編者按：如今越來越多的網(wǎng)絡攻擊是通過自動化方式進行的，而相應的安全防護手段卻遲滯于攻擊，因此迫切需要在安全防護層面實現(xiàn)更好地自動化，以提高對威脅的防護與響應。

現(xiàn)代安全威脅以越來越多樣化的形式出現(xiàn)，實現(xiàn)安全防護的自動化也變得越來越迫切。但是，盡管在近期這些方面取得了一些進展，但實際上在安全行業(yè)內，采用自動化軟件依舊存在很多障礙。

網(wǎng)絡攻擊很長時間以來就實現(xiàn)了自動化，它使得攻擊者可以輕松創(chuàng)建、測試和自動執(zhí)行惡意程序，并且只需稍作修改就可以重用代碼或添加增強功能。惡意軟件的開發(fā)，暴力攻擊使用各種憑據(jù)來獲得訪問權限，某些端口掃描攻擊嗅探和發(fā)現(xiàn)未受保護的網(wǎng)絡端口等等，這些網(wǎng)絡攻擊活動很多都是通過自動化方式實現(xiàn)的。

自動化攻擊強于自動化防御

自動化攻擊發(fā)展十分迅速。例如，惡意推文和聊天機器人的使用量不斷增長，它們可能會收集個人信息以用于網(wǎng)絡釣魚活動。它們還可以用于攻擊前的準備活動，在這種策略中，惡意軟件可以在執(zhí)行攻擊之前預先被發(fā)送到網(wǎng)絡上，以確保其被標記為“安全”，直到在受害目標處突然爆發(fā)。

例 如，2018年IBM公 司的研究人員開發(fā)了一種名為DeepLocker的自動化惡意軟件，該軟件使用自動化和AI隱藏在可見的地方，并且僅在檢測到特定目標時才會爆發(fā)。當然，開發(fā)該代碼是為了證明可能的結果并收集實驗數(shù)據(jù)，這些數(shù)據(jù)將有助于將來抵御此類攻擊。

攻擊者往往比我們擁有領先優(yōu)勢，我們是應該認真考慮為什么安全自動化卻達不到應有的效果？為什么企業(yè)沒有更多地利用這種技術來幫助應對安全挑戰(zhàn)？

為了成功防范攻擊，我們需要重新考慮攻擊的發(fā)生方式。惡意軟件的目的是潛入目標系統(tǒng)，竊取所需東西并離開。網(wǎng)絡攻擊是高度復雜的活動，通常在執(zhí)行之前對目標環(huán)境進行偵查，通過使用自動化的技術隱藏自身，以提高攻擊效率。

MyDoom惡性蠕蟲病毒被認為是傳播速度最快的惡意病毒，該病毒就是使用自動化技術，據(jù)估計迄今為止已造成380億美元的損失，并且仍在傳播。令人驚訝的是MyDoom并不是新的。它于2004年就已出現(xiàn)，截至2019年仍有1%的電子郵件受到感染。

隨著攻擊者開發(fā)出自動隱匿性更好的攻擊方式，我們必須意識到預防并解決安全威脅還遠遠不夠。為了最大程度地減少攻擊的影響，自動響應至關重要，因為這可以減少從感染到解決的間隔時間。因此，從人工過渡到完全自動化是不切實際的。重要的是要考慮自動化帶來的優(yōu)勢，人的因素仍然是至關重要的組成部分。

機器自動化與認知自動化

安全自動化分為兩個主要領域：

1.機器人自動化。安全團隊無需執(zhí)行重復的例行任務，如警報監(jiān)視，從而為他們節(jié)省了更多時間來專注于威脅響應和安全改進。

2.認知自動化。安全平臺學習網(wǎng)絡、主機和應用程序的數(shù)據(jù)，以針對威脅或改善安全狀況的方式提供響應。

我們當前實現(xiàn)自動化的大多數(shù)任務都屬于機器人自動化類別，例如常規(guī)活動、升級補丁、計劃掃描和訪問管理請求。這些確實給安全團隊節(jié)省了一些時間，但只是做到了保護和預防，而不是響應。

技術人員可以很好地處理非結構化數(shù)據(jù)集，因此，在調查威脅時，他們習慣于在漏洞與代碼的思維之間進行切換，研究在線論壇的信息，了解現(xiàn)有的相關補丁或閱讀文檔。人腦善于將看似無關的信息建立聯(lián)系。

相比之下，計算機擅長處理結構化數(shù)據(jù)，比如信息列表，包括端口號、協(xié)議或檢測到的漏洞詳細信息。在分析威脅或制定應對措施時，AI尚不能達到人工那樣的思維方式。

從防御到響應

我們可以利用機器學習來處理數(shù)據(jù)，并像人腦一樣以更加非結構化的方式處理數(shù)據(jù)。當檢測到威脅時，技術人員可以立即獲得更多有關威脅如何傳播，正在使用哪些協(xié)議以及感染了多少設備的上下文信息。這意味著響應所需的時間減少了，從而加快了處理速度。

傳統(tǒng)的網(wǎng)絡安全使用解決方案中的安全數(shù)據(jù)來建立安全模型。可以將此模型加以擴展——不僅可以利用安全性數(shù)據(jù)，而且還可以利用其他非安全性設備（如交換機或路由器）的數(shù)據(jù)，這意味著安全狀態(tài)得以進一步改善。

通過使用機器學習來了解威脅可能從何處發(fā)起攻擊，并通過自動化來創(chuàng)建基于解決方案和平臺數(shù)據(jù)的動態(tài)策略，通過對機器學習進行訓練，使其能夠對不同類型的行為和數(shù)據(jù)指標進行處理，可大大降低攻擊風險，并為安全團隊提供所需的關鍵信息。

對于大多數(shù)組織而言，自動化的全部功能仍未得到充分利用。現(xiàn)在是時候開始更加認真地研究如何使用它們來提高安全團隊的能力，同時改善企業(yè)的安全狀況。