Maria+Korolov

安全自動(dòng)化行業(yè)還處于起步階段，有一些很有前途的技術(shù)

安全自動(dòng)化行業(yè)還處于起步階段，大多數(shù)供應(yīng)商才剛成立一兩年，但如果他們已經(jīng)有了必要的基礎(chǔ)工作，那么，企業(yè)將能夠使用一些很有前途的技術(shù)。

安全自動(dòng)化要解決的主要問題是——有如此多的攻擊嘗試入侵，而且入侵非?？?，人類難以應(yīng)對(duì)。

網(wǎng)絡(luò)犯罪分子從勒索軟件和其他攻擊中得到了大量的金錢，使他們能夠投資于新類型的攻擊，甚至對(duì)國家構(gòu)成了威脅，在這方面急需人才。

這簡直就是一場災(zāi)難。

企業(yè)戰(zhàn)略集團(tuán)高級(jí)首席分析師Jon Oltsik說：“即使是最大的公司也難以應(yīng)對(duì)?！?/p>

據(jù)去年秋季研究公司的一項(xiàng)調(diào)查，91%的公司承認(rèn)，人工操作所需的時(shí)間和投入限制了應(yīng)急響應(yīng)的有效性，有很多公司正在積極地增加員工人數(shù)。

62%的公司已經(jīng)實(shí)施了應(yīng)急響應(yīng)的自動(dòng)響應(yīng)流程，另有35%的公司正在開始自動(dòng)化和流程編排項(xiàng)目，或者計(jì)劃在未來12至18個(gè)月內(nèi)進(jìn)行。

Oltsik說：“兩年前，沒有人知道這項(xiàng)技術(shù)。而去年，出現(xiàn)了很多?，F(xiàn)在我們看到有這方面的預(yù)算，我們也看到了很多風(fēng)投在這一領(lǐng)域進(jìn)行了投資?！?/p>

他估計(jì)安全自動(dòng)化和流程編排領(lǐng)域的市場規(guī)模在1億到2億美元之間，幾家小型供應(yīng)商的銷售額在1000萬到2000萬美元之間。

理論上，安全自動(dòng)化能夠支持公司調(diào)查入侵威脅并立即做出響應(yīng)，至少無需人為參與——最常見的是針對(duì)人員密集型攻擊。然后，安全分析人員就可以從這些工作中解脫出來，專注于類型更復(fù)雜的攻擊。

最近有跡象表明這是可能的。

Oltsik說：“我們的檢測精度很高。誤報(bào)率較低。而我們?cè)絹碓蕉嗟厥褂迷?，這有助于實(shí)現(xiàn)更強(qiáng)的處理能力?！?/p>

到目前為止最大的進(jìn)展是第一時(shí)間阻止攻擊者侵入企業(yè)。反惡意軟件系統(tǒng)、下一代防火墻以及其他發(fā)現(xiàn)威脅并阻止威脅的系統(tǒng)。

Oltsik說，最近，評(píng)分系統(tǒng)可以提供威脅情報(bào)。利用這些情報(bào)，公司針對(duì)那些可能非常危險(xiǎn)的威脅添加更多的自動(dòng)化處理功能，并且通過老的手動(dòng)過程來處理可疑的情況。

一些較大的公司也在部署流程編排平臺(tái)。這將實(shí)現(xiàn)涉及多個(gè)系統(tǒng)的自動(dòng)化流程。

他說：“但這些類型的應(yīng)急響應(yīng)平臺(tái)現(xiàn)在還只限于大企業(yè)，例如，財(cái)富500強(qiáng)的企業(yè)?！?/p>

此外，公司還編寫腳本，從頭開始創(chuàng)建自己的自動(dòng)化流程，但這需要一些專業(yè)技術(shù)。

誰在對(duì)什么進(jìn)行自動(dòng)化

據(jù)最近的SANS研究所應(yīng)急響應(yīng)調(diào)查，大多數(shù)流程仍然以人工操作為主。

有50%的受訪者說他們有一定程度的自動(dòng)化，最自動(dòng)化的流程是用于遠(yuǎn)程部署安全供應(yīng)商的自定義內(nèi)容或者簽名。

其次，49%是阻止惡意IP地址發(fā)出的命令和控制，還有47%是刪除流氓文件。

最難以實(shí)現(xiàn)自動(dòng)化的流程包括在修復(fù)過程中把受感染的計(jì)算機(jī)與網(wǎng)絡(luò)隔離開，并關(guān)閉系統(tǒng)，使其離線。

位于加州Foster市的投資公司Scale風(fēng)險(xiǎn)投資合作伙伴合伙人Ariel Tseitlin說，總體而言，安全自動(dòng)化要比其他技術(shù)流程自動(dòng)化落后10年左右。

他說：“但是我們已經(jīng)看到自動(dòng)化對(duì)IT產(chǎn)生了巨大的影響，今后對(duì)安全也是如此?！?/p>

他說，安全難題的預(yù)防部分是最容易自動(dòng)化的。那么在過去的兩年里，在檢測方面的投資非常多。

現(xiàn)在，在檢測和響應(yīng)上開展了很多工作，公司應(yīng)弄清楚他們發(fā)現(xiàn)的哪些問題是真正需要調(diào)查的問題。

他說：“那么在應(yīng)急響應(yīng)方面，現(xiàn)在大量的工作都是由人工完成的。在這方面，我認(rèn)為未來幾年會(huì)帶來很大的價(jià)值?！?/p>

他說，然而，目前所有的產(chǎn)品仍處于早期階段，在這個(gè)領(lǐng)域還沒有公認(rèn)的領(lǐng)導(dǎo)者。

網(wǎng)絡(luò)安全咨詢公司ClearSky網(wǎng)絡(luò)安全的總經(jīng)理Jay Leek指出，自動(dòng)檢測很好，但修復(fù)流程完全自動(dòng)化是有風(fēng)險(xiǎn)的。

他說：“我總是建議，至少目前，在這兩個(gè)不同的流程之間最好有人參與。您不會(huì)愿意在這里出現(xiàn)誤報(bào)?！?/p>

他說，修復(fù)流程的各個(gè)步驟可以自動(dòng)化，只要人們按下按鈕開始工作就可以了。

他說：“但我不喜歡現(xiàn)在把整個(gè)端到端流程進(jìn)行自動(dòng)化的想法。還非常不成熟，很容易出現(xiàn)誤報(bào)。您最后要做的是建立一些業(yè)務(wù)中斷?！?/p>

AsTech Consulting首席安全策略師Nathan Wenzler說，市場上有的供應(yīng)商希望整個(gè)流程自動(dòng)化，包括自動(dòng)重新鏡像端點(diǎn)設(shè)備，讓用戶參加反網(wǎng)絡(luò)釣魚培訓(xùn)等。

他說：“但到了最后，現(xiàn)實(shí)情況是如果有人試圖大規(guī)模地做到這一點(diǎn)，效果往往并不好。他們要么有太多的誤報(bào)，要么有太多的漏報(bào)。用戶會(huì)感到煩惱，特別是如果您的系統(tǒng)是重新鏡像過的，沒有任何錯(cuò)誤的情況?！?/p>

聯(lián)合和發(fā)展

很快，安全自動(dòng)化的應(yīng)用會(huì)越來越廣泛，也更容易使用。大供應(yīng)商們一直在收購小的流程編排公司，并將其功能集成到自己的平臺(tái)上，而SIEM供應(yīng)商已經(jīng)在其平臺(tái)上增加了自動(dòng)化和流程編排功能。

供應(yīng)商也開始提供預(yù)先構(gòu)建的例程并運(yùn)行規(guī)程，這樣，公司不必從頭開始去建立修復(fù)流程。

Forrester Research分析師Joseph Blankenship說，自動(dòng)化技術(shù)發(fā)展積極的一面是，我們沒有供應(yīng)商或者技術(shù)孤島，所謂孤島是指一些公司的產(chǎn)品與其他公司的不能很好地兼容。

這之前在IT的其他領(lǐng)域出現(xiàn)過。然而，在安全方面，企業(yè)環(huán)境往往非常多樣化。

他說：“企業(yè)有20、50甚至更多的供應(yīng)商是很常見的。”

他說，因此，供應(yīng)商有動(dòng)力進(jìn)行合作，客戶很難接受在互操作性上受到限制。

準(zhǔn)備好自動(dòng)化

對(duì)于希望部署安全自動(dòng)化技術(shù)的公司來說，只確定供應(yīng)商的產(chǎn)品是否準(zhǔn)備就緒還不夠。

Blankenship說，公司也要做好準(zhǔn)備。

他說：“絕對(duì)不是買它，然后把它放到應(yīng)用場景中?？隙ㄐ枰龌A(chǔ)工作。如果把錯(cuò)誤的數(shù)據(jù)放入到自動(dòng)化系統(tǒng)中，您很快就會(huì)做出更糟糕的決策。”

他說，此外，很多公司并不知道他們的流程是什么，也可能還沒有明確的規(guī)程。

他說：“很多公司的分析師們就怎樣進(jìn)行調(diào)查而各干各的。為了使這些事情自動(dòng)化，你必須首先標(biāo)準(zhǔn)化?！?/p>

Maria Korolov——特約撰稿人 ，過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址：

http：//www.csoonline.com/article/3193035/security/security-automation-is-maturing-but-many-firms-not-ready-for-adoption.html