Stacy+Collett+Charles

處于壓力和緊張中的IT安全部門希望通過自動化來減壓。

網(wǎng)絡(luò)工程師Jose Arellano承認(rèn)，“我每天最棘手的工作”是保證伊利諾斯州West Aurora 129學(xué)區(qū)1.27萬名學(xué)生、1900名員工和1萬多臺連網(wǎng)設(shè)備的安全。只有他們兩個人的安全部門的主要工作是讓網(wǎng)絡(luò)盡可能安全、高效地運(yùn)行，為教師和學(xué)生提供服務(wù)。在學(xué)校有限的資源和預(yù)算下，Arellano說：“我們的注意力只能集中在學(xué)校內(nèi)部。”

然而，去年秋天的DDoS攻擊使該學(xué)區(qū)的網(wǎng)絡(luò)癱瘓了六個星期，他們很難找出問題所在?，F(xiàn)在，他不得不把注意力從單純的預(yù)防方法轉(zhuǎn)到檢測和響應(yīng)上。他說：“這是一項極其困難的工作。”

越來越多的安全專家遇到了與Arellano同樣的挫折。據(jù)研究公司CyberEdge集團(tuán)的一項研究，全球安全從業(yè)人員把“難以抵御的網(wǎng)絡(luò)威脅環(huán)境”視為2015年和2016年IT安全專業(yè)人員面臨的最大難題，而最新的報告則解釋了造成目前各種難題的原因。

據(jù)威脅情報公司Risk Based Security的一份報告，僅在2017年的前三個月就發(fā)現(xiàn)有4837個漏洞，比2016年同期增長了29.2%，目前有報道的漏洞數(shù)量還在急速攀升。

WannaCry勒索軟件事件標(biāo)志著犯罪分子們在全球發(fā)起了新一輪惡意軟件、勒索軟件、網(wǎng)絡(luò)釣魚的持續(xù)轟炸攻擊，而且是不加選擇的攻擊各種目標(biāo)。很多企業(yè)，不管規(guī)模大小，每天都會從其監(jiān)控系統(tǒng)收到數(shù)以萬計的安全警報。例如，據(jù)研究公司Ovum，大約37%的銀行每天都會收到20多萬次可能是攻擊的安全警報。

猛烈的攻擊只會讓安全部門越來越頭疼。企業(yè)不僅要對數(shù)據(jù)進(jìn)行篩選，優(yōu)先處理數(shù)以千計的警報，而且還要采取行動讓那些已經(jīng)人手已經(jīng)嚴(yán)重不足的網(wǎng)絡(luò)專業(yè)人員動手進(jìn)行調(diào)查。Oxford Economics公司代表ServiceNow最近進(jìn)行的一項調(diào)查顯示，81%的受訪者表示，他們擔(dān)心檢測到的安全漏洞得不到解決。Cybersecurity Ventures的一份新報告估計，到2021年，將空缺350萬個網(wǎng)絡(luò)安全工作崗位，高于去年的100萬個。

Forrester Research高級分析師、安全和風(fēng)險專家Joseph Blankenship說，大量新出現(xiàn)的自動檢測和事件響應(yīng)技術(shù)雖然有所幫助，但很多企業(yè)仍不愿意進(jìn)行安全自動化。Blankenship說：“在過去，自動化給我們帶來了問題。合法的數(shù)據(jù)流被阻斷，造成了中斷。在采取自動化措施的過程中，如果沒有人去查看并進(jìn)行驗證，會出現(xiàn)很多問題?！?/p>

現(xiàn)在，有的人可能又有些樂觀了。Blankenship說：“直到最近我們才開放了API，我們不僅能把數(shù)據(jù)從簡單的日志數(shù)據(jù)中提取出來，而且還能推送回去。平臺之間有更多的共享，我們已經(jīng)創(chuàng)建了這一自動的流程編排層，這要?dú)w功于API能夠讓我們更自由的交換數(shù)據(jù)?！?/p>

Jon Oltsik是ESG的高級首席分析師，也是該公司的網(wǎng)絡(luò)安全服務(wù)創(chuàng)始人，他說：“流程編排和自動化有可能是不錯的解決方案，但您真的只能淺嘗輒止。這不會解決您所有的問題。有時候這也意味著要改變您的過程?！?/p>

企業(yè)有大量可供選擇的自動事件響應(yīng)解決方案，當(dāng)然不會有萬能的解決方案。三家企業(yè)分享了他們自己遇到的網(wǎng)絡(luò)安全挑戰(zhàn)和應(yīng)對策略。

管理海量的安全數(shù)據(jù)

對于完全托管服務(wù)提供商CareWorks，其分布在美國88個地區(qū)和6個國際地區(qū)的安全工具收集了太多的安全數(shù)據(jù)以至于很難處理，該公司首席信息官兼首席技術(shù)官Bart Murphy說：“即使我們的IT部門人員配置的很好，也很難處理這些數(shù)據(jù)。我們必須能夠以少勝多”。

Murphy開始尋找方法來收集其漏洞掃描器、安全分析軟件和端點解決方案中的所有數(shù)據(jù)，然后至少把一些工作流程進(jìn)行自動化。

CareWorks已經(jīng)采用了ServiceNow的平臺即服務(wù)來實現(xiàn)企業(yè)IT運(yùn)營的自動化。因此，在2017年3月，該公司增加了供應(yīng)商的安全運(yùn)營模塊。雖然仍然在早期應(yīng)用階段，但該公司已經(jīng)集成了Symantec、Nessus、LogRythm和Tanium等工具，目的是識別出能夠自動化的流程。Murphy說：“我們最終會利用流程編排工具來讓流程自己去真正的應(yīng)對威脅，并返回報告?！?/p>

目前，SecOps模塊可以跟蹤與潛在或者實際的安全事件相關(guān)的所有活動，而無需人工去查閱各種各樣的日志?，F(xiàn)在還不能確切地知道節(jié)省了多少時間和人力。現(xiàn)在，Murphy的目標(biāo)是“確保我們能夠盡可能地保護(hù)和預(yù)防我們所知道的”，但他說，在安全自動化方面建立信心需要時間。

他說：“隨著時間的推移，要通過一定程度的驗證才能適應(yīng)這種自動化。在今后6到12個月的時間里，我并沒有不切實際地想把所有一切都實現(xiàn)自動化。我寧愿有10個經(jīng)過深思熟慮和經(jīng)過測試的自動化流程，而不是100個隨意的流程。確保各部門了解目標(biāo)，不要為了自動化而自動化?！?/p>

以少勝多

當(dāng)談到網(wǎng)絡(luò)安全時，F(xiàn)inning國際公司首席信息安全官Suzie Smibert認(rèn)為一切都在于簡化?？偛课挥跍馗缛A的這家公司是全球最大的Caterpillar產(chǎn)品和支持服務(wù)供應(yīng)商，Smibert也是該公司的企業(yè)架構(gòu)全球總監(jiān)，對于網(wǎng)絡(luò)響應(yīng)技術(shù)，Smibert指出，“現(xiàn)在有太多的供應(yīng)商?！?/p>

Finning每天收到成千上萬的安全警報，服務(wù)器和網(wǎng)絡(luò)覆蓋了三個地區(qū)，全球有1.3萬多名員工，每名員工都有一臺以上聯(lián)網(wǎng)的設(shè)備，所有這些因素都使得警報越來越復(fù)雜。Smibert說：“添加更多的安全工具并不能提高安全性。反而會使得情況更糟，因為如果采用100種不同的安全小工具來管理復(fù)雜的環(huán)境，會帶來虛假的安全感。”更重要的是，“如果您的10臺設(shè)備只完成一項網(wǎng)絡(luò)安全功能，那么您要付出10倍的培訓(xùn)和費(fèi)用?！?/p>

Smibert選擇少量的多功能安全工具來檢測并響應(yīng)網(wǎng)絡(luò)攻擊，這包括能夠自動防御攻擊的網(wǎng)絡(luò)、云和端點相結(jié)合的安全平臺，云實現(xiàn)的端點防護(hù)解決方案，以及分析驅(qū)動的SEIM。（她拒絕透露這些工具的名稱，她說，因為擔(dān)心會接到來自競爭對手的大量電話。）endprint

她的部門現(xiàn)在每天能查清楚數(shù)以千計的警報，只處理那些需要調(diào)查的——每天大約20到40個。Smibert說，她好在有人手足夠的經(jīng)驗豐富的安全專業(yè)人員來完成人工處理工作，所以她沒有急于進(jìn)行更多的流程編排和自動化。

她說：“對于企業(yè)非常關(guān)鍵的系統(tǒng)數(shù)據(jù)和功能，我不太愿意以自動的方式去保護(hù)它們”，特別是老應(yīng)用程序，“但并不意味著這不會發(fā)生。其中一些系統(tǒng)并不是為自動化設(shè)計的。如果自動產(chǎn)生了一個誤報，或者自動產(chǎn)生了連鎖反應(yīng)，那么其負(fù)面影響要比小規(guī)模的、可控的安全事件的影響大得多?！?/p>

兩個人的部門就像200人的部門

K-12學(xué)校不像私人企業(yè)那樣有網(wǎng)絡(luò)安全工作人員和相關(guān)的預(yù)算。West Aurora 129學(xué)區(qū)轉(zhuǎn)向采用事件響應(yīng)軟件，以幫助填補(bǔ)這方面的空白。

由兩個人組成的IT部門負(fù)責(zé)管理該地區(qū)18所學(xué)校的基礎(chǔ)設(shè)施。在2016年8月開學(xué)之初，該學(xué)區(qū)的無線網(wǎng)絡(luò)崩潰了，沒有人——甚至連學(xué)區(qū)的ISP都找不到問題所在。Arellano回憶說：“我們的設(shè)備都是思科的，但我們?nèi)狈芏喙δ?，而這些功能是可以通過固件更新（通過思科Smartnet服務(wù)）來獲得的，我們的網(wǎng)絡(luò)可見性很差?！?/p>

他說，ISP提醒我們，學(xué)區(qū)可能會成為大規(guī)模攻擊的試驗品，“這讓我們感到害怕”。這個問題持續(xù)了6個多星期，直到Arellano安裝了事件響應(yīng)軟件，分析數(shù)據(jù)流，對數(shù)據(jù)進(jìn)行取證，以找出中斷的根源。

使用Plixer的網(wǎng)絡(luò)流量分析系統(tǒng)Scrutinizer，Arellano立刻看到泛濫的DDoS警報。通過抓取數(shù)據(jù)包，他發(fā)現(xiàn)很多DNS響應(yīng)來自美國消費(fèi)者產(chǎn)品安全委員會（CPSC）。他回憶說：“我們由此確定了是哪一類攻擊。”利用DNS反射攻擊，黑客欺騙學(xué)校的地址，并要求CPSC向?qū)W校發(fā)送大量的記錄。下一步就是去阻止它。

通過現(xiàn)在可見的時間戳和IP地址，Arellano縮小了事件范圍，只提取與事件有關(guān)的數(shù)據(jù)。所有證據(jù)指向了一個學(xué)校二樓的網(wǎng)絡(luò)教室?！拔覀冏⒁獾揭幻麑W(xué)生在刪除舊記錄。我們拿到學(xué)生的ID之后，我們挖掘出記錄，發(fā)現(xiàn)他使用的是網(wǎng)絡(luò)壓力網(wǎng)站，每月上網(wǎng)付10美元，就可以發(fā)動攻擊。自那以后，又阻止了兩起類似的襲擊事件。”

技術(shù)總監(jiān)Don Ringelestein說：“21世紀(jì)版本的‘拉響火警發(fā)動了DDoS攻擊。過去我們處于被動的環(huán)境中，但現(xiàn)在我們要主動多了?！彼f：“在很多情況下，我都能發(fā)現(xiàn)問題，采用事件響應(yīng)工具，在這些問題變得具有破壞性之前阻止它?！?/p>

外界幫助

很多企業(yè)面對網(wǎng)絡(luò)安全威脅感到人手不足或者束手無策，他們正在尋求服務(wù)提供商的幫助，為他們提供自動化和流程編排服務(wù)。到2020年，Gartner預(yù)測，15%的中型企業(yè)和大企業(yè)將使用托管檢測和響應(yīng)等服務(wù)，而2016年這一比例不到1%。

IDC安全戰(zhàn)略副總裁Pete Lindstrom表示：“我非常信任服務(wù)提供商們，因為對很多企業(yè)來說，每年都有一兩次這樣的事件發(fā)生。只有通過服務(wù)提供商我們才能了解風(fēng)險到底在哪里?！彼f，Trustwave、FireEye和其他20多家供應(yīng)商都是如此。

過渡期間

Oltsik建議，打算將事件響應(yīng)自動化的安全領(lǐng)導(dǎo)們在解決好自己的運(yùn)營難題之前，先不要購買單點工具。“和自己的人談?wù)?，找出最大的痛點在哪里。解決哪些問題需要兩個小時的時間？讓員工們合作的難點在哪里，為什么很難得到調(diào)查取證所需的數(shù)據(jù)？從這些地方開始采用流程編排和自動化工具。這些事情不能是強(qiáng)制性的。必須讓員工們參與進(jìn)來，每個人都朝著同一個方向努力?！?/p>

Oltsik說，當(dāng)準(zhǔn)備好自動化后，結(jié)果才能唾手可得?！叭绻{情報告訴您某一IP地址或者網(wǎng)絡(luò)域有問題，而且有80%的把握，那就不應(yīng)該再分配這些地址或者網(wǎng)絡(luò)域?！?/p>

Oltsik說，下一步，花時間去進(jìn)行流程編排。假設(shè)您有了安全流程，或者花時間去梳理了與流程相關(guān)的所有任務(wù)，那么您就知道怎樣應(yīng)用技術(shù)更好的做出響應(yīng)。Oltsik說：“這可能需要一段時間?！?/p>

他說，對任何新的自動化或者編排流程進(jìn)行大量的檢查，這一點也很重要。“是不是錯過了不應(yīng)錯過的？下次能做得更好嗎？是不是應(yīng)該有這樣的流程，或者應(yīng)該有額外的步驟，還是遺漏了某些步驟？”

Smibert認(rèn)為，事件響應(yīng)自動化廣泛應(yīng)用的過程與云應(yīng)用的過程相類似?！?到10年前，每個人都害怕云技術(shù)，但業(yè)界已經(jīng)證明，當(dāng)您采用一種戰(zhàn)略性的、深思熟慮的方法來使用云技術(shù)時，就會創(chuàng)造奇跡。我認(rèn)為安全自動化也是如此。一旦業(yè)界達(dá)成一致，而且我們已經(jīng)有了成功的早期采用者，那么我們會有更多的應(yīng)用，而更多的應(yīng)用將帶來更多的創(chuàng)新。我們將看到安全自動化就像今天的云一樣流行?！眅ndprint