網(wǎng)絡安全的“自動駕駛分級”
近年來,業(yè)界關于安全運營自動化以及自主安全的預期眾說紛紜,莫衷一是。多年來,領先的網(wǎng)絡安全廠商和分析機構安全向分析師和運營團隊保證,單調乏味的安全運營工作被交給機器的好日子正在到來,但不幸的是,今天這些崗位的安全人士依然疲于奔命,過勞率居高不下。
問題出在哪里?我們離安全自動化到底還有多遠?解答這個問題我們不妨借鑒一下汽車行業(yè)的自動駕駛分級。
作為傳統(tǒng)行業(yè)的代表,汽車行業(yè)似乎在創(chuàng)新領域沒有什么資格“鞭策”科技行業(yè),但是融合多個領域變革的自動駕駛汽車卻是個例外。
汽車行業(yè)和科技行業(yè)聯(lián)手為自動駕駛汽車制定了一個標準化框架,而網(wǎng)絡安全行業(yè)在制定自動化路線圖時也完全可以參考該框架。
血染的自動駕駛分級
今天,汽車比以往任何時候都更省油、更豪華、更安全。但有一件事情變得更糟了:駕駛員。根據(jù)美國國家公路交通安全管理局(NHTSA)的數(shù)據(jù)分析,94%的嚴重汽車事故是人為錯誤造成的。
為了提高道路安全性和駕駛員體驗,汽車制造商正在引入創(chuàng)新技術,例如雨水感應刮水器、自動大燈和盲點檢測系統(tǒng),幫助駕駛員將更多的注意力集中在道路上。但這并不總是有效(甚至是有害的)。
例如,自動巡航系統(tǒng)(我們可以將其看作是某種程度的自動化)旨在減輕腳踩油門的疲勞。但一個常見的問題是,它降低了司機的環(huán)境感知度,用踩油門會迫使您多加注意。而更先進一些的自適應巡航控制(ACC),有了更多“自治”功能,如今已經(jīng)成為一種標準,因為它解決了自動巡航控制1.0面臨一些挑戰(zhàn)(容易偏離車道、追尾等)。
這是從“自動化”演變?yōu)?ldquo;自治”的一個很好的例子。實際上,汽車工程師協(xié)會(SAE)制定了描述汽車自動化水平的標準,該標準已被美國運輸部和聯(lián)合國采用。根據(jù)該自動駕駛分級標準,傳統(tǒng)的自動巡航控制系統(tǒng)為0級,ACC為1級。特斯拉的“自動駕駛”儀或凱迪拉克超級巡航系統(tǒng)被視為2級。
如果將該標準套用在網(wǎng)絡安全自動化成熟度上,則可映射如下:
- 0級:沒有自動化。零自治;安全分析師執(zhí)行所有分類、狩獵和調查。
- 1級:分析師協(xié)助。大多數(shù)安全工作是手動的,但是工具集中可能包含一些分析師輔助功能。
- 2級:部分自動化。安全程序可自動執(zhí)行諸如響應操作和策略執(zhí)行之類的功能,但由于誤報的普遍存在,分析人員必須保持參與。
- 3級:有條件自動化。分析師是必不可少的,可以隨時進行控制,但是高保真檢測、自主搜尋、分類、調查和響應可以提高安全性和效率。
- 4級:高度自動化。在特定條件下,所有安全工具都可以自主運行。分析人員專注于定義和控制技術,然后由技術強制執(zhí)行這些策略。
- 5級:全自動化。所有安全工具在任何情況下均可自主運行。該技術會自動定義并實施策略,分析人員可以覆蓋這些自治策略。
網(wǎng)絡安全的“無人駕駛”剛剛上路
正如號稱達到4級高度自動駕駛的特斯拉FSD8.2測試版在奧克蘭街頭“處處鳥驚心”的糟糕表現(xiàn)給自動化狂熱主義投機分子兜頭澆了一盆涼水,網(wǎng)絡安全的“無人駕駛”,也還有很長的路要走。
在網(wǎng)絡安全中,當今被視為標準的一種基本自動化是SIEM和網(wǎng)絡安全工具之間的關聯(lián)。例如,將與IP地址關聯(lián)的所有警報匯總到一個屏幕上,或者通過對共享源或目標的警報進行分組來標識攻擊活動。一些工具更智能,并使用其他上下文源,例如活動目錄(AD)或威脅情報,或過濾掉“非惡意內容”。但是,就像汽車最初的自動巡航控制一樣,在網(wǎng)絡安全的世界中,自動化會有很多意想不到的后果,這主要表現(xiàn)為大量的誤報或漏報。例如,隨著設備的移動性越來越強,在公司網(wǎng)絡的內部和外部“漫游”,在每個位置使用新的IP地址,同一設備在短時間內可能會有多個地址,這會大大增加誤報幾率。
對照SAE自動駕駛的0級——汽車自動巡航控制,可以肯定地說,IP相關在安全自動化的級別上是相同的。從更廣泛的角度來看網(wǎng)絡安全自動化,大多數(shù)行業(yè)可能僅處于1級水平。
SOAR(安全編排、自動化和響應)可以歸入2級(部分自動化)。此類技術可自動執(zhí)行多項低影響的響應和補救任務,例如為IT服務臺創(chuàng)建支持工單,在多個安全工具之間自動關聯(lián)或將證據(jù)收集到事件數(shù)據(jù)存儲中。
達到第4級和第5級需要整個網(wǎng)絡安全行業(yè)大幅提高其競爭能力。目前,重點應該放在第3級:條件自動化上。
回到與汽車自動駕駛的類比,特斯拉的自動駕駛儀不僅會分析車輛環(huán)境數(shù)據(jù)速度、行駛車道、制動、加速等,還會分析其他車輛共享的道路數(shù)據(jù),為駕駛員提供決策依據(jù)。
安全行業(yè)也需要類似的自動化能力,才能將網(wǎng)絡安全提升到3級自動化。根據(jù)我們從汽車中學到的知識,要達到此目標,需要滿足幾個基本要求:首先我們需要減少對人類的認知負擔,以便安全團隊可以專注于重要的事情,消除諸如單調任務之類的壓力,并以記錄決策路徑的方式專注于用戶體驗,從而使人類可以在需要的時間和地點進行更深入的挖掘。
其次,人工分析人員將繼續(xù)在安全操作流程中扮演重要角色,并且可能會在未來幾年內繼續(xù)發(fā)揮作用。通過破除最佳安全決策所需的知識和信息的藩籬和屏障,網(wǎng)絡安全人員的技能將被提到更高水平,這同時也將推動企業(yè)堅定地走上自治安全的道路。
【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
