安全自動化產業仍處在發展初期,但已經出現了一些有前途的技術,可即使是大公司,也並未跟上這一趨勢。
大多數安全自動化行業的廠商,成立至今還只度過了1到2年的歲月,但已經產出了一些可被企業利用的光明技術——只要企業已經做了基礎準備工作便可使用。
安全自動化要解決的主要問題,是攻擊太多太快,而人力無法跟上。
然後還有網路罪犯的問題,他們能從勒索軟體和其他攻擊中獲取巨大的利益,又反過來投入新攻擊方法的研究。還有民族國家帶來的威脅,還有慘烈的技術人才短缺問題。簡直就是場完美風暴。
去年秋天的乙份調研中,91%的公司稱,人工過程所需時間和精力限制了他們的事件響應有效性,他們不得不積極增加人手。
62%的公司已經有了自動化事件響應過程,另35%正在開始自動化和編配專案,或者在未來12-18個月裡有這個計畫。
2年前,沒人知道這種技術。去年,我就常常看到了。現在,我們看到了各家公司對安全自動化的預算,還看到很多風投資本注入到該領域。
——enterprise strategy group 首席分析師喬恩·奧爾茲克
奧爾茲克估測,安全自動化及協同的市場規模在1億到2億美元之間,幾家小廠商的銷售範圍在1000萬到2千萬美元之間。
理論上,安全自動化可以讓公司企業能夠調查不斷湧來的威脅,並在無人干預的情況下立即做出響應——至少,最常見的勞動密集型攻擊是可以自動化響應的。於是,安全分析師就能得到解放,有更多的時間可以專注在更複雜的攻擊上。
最近的一些跡象表明,這一切都是可能的。
我們已經有了更好的檢測準確率,誤報率降低了。而且我們更多地使用雲,可以在這些事情上投入更多的處理能力。
到目前為止,大多數的進展都在防止攻擊者進入企業上。反惡意軟體系統、下一代防火牆和其他威脅識別封鎖系統都是如此。
最近,帶評分系統的威脅情報也出現了這就讓企業可以針對高風險威脅增加自動化措施,再用以前的人工過程處理有疑問的案例。
一些大公司也在部署協調平台,驅動多系統聯動的自動化過程。
「但是這一類事件響應平台目前還僅限於菁英企業,財富500強公司才有實力採用。」
另外,公司企業還會編寫指令碼,從頭建立自己的自動化過程,不過沒有幾個技術專家是做不到這一點的。
自動化什麼?誰來自動化?
sans研究院的事件響應調查結論是,大多數過程仍然十分依賴人工。
50%的受訪者稱自己有一定程度的自動化,而這自動化程度最高的過程,是遠端部署安全廠商的定製內容或病毒特徵庫。
位列第二的自動化過程,是封鎖通往惡意ip位址的命令與控制流量,有49%的受訪者反饋對該過程做了自動化。第三位的,是有47%的受訪者反饋的流氓檔案清除過程。
最不可能被自動化的過程包括:修復過程中將受感染主機從網路中隔離,以及關閉系統和讓主機下線。
但是,總體上,安全自動化落後其他技術過程的自動化大約10年。
投資公司 scale venture partners 合夥人阿里爾·車特林說:「我們看到了it自動化的巨大效果,安全上也將看到。」
安全謎題的預防部分是最為自動化的,過去兩年,巨大的投資額度落在了檢測上。
如今,大量的工作圍繞在檢測與響應之間,公司企業需要分清他們發現的指標是否是需要調查的真正的問題。
事件響應方面,今天還有很多任務作是人工在做的。這些人工處理的部分,正是未來幾年大量價值湧現的地方。
然而,現在可用的所有產品,都還處在非常早期的階段,這一領域還沒有出現所謂的領頭羊。
自動化檢測過程是有意義的,但完全自動化修復過程卻非常危險。
網路安全諮詢公司 clearsky cyber security 執行董事傑·里克說:「至少在目前,我總是建議在檢測和響應之間設定人手。這個環節上,你不會想要出現誤報的。」
單步修復過程可以被自動化——只要其啟動是由人操控的。
但我很不喜歡現在這種自動化整個從頭到尾過程的想法。太粗糙,根本就是為誤報準備的。最怕出現的就是產生某種業務中斷。
市場上已經有一些廠商承諾要自動化整個過程了,包括自動化終端裝置重映象,以及自動化使用者反網路釣魚培訓。
astech consulting 首席安全策略師內森·溫茲勒說:「但是,現實就是,大面積自動化其實不會有什麼好效果。要麼誤報很多,要麼漏報很多。這麼做只會讓使用者特別惱怒,尤其是在明明沒什麼問題系統卻被重映象了的時候。」
鞏固和發展
很快,安全自動化將會普及,也會更易於使用。主流廠商正在購買小型編配公司,將他們的功能整合到平台中,siem廠商一直在向自己的平台裡新增自動化和編配功能。
廠商還開始提供預製慣例和運維手冊,讓公司企業不用從頭開始建立自己的修復過程。
自動化技術發展的乙個積極方面是,廠商之間或產品之間的藩籬將不復存在,不同技術不同產品可以相互協作。
其他it領域裡,這種事已經發生了。而在安全上,企業環境迥異,融合與聯動並不容易。
「企業有20、50或更多不同**商很常見。」
因此,廠商被鼓勵良好協作,互操作性上的限制是不被客戶接受的。
為自動化做好準備
對想要部署安全自動化技術的公司而言,僅確立廠商產品是否成熟是不夠的。公司自身也必須準備好。
forrester research 分析師約瑟夫·布蘭肯施普說:「這絕對不是買來就用這麼簡單的事。還有些基礎性工作要做。如果你將壞資料放進自動化系統中,那你不過是能更快地得出糟糕決策而已。」
另外,很多公司實際上並不清楚自身都有些什麼過程,也可能根本沒有定義良好的手冊。
很多公司的分析師各自為戰。想要自動化,你就必須標準化。
雲時代重新定義主機安全 自動化安全閉環是核心
摘要 隨著越來越多的企業和機構正在逐步上雲,主機安全是企業上雲首先需要考慮的問題。在當前安全事件頻發,且企業還沒有具備專業安全運營能力的現狀下,只具備檢測或防禦等單一功能的傳統主機安全產品已不再適應這樣的場景和需求,產品具備檢測 防禦為一體的安全閉環能力將成為剛需。一 主機安全面臨的挑戰 1.惡意攻...
雲時代重新定義主機安全 自動化安全閉環是核心
摘要 隨著越來越多的企業和機構正在逐步上雲,主機安全是企業上雲首先需要考慮的問題。在當前安全事件頻發,且企業還沒有具備專業安全運營能力的現狀下,只具備檢測或防禦等單一功能的傳統主機安全產品已不再適應這樣的場景和需求,產品具備檢測 防禦為一體的安全閉環能力將成為剛需。一 主機安全面臨的挑戰 1.惡意攻...
雲時代重新定義主機安全 自動化安全閉環是核心
摘要 隨著越來越多的企業和機構正在逐步上雲,主機安全是企業上雲首先需要考慮的問題。在當前安全事件頻發,且企業還沒有具備專業安全運營能力的現狀下,只具備檢測或防禦等單一功能的傳統主機安全產品已不再適應這樣的場景和需求,產品具備檢測 防禦為一體的安全閉環能力將成為剛需。一 主機安全面臨的挑戰 1.惡意攻...