加快网络安全自动化进程

GZGame

　　有人觉得，“我一天中最艰难的一段日子”是让伊利诺斯的1200名学生、1900名工作人员和一万多台连接设备在西奥罗拉学区保持安全。两人安全团队曾一度主要致力于让网络尽可能安全和高效地运行给教师和学生。他们总是关注学校内部的资源和预算

　　然而，去年秋天，当DDoS攻击占领了该地区的网络超过6周时，他们努力找出问题所在。现在，他不得不把注意力从只预防的方法转向检测和反应。

　　世界各地的安全从业人员引用了“势不可挡的网络威胁环境”作为IT安全专业人员在2015和2016面临的最大挑战，根据研究公司小组的研究，新的报告为今天的头痛提供了更多的原因。

　　据威胁情报公司的一份报告，基于风险的安全性报告的漏洞数量正在以“坚持不懈的速度”上升，仅在2017的前三个月就记录了4837个漏洞，比2016的同期增长了29.2%。

　　WaNACRY的RANMOSDS攻击标志着最新的全球攻击之一，持续不断地攻击：恶意软件、勒索软件、网络钓鱼计划和不良行动者的各种攻击，而且大多数都是不分青红皂白的。许多组织，无论大小，每天从他们的监控系统接收数万个安全警报。根据研究公司Ovum，大约37%的银行每天收到超过20万条安全警报。

　　攻击的冲击只增加了安全团队的痛处。组织不仅要筛选数据，并对数以千计的警报作出优先反应，而且采取行动需要那些已经供不应求的网络专业人士进行实际调查。在最近进行的一项调查中，81%的受访者表示，他们担心被发现的安全漏洞没有得到解决。网络安全公司的一份新报告估计，从去年的1百万起，到2021年，将有350万个未完成的网络安全工作。

　　一系列新的自动化检测和事件响应技术正在涌现，以提供一些缓解，但许多公司仍然反对安全自动化，研究公司的安全和风险专业人士的高级分析师说。“过去，[自动化]给我们带来了问题，”，“我们已经停止合法的阻塞，造成停电。在不需要别人看动作并验证它的情况下，采取自动化的行动有很多问题。

　　现在可能会有一些新的乐观情绪。直到最近，人们才开放了API，在那里他们不仅能够把数据从简单的日志数据中取出，或者将一个动作推回去。在平台之间有更多的共享，他们已经创建了这个自动化和编排层，这是因为API允许更多的自由数据交换。

　　业务和自动化是潜在的解决方案，但你真的只能脚踏实地。它不会解决你所有的问题。有时候，这也意味着改变你的流程。

　　组织有大量的自动化事件响应解决方案可供选择，一个方案当然不适合所有。3个组织分享他们自己的网络安全挑战和应对策略。

管理海量安全数据

　　在托管护理服务提供商上，安全数据在886个和6个国际位置被收集，被证明是庞大的处理，即使他们有合适的人员配备水平，也必须少花钱多办事。

　　人们开始寻找从其漏洞扫描器、安全分析软件和端点解决方案收集所有数据的方法，然后至少自动化一些工作流。

　　据说已经有人使用平台即服务来自动化企业IT操作。因此，在2017年3月，有公司增加了供应商的安全操作模块。虽然还在采用的早期，该公司已经集成了像赛门铁克、涅索斯、LoGrythm和TANIN这样的工具来识别他们可以自动化的工作流。

　　今天，SECOPS模块跟踪与潜在的或真实的安全事件相关的所有活动，而不必手动遍历无数日志。现在还不知道要节省多少时间和人力。现在的目标是确保尽可能地保护和预防所知道的事情，但建立安全自动化的信心需要时间。

少即是多

　　当涉及到网络安全时，完全是关于简化。在网络回应技术方面，今天有太多的供应商。

　　芬宁每天收到数以万计的安全警报，使服务器和一个覆盖全球3个地理位置的网络变得更加复杂，全球各地的1.3万多名员工每人携带多个连接设备。添加更多的安全工具不会增加您的安全性。这可能会使情况变得更糟，因为管理复杂的环境，在那里有一百种不同的安全小部件可能会带来错误的安全感。更重要的是，如果你有十个设备在网络安全中只有一个功能，那么你就要有十倍的训练和费用。”

　　可以选择少量的多功能安全工具来检测和应对网络攻击——一个联合网络、云和端点安全平台，自动防止攻击、云交付端点保护解决方案和分析驱动SEIM。

　　每天破译数以千计的警报，那些需要调查的——每天大约20-40次。如有足够的熟练的安全专业人员来做手工作业，就不要急于进入更多的编排和自动化。

　　习惯于自动化数据的安全性或系统的功能，这对组织来说是至关重要的，尤其是遗留应用程序，但这并不意味着它不会发生。这些系统中的一些还不是为自动化而设计的。如果你自动化了一个假阳性或者产生了连锁反应，那就比一个小的安全事件带来了更大的负面影响。

让两个感觉相近

　　作为私人组织，K-12学校的网络安全通常没有人员配备或预算。

　　一个两人的IT团队在该地区的十八所学校管理基础设施。在2016年8月的学年开始时，该地区的无线网络崩溃了，没有人——甚至是该地区的ISP——可以找到问题的根源。他们缺乏通过固件更新（通过思科的智能网服务）获得的许多特性，所以他们的网络可见度非常小。

　　ISP觉得学区可能是遭受一次重大袭击，这个问题持续了6个多星期，直到安装了事故分析软件来分析阻塞和法医数据以找出造成中断的根本原因。

　　使用网络流量分析系统，立即看到洪水的DDoS警报。通过数据包捕获，可注意到许多来自美国消费品安全委员会的DNS回应。这就是可以确定它到底是什么样的攻击。一个DNS反射攻击允许黑客欺骗学校的地址，并请求来自正在发送的CPSC的大量记录。下一步就是阻止它。

　　通过可见的时间戳和IP地址来缩小事件，并且只提取与事件相关的数据。

外部帮助

　　许多对网络安全威胁感到粗制滥造和人手不足的组织正在寻求服务提供商的帮助，为他们提供自动化和协调。从2016的不到1%，到2020，中型和企业组织的15%，将使用诸如管理检测和响应的服务。

同时

　　建议安全领导者在自动事件响应的道路上停止购买点工具，直到他们解决他们自己的操作挑战。和你的人谈谈，找出你最大的痛苦所在。解决问题需要两个小时？在哪里很难让人们一起工作或获取你需要的数据进行调查或取证？这就是你开始指出业务流程和自动化工具的地方。这些事情不可能是命令。你必须让你的人上船，让每个人都朝着同一个方向努力。

　　如果威胁情报告诉你一个特定的IP地址或Web域名是恶性的，它给你百分之八十的信心评级，这是恶性的-你不应该让一个人在这中间。

　　下一步，编排，需要时间。假设你要么有一个安全的过程，要么你花时间去完成与这个过程相关的所有任务，你知道如何应用技术“使这个[反应]更好，这可能需要一段时间。

　　对任何新的自动化或编排过程都有很多审查周期也是很重要的。你错过了什么你不应该有的？下一次你能做什么更好？流程是否像它应该有的那样，或者应该有额外的步骤或丢失的步骤？

　　广泛采用事件响应自动化的道路将类似于采用云的路径。5到10年前，所有人都害怕云，但业界已经证明，当你有一种战略和周到的方法来接受云技术时，你可以创造奇迹。我相信这同样适用于安全自动化。一旦业界同意，我们有了早期的成功者，我们将得到更多的采纳，更多的采纳会带来更多的创新。然后，潜在地，我们将看到安全自动化与云计算一样受欢迎。