许多公司都有自动系统来预防、检测和调查安全事故,但自动化的事件响应和用于网络和终端设备缓解过程一直就难了。
这包括操作诸如自动重新成像的端点设备,隔离企业网络的设备,或者为了关闭特定网络进程以快速和有效地攻击作出响应。
“我认为有很大的潜力,”该公司分析师约瑟夫•布兰肯希普(Joseph Blankenship)表示弗雷斯特研究公司。“我们肯定是在一个时期发现的,不过,这必须发生之前,我们会看到广泛,成为主流。”
企业首先需要得到安全更多的经验自动化工具,他说,看看他们有什么影响。
但充满事件响应的自动化可能变成现实的三到五年,他说。
“我认为我们看到了一些早期的尝试,”他说。比如,如果每次你看到同样的威胁指标,分析师就会从自动工具或机器学习算法中得到行动建议,并做出同样的选择,点击“是”,那么我们就继续下一步。然后,如果我们这样做500或1000次,我们可以同意,这是一个过程,我们可以完全自动化,并把分析师完全从循环。”
在这一点上,分析师可以专注于他们的更加困难,复杂的情况。
但位于加州福斯特城(Foster City)的投资公司合伙人Ariel Tseitlin说,如果公司已经在使用事故响应手册,它们也可以在没有机器学习系统的情况下实现自动化规模创投。
他说:“拿出其中一个剧本,拿出安全自动化工具,测试这个剧本有多少是可以自动化的。”“这是一种非常实用和真实的方法,可以用来确定一种工具是否适用于个人环境,以及您可以从中获得多少好处。”
他说,即使是部分自动化也可以非常有效。
“说,你有在端点上的恶意软件,以及您对于剧本中有50个步骤,”他说。“如果可以的话,说,自动化80%的话,你可以看到你有多少积蓄的时间为你的安全团队,你可以迅速得到的价值的证明。”
柴特林说,在决定是否投资某家安全初创公司时,他会与客户进行沟通,他发现公司已经实现了真正的价值。
确定一个特定的事件响应技术是否有效的一个关键因素是企业本身是否准备好了自动化。
“不同的公司处于不同的安全成熟度阶段,”他说。“如果你没有考虑过过程,那么考虑自动化真的是为时过早。”你要做的第一件事是规划出风险、威胁和控制,然后考虑如何实现这些控制。但当你经历了这些之后,自动化是加速和提高公司效率的好方法。”
清理端点
终端设备上自动化的最早用途之一是在恶意软件造成损害之前隔离或删除恶意软件文件。
几乎所有的PC现在有某种形式的反病毒,许多公司也在使用基于行为的恶意软件检测到发现新的威胁。
手动响应将是太慢,因为恶意软件可以迅速采取行动,损坏设备,或甚至开始扩展到其他机器在同一网络上。
“因此,这不是一个新的概念,”罗布·克莱德,安全顾问和的成员说ISACA董事会。
但是,如果用户点击了一个恶意链接或附件,安装了能够避开所有防御的恶意软件,在机器上安装自己,并开始造成破坏,会发生什么情况呢?
一个典型的反应是存储设备图像的副本供以后取证分析,擦地机,它从干净映像还原,并从最新的备份还原用户的文件。虽然这一切发生时,用户可能会被发送到采取一些反钓鱼训练,以便更加小心下次要。
自动执行这个过程是对一些公司比其他人更容易,克莱德说。
“有些人去完成虚拟桌面,”他说。“从本质上说,他们的桌面总是可以重新拍摄,因为物理机仅仅是虚拟桌面的主机。”
同样,如果一家公司有员工使用基于云计算的平台,如Office 365,并保存在任自己的服务器上的所有工作文档,或在云中,然后重新映像,也可以相对快速和容易。
在这两种情况下,在这个过程中丢失有价值文件的风险更小,这减少了在没有实际感染的情况下可能造成的潜在损害。
他说:“与此同时,我们有大量的知识工作者,比如说,在一家营销机构工作的人,他们一直在做新的广告文案和PowerPoint演示文稿。”“在很多公司,这些数据仍然经常存储在本地的个人电脑上。把这台机器擦干净,不必要地丢掉一天的工作,这种想法让一些公司推迟了采用这种方法的努力。”
隔离威胁
自动化减轻另一种常见的方法是隔离受感染的机器。
“你可能不消灭它,但它不会任何进一步的传播感染,”他说。
但他表示,要做到这一点,需要的不仅仅是到位的端点保护。
“这确实需要网络访问控制,”他说。“如果你有和网络访问控制系统检测到受感染的终端之间的联系,它可以自动与网络安全产品链接回,实际上保留该设备连接到网络。”
但很多时候,当有这些功能的产品部署,他们没有实现。
“在某些情况下,有点检查现成的心态,”他说。“没有人在问我是否已经实现了网络访问控制。他们应该补充的是在检验单上。”
在大型组织中,可能有额外的障碍,在建立这些类型的系统是负责负责端点的网络和人的人是两个不同的群体。
“这需要合作,”他说,“有时合作是太辛苦得到的。”
此外,还有多少设备已被隔离的问题,在高级首席分析师Jon Oltsik表示:企业战略集团。
“如果我隔离一个系统,这很好,”他说。“但是,如果我隔离多个系统,它变得更加复杂。”
他说,随着所需的响应越来越广泛,它就变得越复杂。“你越有信心相信自己在做正确的事情。”
智能网络
现在有很多工具可以检测网络上的可疑活动。
“你看到一个人在市场已经推出了网络扫描 - 这不应该发生,所以可以隔离系统,” Oltsik说。“或者你看到系统信标出已知命令和控制服务器,这样你就可以在系统级别或网络级别阻止他们。这是很常规的,并且有很多是这样做的公司。”
但他说,攻击越复杂,自动响应就越困难。
这并不意味着网络供应商没有尝试。
ISACA的Clyde说,网络安全最近一直是自动化活动的温床。
他说:“如果你在上次RSA展会上参观,你会看到一个又一个网络安全公司在兜售他们如何自动检测攻击,在某些情况下会自动采取行动。”
但对于这是否是个好主意,人们意见不一。
“关于采取行动,无需人工参与,特别是如果一个系统是不是百分之百的确定性的声音有些担忧,”他说。“他们可能弄错了,并采取了一些行动可能会阻止合法活动,但其他人一样,“攻击者移动速度太快,我们需要自动化。”
如果误报过高,公司更愿意将警报发送到分析师的人工响应。
“我们正在取得进展,”他说。“但艺术的状态往往是有关检测,并没有采取行动,除非它是99.9%的肯定,这是真实的情况。”
他说,幸运的是,由于技术的进步,人类分析人员能够处理和监控的信息比几年前多得多。
“这是好消息,”他说。“坏消息是,我不确定我们是否跟上了攻击方的创新。”
这个故事,“在终端设备和网络自动减缓可能会非常棘手”最初发表方案 。