說，有些公司實現(xiàn)這一過程的自動化要比其他公司容易一些。

他說：“有些已經(jīng)徹底實現(xiàn)了虛擬桌面。實質(zhì)上，他們的桌面總是可以重新進行鏡像，因為物理機器只是虛擬桌面的主機。”

同樣的，如果公司的員工使用Office 365等基于云的平臺，并將所有工作文檔保存在自己的服務(wù)器或者云端，那么重新鏡像也會相對快捷輕松。

在這兩種情況下，降低了在過程中丟失有價值文件的風(fēng)險，減少了實際如果沒有感染而可能帶來的損害。

他說：“同時，我們有一些知識型的員工，比如營銷部門中的某個人，他要經(jīng)常性地開發(fā)新的廣告文案和PowerPoint演示文稿。對于很多公司，這些仍然通常存儲在本地的個人機器上。不必要的擦除機器，損失一天的工作，這種想法是讓一些公司不愿意采用這種方法的原因?！?/p>

隔離威脅

自動緩解的另一常見技術(shù)是隔離受感染的機器。

他說：“您不一定要擦除它，但也不會再傳播感染了?！?/p>

他說，但是，這樣做不僅僅是為了保護端點設(shè)備。

他說：“的確需要網(wǎng)絡(luò)訪問控制。如果對被感染的端點設(shè)備進行檢測時能夠連接到網(wǎng)絡(luò)訪問控制系統(tǒng)，那么該網(wǎng)絡(luò)訪問控制系統(tǒng)可以自動鏈接回網(wǎng)絡(luò)安全產(chǎn)品，實際上能夠讓該設(shè)備無法連接到網(wǎng)絡(luò)。”

但是，當部署具有這些功能的產(chǎn)品時，往往無法實施。

他說：“在某些情況下，這有一點對照檢查的意思。沒有人會問我是否實現(xiàn)了網(wǎng)絡(luò)訪問控制。他們應(yīng)該將其添加到檢查表中?！?/p>

在一個大型企業(yè)中，建立這類系統(tǒng)可能會有另外的障礙，因為負責(zé)網(wǎng)絡(luò)的人員和負責(zé)端點設(shè)備的人員分屬于兩個不同的部門。

他說：“這需要合作，有時太難合作了。”

企業(yè)戰(zhàn)略集團高級首席分析師Jon Oltsik說，此外，還有多少設(shè)備必須被隔離的問題。

他說：“如果我隔離一個系統(tǒng)，那沒關(guān)系。但是如果我要隔離更多的系統(tǒng)，那就會變得非常復(fù)雜?！?/p>

他說，必要的響應(yīng)涉及的范圍越廣，就會越復(fù)雜?！澳仨氂行判模嘈抛约鹤龅氖虑槭钦_的?！?/p>

智能網(wǎng)絡(luò)

目前有很多能夠用于檢測網(wǎng)絡(luò)上可疑活動的工具。

Oltsik說：“您看到一個營銷人員已經(jīng)啟動了網(wǎng)絡(luò)掃描——這不應(yīng)該發(fā)生，因此，您可以隔離該系統(tǒng)。或者您看到系統(tǒng)與已知的命令和控制服務(wù)器進行通信，那么，您可以在系統(tǒng)級或者網(wǎng)絡(luò)級停止它們。這很普通，有很多公司都這樣做?！?/p>

他說，但是攻擊越復(fù)雜，就越難以通過自動化進行應(yīng)對。

這并不意味著網(wǎng)絡(luò)供應(yīng)商不會去嘗試。

ISACA的Clyde說，網(wǎng)絡(luò)安全最近一直是自動化領(lǐng)域的熱點。

他說：“如果您參加過最近一次RSA展，您會看到，一家又一家的網(wǎng)絡(luò)安全公司大力宣傳他們?nèi)绾巫詣訖z測攻擊，并在某些情況下自動采取措施?！?/p>

但是，對于這是否是一個好主意，還存在意見分歧。

他說：“有些人對在沒有人參與的情況下采取措施表示擔(dān)心，特別是如果一個系統(tǒng)不是100%確定的情形?？赡軙鲥e，采取了一些可能阻止合法活動的措施。但有的人會喜歡，‘攻擊者跑得太快了，我們需要自動化。”

如果誤報率過高，企業(yè)更愿意將警報發(fā)送給分析師，進行人工分析。

他說：“我們正在取得進展。但是，最新的趨勢是檢測，而不是采取措施，除非有99.9%的把握才會采取措施?！?/p>

他說，好在由于技術(shù)的進步，人類分析師能夠處理和監(jiān)控的東西比幾年前多得多。

他說：“這是個好消息。壞消息是，我不確定我們能不能跟上攻擊方的創(chuàng)新?！?/p>

Maria Korolov——特約撰稿人

過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址：

http：//www.csoonline.com/article/3193036/security/automated-mitigation-on-endpoint-devices-and-networks-can-be-tricky.html