自動化是當前熱門話(huà)題,谷歌一(yī)搜就出來上億條有關安全自動化的結果。鑒于網絡安全人才的全球緊缺,和我(wǒ)們必須處理的威脅規模及複雜(zá)度的持續上升,單憑人力已無法應對。
自動化可以幫助公司企業從現有人力獲得更多價值——自動化處理耗時手動事務,以便讓員(yuán)工(gōng)可以專注高價值的分(fēn)析性工(gōng)作。但是,自動化這班車(chē)也不是随時随地都能搭的,想要取得效果,就必須選擇安全生(shēng)命周期中(zhōng)的正确時段來應用自動化。
安全界有句名言你或許聽(tīng)過:“髒數據進,髒數據出。”直接跳到安全生(shēng)命周期末端用自動化采取行動,比如自動化行動手冊和自動發送最新情報到傳感器網格(防火(huǒ)牆、IPS/IDS、路由器、Web和電(diàn)子郵件安全、終端等等),是會得到反效果的。缺了先期的情報彙總、評分(fēn)和排序,你就等着髒數據問題惡化吧。
然而,設計一(yī)種能奏效的方法或許會很難——篩查數據所需的時間和精力都能超出你的資(zī)源承受力。畢竟,大(dà)多數公司企業,都被來自各種商(shāng)業源、開(kāi)源、行業及現有安全廠商(shāng)的數百萬威脅數據點轟炸。更不用提自身各層防禦及SIEM中(zhōng)每個産品産生(shēng)的大(dà)量日志(zhì)和事件數據了。
不是所有威脅數據都生(shēng)來平等,總得對它們評個分(fēn)排個序。這能有效降噪,凸顯有價值情報。情報饋送供應商(shāng)或許會提供“總體(tǐ)”評分(fēn),但實際上,因爲不是根據公司特定環境上下(xià)文評出的,該評分(fēn)有可能僅僅是增加了噪音而已。更糟的是,上傳到公司SIEM或傳感器網格時,它們還可能以誤報的形式産生(shēng)更多噪音,讓安全操作員(yuán)以追蹤不存在的幽靈告終。髒數據進,髒數據出。這就是爲什麽自動化也需要發生(shēng)在安全生(shēng)命周期過程早期階段的原因。這樣不僅可以減小(xiǎo)髒數據問題,也能節約寶貴的時間和資(zī)源。
舉個例子,假設公司4個月的時間段裏從多個饋送源引入了100萬條入侵指标(IOC)。用自動化,可以将數據彙總到一(yī)個地方,然後用上下(xià)文進行增強和豐富。然後,可以基于公司的風險級别,應用自動化評分(fēn)框架過濾該情報,形成易處理的情報子集——将可操作數據集減少95%以上。可以設置多個參數,重新定義計分(fēn)方式,參數包括:指标源、類型、屬性和上下(xià)文,以及敵方歸因。
在将威脅數據引入公司環境之前,需要的時候也可以自動重計算評分(fēn)。因爲随時間流逝而增加的情報會提升或降低威脅評分(fēn),也可以定期重評估這些分(fēn)數。100萬IOC的例子中(zhōng),自動化優化了威脅情報的彙總、評分(fēn)和排序過程,這些工(gōng)作如果交由安全分(fēn)析師人工(gōng)完成,可能需要增加2-3名全職安全分(fēn)析師。
至此,将正确的情報部署給正确的工(gōng)具對讀者來說就不難了。因爲你已經做好了準備工(gōng)作,可以更自信更可靠地使用自動化了。真正着手的時候,你就能通過即時自動地更新傳感器網格并緩和大(dà)部分(fēn)手動及碎片化工(gōng)作,空出相當于1-2個全職員(yuán)工(gōng)的工(gōng)作量。
上述案例中(zhōng),節約的成本并不是按情報量來計的,而是按員(yuán)工(gōng)工(gōng)作流被打斷的工(gōng)時來計的。這包括了網絡工(gōng)程師需要停下(xià)手頭工(gōng)作去(qù)登錄每一(yī)個傳感器技術(例如:防火(huǒ)牆、路由器、電(diàn)子郵件、Web代理、DNS、終端等等),上傳并測試最新情報,再回到原先遺留工(gōng)作的過程中(zhōng),所消耗掉的每一(yī)個小(xiǎo)時。自動化情報在傳感器棧上的應用,可以指數級提升防禦強度,還能減輕安全團隊負擔,讓他們解放(fàng)出來,持續關注自身優先事務。
自動化切入進安全過程中(zhōng),對抵禦當今複雜(zá)又(yòu)持續的攻擊十分(fēn)關鍵。但在威脅數據總量以驚人的速度攀升的情況下(xià),我(wǒ)們需要從威脅開(kāi)始——自動化我(wǒ)們收集、評分(fēn)和排序威脅情報的方式。否則,我(wǒ)們就隻是在放(fàng)大(dà)噪音,浪費(fèi)寶貴的資(zī)源還阻礙安全——這就是那“肮髒”的秘密。
上一(yī)篇:數據越多垃圾越多?如何收集、處理、分(fēn)析更多的安全數據
下(xià)一(yī)篇:國外(wài)著名評論網站Disqus已确認1750萬個用戶資(zī)料慘遭洩漏