安全自動(dòng)化在于信任,而非技術(shù)
我們可以自動(dòng)化動(dòng)作,而不自動(dòng)化決策……
一直以來的反饋都表明,至少安全團(tuán)隊(duì)是非常渴求自動(dòng)化的。但這種渴望受制于懷疑和恐懼。懷疑威脅檢測(cè)的準(zhǔn)確性,恐懼威脅控制或緩解響應(yīng)自動(dòng)化的后果,以及自動(dòng)化出錯(cuò)可能造成的不良影響和破壞。
長期工作于網(wǎng)絡(luò)安全領(lǐng)域的人知道,這種現(xiàn)象并不新鮮。反垃圾郵件和入侵防御系統(tǒng)(IPS)的承諾尚歷歷在目,對(duì)其異常和攻擊檢測(cè)能力的過度自信所造成的混亂,就開始啪啪打臉。
安全自動(dòng)化
很多公司都有IPS,但卻以非阻塞模式運(yùn)行,直接降級(jí)成入侵檢測(cè)系統(tǒng)(IDS)使用。而且這種趨勢(shì)至今未減:公司企業(yè)引入自動(dòng)化功能到現(xiàn)有技術(shù)中,比如安全信息及事件管理(SIEM)、終端檢測(cè)與響應(yīng)(EDR)、安全自動(dòng)化與編配(SAO)解決方案等,但卻不相信它們的自動(dòng)化能力,僅僅在發(fā)送通知或執(zhí)行威脅情報(bào)查詢之類基本任務(wù)上應(yīng)用自動(dòng)化。
這基本上無視了檢測(cè)功能已大幅改進(jìn)的事實(shí),尤其是在應(yīng)用了行為建模和機(jī)器學(xué)習(xí)驅(qū)動(dòng)的方法之后。真是應(yīng)了那句老話:千萬別嘗試用技術(shù)來解決社會(huì)問題。因?yàn)閱栴}本身就不是基于技術(shù)的,而是基于信任——或者信任的缺失。這里面涉及的3個(gè)基本原則是:
安全運(yùn)營團(tuán)隊(duì)可評(píng)估風(fēng)險(xiǎn)影響,但評(píng)估不出對(duì)生產(chǎn)的影響
安全運(yùn)營團(tuán)隊(duì)深居象牙塔內(nèi),專注在威脅的風(fēng)險(xiǎn)和影響上,難以建立并維護(hù)對(duì)生產(chǎn)環(huán)節(jié)現(xiàn)狀的感知。受影響系統(tǒng)是不是任務(wù)關(guān)鍵的?系統(tǒng)是否不穩(wěn)定?是否遺留系統(tǒng)?系統(tǒng)當(dāng)前是用于處理年度財(cái)務(wù)報(bào)告,還是在被付費(fèi)客戶使用?這些問題,安全運(yùn)營團(tuán)隊(duì)往往難以感知。
禁用無關(guān)緊要的用戶賬戶看起來很簡單,但該用戶賬戶很可能是用于執(zhí)行關(guān)鍵過程的。依賴、復(fù)雜性和未知因素,都是自動(dòng)化的痛腳。這些正好是大多數(shù)安全運(yùn)營團(tuán)隊(duì)要么缺乏要么信息過時(shí)的數(shù)據(jù)點(diǎn)——但卻對(duì)事件響應(yīng)或修復(fù)過程的執(zhí)行方式有影響。這并不是說事件或漏洞根本不用處理,而是強(qiáng)調(diào)需要額外的時(shí)間或特定的方式進(jìn)行處理。
可以自動(dòng)化動(dòng)作,但不自動(dòng)化決策
當(dāng)然,可被自動(dòng)化的東西,遠(yuǎn)不止實(shí)際控制或修復(fù)響應(yīng)過程。很多工作,比如事件優(yōu)先級(jí)劃分、額外所需信息及上下文的獲取、利益相關(guān)者通知等,都可以被自動(dòng)化。另外,若動(dòng)作已經(jīng)過審查,也是可以自動(dòng)化的。最簡單的場(chǎng)景里,這意味著向IT運(yùn)營團(tuán)隊(duì)發(fā)送事件通知——包括問題描述、潛在影響、解決問題所需的動(dòng)作等,然后請(qǐng)他們確認(rèn)動(dòng)作執(zhí)行,或者拒絕執(zhí)行自動(dòng)化動(dòng)作而手動(dòng)處理。我們可以自動(dòng)化動(dòng)作,而不自動(dòng)化決策。
可隨信任與信心的增加而擴(kuò)展自動(dòng)化
IT運(yùn)營往往過載,于是從安全運(yùn)營到IT運(yùn)營的傳遞,往往在響應(yīng)上有長長的延遲。在諸如勒索軟件之類的事情情況下,這種延遲意味著,是控制住局面還是只能災(zāi)難恢復(fù)的差別,是單純的事件還是完完全全的數(shù)據(jù)泄露的差別。工作過載的一隊(duì)人會(huì)反對(duì)能讓自己更輕松的辦法,這簡直是違反人類直覺的事,然而,人性就是這樣。不過,即便如此,我們依然可以幫助緩解疑慮和擔(dān)憂,建立信任和信心。
方法就是:記錄哪些動(dòng)作是手工執(zhí)行的——同個(gè)動(dòng)作由人代替機(jī)器執(zhí)行的次數(shù),并計(jì)算出人和機(jī)器做同個(gè)動(dòng)作在所消耗時(shí)間與資源上的差異。其思想精髓在于:如果多次接到需要相同手工動(dòng)作的類似事件通知,那么此類事件便可以很安全地自動(dòng)化處理。畢竟,我們有審計(jì)線索來證明這一點(diǎn),也有數(shù)據(jù)來建立業(yè)務(wù)案例。更重要的是,我們也能收集數(shù)據(jù),勾勒出哪些事務(wù)或位置不能安全地自動(dòng)化。
或許在某個(gè)業(yè)務(wù)部門可以安全進(jìn)行的自動(dòng)化,在另一個(gè)業(yè)務(wù)部門就是完全不可接受的。自動(dòng)化過程必須支持粒度,無論是指標(biāo)收集,還是自動(dòng)化配置時(shí)。理想狀態(tài)下,不管使用哪種自動(dòng)化技術(shù),都必須支持該方法,并提供所需的各項(xiàng)指標(biāo)。技術(shù)可以輔助建立信任,但最終,必須讓你期望信任你的對(duì)象感受到。
