Stacy+Collett+Charles

處于壓力和緊張中的IT安全部門希望通過自動化來減壓。

網絡工程師Jose Arellano承認，“我每天最棘手的工作”是保證伊利諾斯州West Aurora 129學區(qū)1.27萬名學生、1900名員工和1萬多臺連網設備的安全。只有他們兩個人的安全部門的主要工作是讓網絡盡可能安全、高效地運行，為教師和學生提供服務。在學校有限的資源和預算下，Arellano說：“我們的注意力只能集中在學校內部?！?/p>

然而，去年秋天的DDoS攻擊使該學區(qū)的網絡癱瘓了六個星期，他們很難找出問題所在?，F在，他不得不把注意力從單純的預防方法轉到檢測和響應上。他說：“這是一項極其困難的工作。”

越來越多的安全專家遇到了與Arellano同樣的挫折。據研究公司CyberEdge集團的一項研究，全球安全從業(yè)人員把“難以抵御的網絡威脅環(huán)境”視為2015年和2016年IT安全專業(yè)人員面臨的最大難題，而最新的報告則解釋了造成目前各種難題的原因。

據威脅情報公司Risk Based Security的一份報告，僅在2017年的前三個月就發(fā)現有4837個漏洞，比2016年同期增長了29.2%，目前有報道的漏洞數量還在急速攀升。

WannaCry勒索軟件事件標志著犯罪分子們在全球發(fā)起了新一輪惡意軟件、勒索軟件、網絡釣魚的持續(xù)轟炸攻擊，而且是不加選擇的攻擊各種目標。很多企業(yè)，不管規(guī)模大小，每天都會從其監(jiān)控系統收到數以萬計的安全警報。例如，據研究公司Ovum，大約37%的銀行每天都會收到20多萬次可能是攻擊的安全警報。

猛烈的攻擊只會讓安全部門越來越頭疼。企業(yè)不僅要對數據進行篩選，優(yōu)先處理數以千計的警報，而且還要采取行動讓那些已經人手已經嚴重不足的網絡專業(yè)人員動手進行調查。Oxford Economics公司代表ServiceNow最近進行的一項調查顯示，81%的受訪者表示，他們擔心檢測到的安全漏洞得不到解決。Cybersecurity Ventures的一份新報告估計，到2021年，將空缺350萬個網絡安全工作崗位，高于去年的100萬個。

Forrester Research高級分析師、安全和風險專家Joseph Blankenship說，大量新出現的自動檢測和事件響應技術雖然有所幫助，但很多企業(yè)仍不愿意進行安全自動化。Blankenship說：“在過去，自動化給我們帶來了問題。合法的數據流被阻斷，造成了中斷。在采取自動化措施的過程中，如果沒有人去查看并進行驗證，會出現很多問題。”

現在，有的人可能又有些樂觀了。Blankenship說：“直到最近我們才開放了API，我們不僅能把數據從簡單的日志數據中提取出來，而且還能推送回去。平臺之間有更多的共享，我們已經創(chuàng)建了這一自動的流程編排層，這要歸功于API能夠讓我們更自由的交換數據?！?/p>

Jon Oltsik是ESG的高級首席分析師，也是該公司的網絡安全服務創(chuàng)始人，他說：“流程編排和自動化有可能是不錯的解決方案，但您真的只能淺嘗輒止。這不會解決您所有的問題。有時候這也意味著要改變您的過程。”

企業(yè)有大量可供選擇的自動事件響應解決方案，當然不會有萬能的解決方案。三家企業(yè)分享了他們自己遇到的網絡安全挑戰(zhàn)和應對策略。

管理海量的安全數據

對于完全托管服務提供商CareWorks，其分布在美國88個地區(qū)和6個國際地區(qū)的安全工具收集了太多的安全數據以至于很難處理，該公司首席信息官兼首席技術官Bart Murphy說：“即使我們的IT部門人員配置的很好，也很難處理這些數據。我們必須能夠以少勝多”。

Murphy開始尋找方法來收集其漏洞掃描器、安全分析軟件和端點解決方案中的所有數據，然后至少把一些工作流程進行自動化。

CareWorks已經采用了ServiceNow的平臺即服務來實現企業(yè)IT運營的自動化。因此，在2017年3月，該公司增加了供應商的安全運營模塊。雖然仍然在早期應用階段，但該公司已經集成了Symantec、Nessus、LogRythm和Tanium等工具，目的是識別出能夠自動化的流程。Murphy說：“我們最終會利用流程編排工具來讓流程自己去真正的應對威脅，并返回報告?！?/p>

目前，SecOps模塊可以跟蹤與潛在或者實際的安全事件相關的所有活動，而無需人工去查閱各種各樣的日志。現在還不能確切地知道節(jié)省了多少時間和人力?，F在，Murphy的目標是“確保我們能夠盡可能地保護和預防我們所知道的”，但他說，在安全自動化方面建立信心需要時間。

他說：“隨著時間的推移，要通過一定程度的驗證才能適應這種自動化。在今后6到12個月的時間里，我并沒有不切實際地想把所有一切都實現自動化。我寧愿有10個經過深思熟慮和經過測試的自動化流程，而不是100個隨意的流程。確保各部門了解目標，不要為了自動化而自動化?！?/p>

以少勝多

當談到網絡安全時，Finning國際公司首席信息安全官Suzie Smibert認為一切都在于簡化?？偛课挥跍馗缛A的這家公司是全球最大的Caterpillar產品和支持服務供應商，Smibert也是該公司的企業(yè)架構全球總監(jiān)，對于網絡響應技術，Smibert指出，“現在有太多的供應商?！?/p>

Finning每天收到成千上萬的安全警報，服務器和網絡覆蓋了三個地區(qū)，全球有1.3萬多名員工，每名員工都有一臺以上聯網的設備，所有這些因素都使得警報越來越復雜。Smibert說：“添加更多的安全工具并不能提高安全性。反而會使得情況更糟，因為如果采用100種不同的安全小工具來管理復雜的環(huán)境，會帶來虛假的安全感?！备匾氖牵叭绻?0臺設備只完成一項網絡安全功能，那么您要付出10倍的培訓和費用。”

Smibert選擇少量的多功能安全工具來檢測并響應網絡攻擊，這包括能夠自動防御攻擊的網絡、云和端點相結合的安全平臺，云實現的端點防護解決方案，以及分析驅動的SEIM。（她拒絕透露這些工具的名稱，她說，因為擔心會接到來自競爭對手的大量電話。）endprint

她的部門現在每天能查清楚數以千計的警報，只處理那些需要調查的——每天大約20到40個。Smibert說，她好在有人手足夠的經驗豐富的安全專業(yè)人員來完成人工處理工作，所以她沒有急于進行更多的流程編排和自動化。

她說：“對于企業(yè)非常關鍵的系統數據和功能，我不太愿意以自動的方式去保護它們”，特別是老應用程序，“但并不意味著這不會發(fā)生。其中一些系統并不是為自動化設計的。如果自動產生了一個誤報，或者自動產生了連鎖反應，那么其負面影響要比小規(guī)模的、可控的安全事件的影響大得多?！?/p>

兩個人的部門就像200人的部門

K-12學校不像私人企業(yè)那樣有網絡安全工作人員和相關的預算。West Aurora 129學區(qū)轉向采用事件響應軟件，以幫助填補這方面的空白。

由兩個人組成的IT部門負責管理該地區(qū)18所學校的基礎設施。在2016年8月開學之初，該學區(qū)的無線網絡崩潰了，沒有人——甚至連學區(qū)的ISP都找不到問題所在。Arellano回憶說：“我們的設備都是思科的，但我們缺乏很多功能，而這些功能是可以通過固件更新（通過思科Smartnet服務）來獲得的，我們的網絡可見性很差?！?/p>

他說，ISP提醒我們，學區(qū)可能會成為大規(guī)模攻擊的試驗品，“這讓我們感到害怕”。這個問題持續(xù)了6個多星期，直到Arellano安裝了事件響應軟件，分析數據流，對數據進行取證，以找出中斷的根源。

使用Plixer的網絡流量分析系統Scrutinizer，Arellano立刻看到泛濫的DDoS警報。通過抓取數據包，他發(fā)現很多DNS響應來自美國消費者產品安全委員會（CPSC）。他回憶說：“我們由此確定了是哪一類攻擊?！崩肈NS反射攻擊，黑客欺騙學校的地址，并要求CPSC向學校發(fā)送大量的記錄。下一步就是去阻止它。

通過現在可見的時間戳和IP地址，Arellano縮小了事件范圍，只提取與事件有關的數據。所有證據指向了一個學校二樓的網絡教室?！拔覀冏⒁獾揭幻麑W生在刪除舊記錄。我們拿到學生的ID之后，我們挖掘出記錄，發(fā)現他使用的是網絡壓力網站，每月上網付10美元，就可以發(fā)動攻擊。自那以后，又阻止了兩起類似的襲擊事件?！?/p>

技術總監(jiān)Don Ringelestein說：“21世紀版本的‘拉響火警發(fā)動了DDoS攻擊。過去我們處于被動的環(huán)境中，但現在我們要主動多了?！彼f：“在很多情況下，我都能發(fā)現問題，采用事件響應工具，在這些問題變得具有破壞性之前阻止它?！?/p>

外界幫助

很多企業(yè)面對網絡安全威脅感到人手不足或者束手無策，他們正在尋求服務提供商的幫助，為他們提供自動化和流程編排服務。到2020年，Gartner預測，15%的中型企業(yè)和大企業(yè)將使用托管檢測和響應等服務，而2016年這一比例不到1%。

IDC安全戰(zhàn)略副總裁Pete Lindstrom表示：“我非常信任服務提供商們，因為對很多企業(yè)來說，每年都有一兩次這樣的事件發(fā)生。只有通過服務提供商我們才能了解風險到底在哪里。”他說，Trustwave、FireEye和其他20多家供應商都是如此。

過渡期間

Oltsik建議，打算將事件響應自動化的安全領導們在解決好自己的運營難題之前，先不要購買單點工具?！昂妥约旱娜苏務劊页鲎畲蟮耐袋c在哪里。解決哪些問題需要兩個小時的時間？讓員工們合作的難點在哪里，為什么很難得到調查取證所需的數據？從這些地方開始采用流程編排和自動化工具。這些事情不能是強制性的。必須讓員工們參與進來，每個人都朝著同一個方向努力?！?/p>

Oltsik說，當準備好自動化后，結果才能唾手可得?！叭绻{情報告訴您某一IP地址或者網絡域有問題，而且有80%的把握，那就不應該再分配這些地址或者網絡域?！?/p>

Oltsik說，下一步，花時間去進行流程編排。假設您有了安全流程，或者花時間去梳理了與流程相關的所有任務，那么您就知道怎樣應用技術更好的做出響應。Oltsik說：“這可能需要一段時間?！?/p>

他說，對任何新的自動化或者編排流程進行大量的檢查，這一點也很重要?！笆遣皇清e過了不應錯過的？下次能做得更好嗎？是不是應該有這樣的流程，或者應該有額外的步驟，還是遺漏了某些步驟？”

Smibert認為，事件響應自動化廣泛應用的過程與云應用的過程相類似?！?到10年前，每個人都害怕云技術，但業(yè)界已經證明，當您采用一種戰(zhàn)略性的、深思熟慮的方法來使用云技術時，就會創(chuàng)造奇跡。我認為安全自動化也是如此。一旦業(yè)界達成一致，而且我們已經有了成功的早期采用者，那么我們會有更多的應用，而更多的應用將帶來更多的創(chuàng)新。我們將看到安全自動化就像今天的云一樣流行。”endprint