網絡安全維護聽起來很簡單：修補系統、刪除舊賬戶、更新軟件，但對于大型企業而言，這很快就會變得一團糟。系統數量成千上萬，團隊分布各地，有些機器甚至幾個月都沒有重啟過。

自動化可以提供幫助，但并非所有事情都應該自動化，也不是每種自動化都能帶來回報。對于CISO而言，真正的問題不是“我們能否實現自動化?”而是“我們是否應該實現自動化?”

以下是當前網絡安全維護中值得自動化的內容，以及應如何劃定界限。

從可見的內容開始

在實現任何自動化之前，請確保你能看清正在發生的事情，許多網絡故障都源于可見性不足。如果你不知道系統的存在，就無法修補它;如果你不知道某個賬戶處于活動狀態，就無法為其輪換密碼。

資產發現應是你首先實現自動化的內容，優質的資產清單現在應包括云實例、員工筆記本電腦、移動設備、虛擬機、影子IT等。

暴露管理工具可以自動化網絡安全維護計劃的關鍵方面，例如驗證是否啟用了多因素認證、標記過時的軟件以及檢測弱密碼。

許多CISO認為暴露管理工具只是另一種形式的持續漏洞掃描，但這種觀點忽略了一個關鍵點。據Bitsight的客戶倡導總監兼首席架構師Chris Poulin所述，這些工具提供了根本不同的東西：“它們提供了至關重要的外部視角——它們對企業認為自己擁有什么一無所知。”

正是這種外部思維模式使暴露管理如此強大。與基于現有資產清單假設運行的內部工具不同，暴露管理從零開始。“在沒有先入為主的觀念下，暴露管理工具采取全面方法來發現資產，”Poulin解釋道。“它們利用多樣化的來源——如互聯網注冊機構(如ARIN、RIPE、APNIC、LACNIC和AFRINIC)、域名注冊商、DNS記錄、BGP公告以及證書元數據(如主題和備用名稱)——來暴露盲點或被忽視的資產。”

Poulin解釋說，這些資產包括：

• 影子IT：任何留下數字足跡的影子資產(即DNS記錄、注冊商、注冊機構文物等)。
• 懸空DNS記錄：攻擊者可以利用未正確退役的過時DNS記錄。
• 云使用情況：暴露管理有助于識別資產集中可能帶來風險的地方，無論是通過單點故障還是使用安全性控制較弱的云提供商。
• 域名搶注和停放：企業通常會為未來使用或防止域名類似誤用(即域名搶注)而注冊域名，并將其停放在注冊商處。注冊商會在這些停放域名上出售廣告空間，但通常不會審查廣告商——從而為攻擊者留下了意想不到的攻擊場所。
• 并購疏忽：當一家公司收購另一家公司或剝離部分業務時，應包括注冊所有權。暴露管理有助于保持公共數據庫的清潔和準確。

補丁管理：可以，但要注意復雜性

盡管企業會自動化補丁部署，但這并不總是意味著補丁能正確應用。例外情況不斷累積，一些業務部門會推遲重啟，遺留系統需要長達數周的測試周期。

如果你要自動化補丁管理，請建立回退機制，這意味著：

• 對失敗的部署發出清晰警報
• 如果補丁導致應用程序崩潰，具備回滾能力
• 根據風險(例如，零日漏洞應優先處理)升級策略控制

此外，請將補丁管理節奏與業務日程安排保持一致。在高峰時段導致停機的自動補丁管理是迅速失去業務部門支持的方式。

請確保自動補丁管理也與漏洞管理相關聯，沒有上下文的補丁管理會浪費時間，請首先關注最易被利用的問題，并盡可能自動化分類。

與自動化程度較低或沒有自動化的企業相比，具有高度安全自動化的企業在數據泄露方面的成本顯著降低。

密碼和憑證：自動化輪換，而非邏輯

憑證是大多數企業中的主要薄弱環節。舊的服務賬戶、共享的管理員憑證以及硬編碼的密碼在太多違規行為中出現。

你應該自動化以下內容的輪換：

• 服務賬戶密碼
• 特權賬戶憑證
• API密鑰和秘密

盡可能使用保管庫工具，但不要自動化訪問決策。人類仍需制定策略，特別是針對高特權訪問。如果做得不好，自動化“誰有權訪問什么”的邏輯可能會創建盲點或過度授權的賬戶。

此外，請自動化清理工作。一些企業在遷移或員工離職后會留下孤立的憑證。請設置規則，在設定時間或一段時間不活動后使憑證過期。

對于一直在應對持續的身份和訪問管理挑戰的CISO而言，自動化憑證輪換并為特權賬戶實施保管庫工具正變得不可或缺。“這有助于消除企業內一些風險最高的攻擊媒介，”1Password的全球咨詢CISO Dave Lewis表示。一旦被攻破，舊的服務賬戶和共享管理員登錄名就會為攻擊者提供直接進入關鍵系統的途徑，使其成為主要目標。

Lewis指出，手動憑證輪換“通常最多只是有些零散，容易出錯，且難以審計”，使安全團隊存在操作盲點。自動化流程可確保一致的政策遵守，并顯著減少憑證泄露時的暴露窗口，它還使團隊能夠在不中斷操作的情況下響應疑似違規行為，按需輪換憑證。

同樣重要的是，保管庫工具提供了關鍵的第二層保護。“它通過集中控制、執行嚴格的訪問限制以及維護憑證使用情況的詳細審計日志，防止密碼重復使用、硬編碼和未經授權的共享，”Lewis表示。現實世界中的違規行為經常利用腳本和配置文件中未管理的憑證——保管庫解決方案幾乎可以消除這些漏洞。

最終，Lewis強調，將自動化與保管庫結合使用不僅能加強防御，還能讓安全團隊有喘息之機。“它有助于使安全團隊能夠更專注于通過主動安全措施來管理威脅檢測和緩解風險，”他表示。“對于CISO而言，將憑證自動化置于優先地位不僅是一種良好的衛生習慣;它還是一種基本的防御策略。”

賬戶生命周期

員工入職和離職是高風險時刻。如果有人離職后仍能訪問系統，那就存在漏洞。通過身份提供商和人力資源系統集成，自動化配置和取消配置，這確保訪問權限與工作角色保持一致，并在應該結束時結束。

自動化常規任務可確保它們及時完成，并使安全人員能夠專注于更復雜的問題。自動化在這里能提供幫助，但同樣，人類需要設定邏輯。請確保訪問權限與當前角色相關聯，而不僅僅是過去的模板。

不要自動化策略例外

每個企業都有特殊情況，有時，系統無法立即修補，或者用戶需要臨時管理員訪問權限，這些情況需要判斷。

如果你自動化例外處理，就可能面臨永久豁免的風險。那是隨時可能發生的網絡安全維護失敗。相反，請使用自動化來標記例外情況，并要求人類定期批準或續簽。

將其視為隔離過程，自動化有助于檢測和隔離，但人類做出最終決定。

警報和報告

網絡衛生數據很嘈雜，自動化系統可能會告訴你10000個端點缺少補丁。除非按嚴重性、可利用性和業務影響進行排序，否則這并無幫助。

使用自動化來：

• 根據風險對警報進行優先級排序
• 將工單路由到正確的團隊
• 按業務部門生成報告

但請避免只顯示衛生分數而沒有上下文的儀表板。好的報告會講述一個故事：哪些方面正在改善，哪些方面存在風險，以及下一步應關注哪里。

據Swimlane的CISO Michael Lyborg所述，與NIST CSF、ISO/IEC 27001/2或NIST 800-53等基礎框架保持一致是至關重要的第一步。“采用全面、以框架為導向的方法可使團隊能夠優先處理風險、簡化審計準備、進行差距分析，并通過持續監控提高態勢感知能力。”Lyborg表示。

但僅合規是不夠的，對于被噪音淹沒的安全運營團隊而言，警報優先級排序仍然是一個持續的挑戰。Lyborg建議首先使用自動化根據嚴重性、頻率和業務影響對警報進行分類。“通過上下文數據豐富警報，并使用AI進行決策支持，有助于團隊精準定位最重要的事項，”Lyborg指出。“對于重復性、低風險的警報，實施自動響應以減少手動工作量。”

同樣的自動化思維應擴展到網絡安全維護。“專注于自動化補丁管理、漏洞掃描、用戶賬戶治理和日志分析，”Lyborg建議。這些基礎任務一旦自動化，就能使安全團隊將精力集中在更高價值的戰略計劃上。

自動化還將報告過程——通常被視為時間消耗——轉變為有價值的情報工具。“自動生成的漏洞掃描、補丁合規性、用戶訪問審查和事件響應文檔提供了可操作的見解，”Lyborg表示。“可視化、定制化和與安全工具的集成提高了理解和實用性。”

最終，目標是提高效率并實現更主動的安全態勢。“通過將標準化框架與智能自動化相結合，企業可以加強其安全態勢和網絡安全維護，減輕運營壓力，并做出更明智、數據驅動的決策以緩解威脅。”Lyborg總結道。

從小規模開始，衡量一切

網絡安全維護中的自動化并非要消除人類，而是要幫助他們在關鍵領域集中精力。對于大型企業而言，這意味著在不失去監督的情況下擴展基礎操作。

最佳的自動化應從以下三個問題開始：

• 這項衛生任務是否一致且可重復?
• 它是否容易出錯?
• 自動化失敗的風險是否低于手動操作的風險?

從小規模開始，衡量一切，并且不要設置后就置之不理。網絡安全維護永遠做不完，但智能自動化可以防止其崩潰。