Maria+Korolov

對網(wǎng)絡(luò)和端點設(shè)備的應(yīng)急響應(yīng)和緩解過程實現(xiàn)自動化是一個棘手的難題

許多公司都有自動化系統(tǒng)用于預(yù)防、檢測和調(diào)查安全事件，但對網(wǎng)絡(luò)和端點設(shè)備的應(yīng)急響應(yīng)和緩解過程實現(xiàn)自動化一直是一個棘手的難題。

這包括端點設(shè)備自動重新鏡像，將設(shè)備與公司網(wǎng)絡(luò)隔離，或者關(guān)閉某一網(wǎng)絡(luò)進(jìn)程以便快速高效地對攻擊做出響應(yīng)等措施。

Forrester Research分析師Joseph Blankenship說：“我認(rèn)為在這方面有很大的潛力。我們的確還處在探索時期，但這一定會發(fā)生，一定會成為大規(guī)模主流應(yīng)用。”

他說，企業(yè)首先需要在安全自動化工具方面獲得更多的經(jīng)驗，看看這會有什么影響。

他說，但是應(yīng)急響應(yīng)完全自動化仍然需要三到五年的時間才能成為現(xiàn)實。

他說：“現(xiàn)在有一些早期的嘗試。比如說，如果每次看到相同的威脅指示時，分析師都會從自動化工具或者機(jī)器學(xué)習(xí)算法中獲得行動建議，并做出相同的選擇，點擊‘是，繼續(xù)下一步。那么，如果我們這樣做500次或者1000次，我們就會覺得這是一個能夠完全自動化的過程，分析師可以完全從循環(huán)中擺脫出來。”

在這一點上，分析師可以專注于那些更困難、更復(fù)雜的情形。

但是，加利福尼亞州Foster市的投資公司Scale Venture Partners合伙人Ariel Tseitlin指出，如果公司自己已經(jīng)有了應(yīng)急響應(yīng)規(guī)程，也可以不通過機(jī)器學(xué)習(xí)系統(tǒng)實現(xiàn)自動化。

他說：“采用其中一個規(guī)程，使用安全自動化工具，測試該規(guī)程在多大程度上能夠?qū)崿F(xiàn)自動化。這是一個非常實用而且現(xiàn)實的方式來確定一個工具是否適用于個人環(huán)境，以及您可以從中獲得多少好處。”

他說，即使部分自動化也是非常有效的。

他說：“假設(shè)您的一臺端點設(shè)備上有惡意軟件，對此您的規(guī)程中50個步驟。假如您能夠?qū)崿F(xiàn)80%的自動化，您會發(fā)現(xiàn)安全部門節(jié)省了大量的時間，很快就能看到這樣做的價值所在?！?/p>

Tseitlin說，他在決定是否投資某一安全創(chuàng)業(yè)公司時，與客戶進(jìn)行了討論，他發(fā)現(xiàn)這方面已經(jīng)實現(xiàn)了真正的價值。

確定某一應(yīng)急響應(yīng)技術(shù)是否有效的一個關(guān)鍵因素是企業(yè)本身是否準(zhǔn)備好進(jìn)行自動化。

他說：“不同的公司處于不同的安全成熟階段。如果您沒有想過這個過程，那么可以認(rèn)為自動化是不成熟的。您首先要做的是籌劃好風(fēng)險、威脅和控制，然后考慮如何實施每一項控制。但是，當(dāng)您經(jīng)歷了這一過程后，就會明白自動化是加速和提高企業(yè)效率的好方法?！?/p>

清理端點設(shè)備

在端點設(shè)備上最早使用的自動化功能之一是在惡意軟件進(jìn)行任何破壞之前對其進(jìn)行隔離或者刪除。

現(xiàn)在幾乎每臺PC都安裝了某種形式的反病毒軟件，很多公司也使用基于行為的惡意軟件探測技術(shù)來發(fā)現(xiàn)新的威脅。

人工響應(yīng)太慢，因為惡意軟件能夠很快破壞設(shè)備，在人工做出響應(yīng)之前甚至就已經(jīng)蔓延到了同一網(wǎng)絡(luò)的其他計算機(jī)上。

ISACA董事會成員和安全顧問Rob Clyde說：“這不是一個新概念?！?/p>

但是，如果用戶點擊惡意鏈接或者附件，并安裝能夠逃避所有防御的惡意軟件，將其安裝在機(jī)器上，開始破壞，那該怎么辦呢？

典型的響應(yīng)措施是存儲設(shè)備鏡像的副本以便以后進(jìn)行取證分析，擦除機(jī)器，從干凈的鏡像恢復(fù)，并從最新的備份還原用戶的文件。雖然這一切曾發(fā)生過，用戶仍然需要參加一些反網(wǎng)絡(luò)釣魚培訓(xùn)，下一次會更加小心。

Clyde說，有些公司實現(xiàn)這一過程的自動化要比其他公司容易一些。

他說：“有些已經(jīng)徹底實現(xiàn)了虛擬桌面。實質(zhì)上，他們的桌面總是可以重新進(jìn)行鏡像，因為物理機(jī)器只是虛擬桌面的主機(jī)。”

同樣的，如果公司的員工使用Office 365等基于云的平臺，并將所有工作文檔保存在自己的服務(wù)器或者云端，那么重新鏡像也會相對快捷輕松。

在這兩種情況下，降低了在過程中丟失有價值文件的風(fēng)險，減少了實際如果沒有感染而可能帶來的損害。

他說：“同時，我們有一些知識型的員工，比如營銷部門中的某個人，他要經(jīng)常性地開發(fā)新的廣告文案和PowerPoint演示文稿。對于很多公司，這些仍然通常存儲在本地的個人機(jī)器上。不必要的擦除機(jī)器，損失一天的工作，這種想法是讓一些公司不愿意采用這種方法的原因。”

隔離威脅

自動緩解的另一常見技術(shù)是隔離受感染的機(jī)器。

他說：“您不一定要擦除它，但也不會再傳播感染了?！?/p>

他說，但是，這樣做不僅僅是為了保護(hù)端點設(shè)備。

他說：“的確需要網(wǎng)絡(luò)訪問控制。如果對被感染的端點設(shè)備進(jìn)行檢測時能夠連接到網(wǎng)絡(luò)訪問控制系統(tǒng)，那么該網(wǎng)絡(luò)訪問控制系統(tǒng)可以自動鏈接回網(wǎng)絡(luò)安全產(chǎn)品，實際上能夠讓該設(shè)備無法連接到網(wǎng)絡(luò)?！?/p>

但是，當(dāng)部署具有這些功能的產(chǎn)品時，往往無法實施。

他說：“在某些情況下，這有一點對照檢查的意思。沒有人會問我是否實現(xiàn)了網(wǎng)絡(luò)訪問控制。他們應(yīng)該將其添加到檢查表中?！?/p>

在一個大型企業(yè)中，建立這類系統(tǒng)可能會有另外的障礙，因為負(fù)責(zé)網(wǎng)絡(luò)的人員和負(fù)責(zé)端點設(shè)備的人員分屬于兩個不同的部門。

他說：“這需要合作，有時太難合作了?！?/p>

企業(yè)戰(zhàn)略集團(tuán)高級首席分析師Jon Oltsik說，此外，還有多少設(shè)備必須被隔離的問題。

他說：“如果我隔離一個系統(tǒng)，那沒關(guān)系。但是如果我要隔離更多的系統(tǒng)，那就會變得非常復(fù)雜?！?/p>

他說，必要的響應(yīng)涉及的范圍越廣，就會越復(fù)雜。“您必須有信心，相信自己做的事情是正確的?！?/p>

智能網(wǎng)絡(luò)

目前有很多能夠用于檢測網(wǎng)絡(luò)上可疑活動的工具。

Oltsik說：“您看到一個營銷人員已經(jīng)啟動了網(wǎng)絡(luò)掃描——這不應(yīng)該發(fā)生，因此，您可以隔離該系統(tǒng)?；蛘吣吹较到y(tǒng)與已知的命令和控制服務(wù)器進(jìn)行通信，那么，您可以在系統(tǒng)級或者網(wǎng)絡(luò)級停止它們。這很普通，有很多公司都這樣做?！?/p>

他說，但是攻擊越復(fù)雜，就越難以通過自動化進(jìn)行應(yīng)對。

這并不意味著網(wǎng)絡(luò)供應(yīng)商不會去嘗試。

ISACA的Clyde說，網(wǎng)絡(luò)安全最近一直是自動化領(lǐng)域的熱點。

他說：“如果您參加過最近一次RSA展，您會看到，一家又一家的網(wǎng)絡(luò)安全公司大力宣傳他們?nèi)绾巫詣訖z測攻擊，并在某些情況下自動采取措施?！?/p>

但是，對于這是否是一個好主意，還存在意見分歧。

他說：“有些人對在沒有人參與的情況下采取措施表示擔(dān)心，特別是如果一個系統(tǒng)不是100%確定的情形。可能會出錯，采取了一些可能阻止合法活動的措施。但有的人會喜歡，‘攻擊者跑得太快了，我們需要自動化。”

如果誤報率過高，企業(yè)更愿意將警報發(fā)送給分析師，進(jìn)行人工分析。

他說：“我們正在取得進(jìn)展。但是，最新的趨勢是檢測，而不是采取措施，除非有99.9%的把握才會采取措施?！?/p>

他說，好在由于技術(shù)的進(jìn)步，人類分析師能夠處理和監(jiān)控的東西比幾年前多得多。

他說：“這是個好消息。壞消息是，我不確定我們能不能跟上攻擊方的創(chuàng)新?！?/p>

Maria Korolov——特約撰稿人

過去20年一直涉足新興技術(shù)和新興市場。

原文網(wǎng)址：

http：//www.csoonline.com/article/3193036/security/automated-mitigation-on-endpoint-devices-and-networks-can-be-tricky.html