前 言

在網絡安全分析中，常見的場景是網絡分析師人工對網絡中的數據進行分析和決策，這種分析方式在當下大數據時代是十分局限的。通過一些自動化設計，如一致、快速和重復執行條件邏輯等，可以使得整個網絡安全分析過程自動化。因此實現過程自動化對于實現分類和優先級任務來說是必不可少的，使分析師可以快速關注與最大風險相關的信息和事件。

本文將主要介紹分析自動化的相關背景，自動化策略的基本方法及策略中的相關信息源，使讀者可以對分析過程自動化策略有相應的了解。本文內容主要參考了文獻[1]。

背 景

隨著我國計算機網絡技術應用領域的不斷擴大，網絡安全問題也逐漸成為人們關注的重要話題。計算機網絡中包含了數以萬計的接入點和成千上萬的服務器、電纜連接，具有復雜和龐大的特點。一旦受到攻擊，企業、個人或國家遭受的損失將會是非常大的。除此之外，通過互聯網來進行網絡信息竊取和毀壞也逐漸成為現在網絡安全所必須要面臨的問題。因此我們必須要采取有針對性的安全措施來對這些網絡安全問題進行防范和消滅，只有這樣互聯網的風險才能夠得到降低，用戶的數據安全才能夠得到更好的保障。但傳統的網絡監管，僅僅依靠網絡安全分析師人工對網絡中存在的安全威脅進行分析和處理已經逐漸不能滿足當下大數據時代下的網絡安全分析要求。

自動化技術在我國交通運輸、工業、科學研究等領域都得到了非常廣泛的應用，不僅能夠提高勞動生產率，還能夠將人從簡單重復的工作中解放出來。因此將自動化技術應用于網絡安全分析中顯得十分必要，通過使用自動化技術，從而加強對網絡安全的監管力度。

在網絡安全防護中，需要保護計算機網絡數據的完整性和保密性。當有病毒或者非法入侵現象發生的時候，要保證相關資料和數據安全。此外，一個科學的網絡安全管理策略對于加強對網絡風險的管理力度是十分有必要的，要包含攻擊和入侵的檢測和防御、網絡安全相關的規章制度、病毒防范、防火墻配置、網絡安全評估、網絡監測設置等一系列內容，以應對隨時可能面臨的各種各樣的安全問題，比如：系統攻擊、物理威脅等。

當以上防護措施全部由安全分析師人工來進行分析處理時，其中一些無用的數據或者是一些簡單的處理決策會大大浪費分析師的時間和精力，使之不能快速關注與最大風險相關的信息和事件。因此設計一個分析過程自動化策略來解決以上問題，使安全分析師擺脫那些無用和簡單的任務處理，提高分析效率是十分有必要的。

基本方法

自動化策略的思路是確定安全操作，進而允許其根據本地風險策略以自動的方式處理警報、事件或外部提供的網絡威脅情報。關鍵在于要盡可能多、盡可能快地確定不需要分析師調查的事件。因此這里有三個需要考慮的問題：

• 什么樣的信息是必要的?
• 在什么條件下定義并批準完全自動化的響應?
• 依據什么特點來確定事件的優先級?

通過以上考慮從而使自動化策略丟棄不相關事件信息，執行自動化的響應操作，為分析人員提供自動化的建議以進行審查。

什么樣的信息是必要的。在安全策略中我們首先要十分明確什么樣的信息是必要的，從而根據這些信息來確定某個事件是不相關的或假陽性的，通過自動化決策邏輯自動丟棄或不顯示相應的事件信息，為自動化分析人員節省時間和資源。例如，在由安全供應商實現的阻止列表中顯示的折衷指示符(IOC)，或來自入侵檢測系統(IDS)的警告，這些信息都說明存在試圖對Linux資產進行的攻擊，也即為我們所說的必要信息。

在什么條件下定義并批準完全自動化的響應。對于許多活動的威脅，響應的操作值直接與檢測和響應的速度有關。能夠處理更多警報和事件，并快速識別何時滿足授權自動響應的條件，是防范這些威脅的關鍵步驟。例如，當一個可靠的源將其標記為惡意軟件時，阻塞來自IDS警報的IOCs，該警報符合威脅標準，滿足定義和批準完全自動化響應的條件。自動化可以有效地為分析師審查或批準構建豐富的憑據。憑據可以包含預先批準的建議、用于提出建議的信息，甚至還可以包含執行響應的代碼。以前的經驗表明，盡管不是完全自動化的，但使用自動化來推薦分析師審查和批準的響應會提高操作效率。隨著時間的推移，可以確定完全自動化響應的條件。

依據什么特點來確定事件的優先級。使用與簽名關聯的嚴重性評級或資產的臨界級別來確定事件的優先級。當前的大多數傳感器配置、過濾器以及操作分析，都旨在識別高優先級警報或事件。將流程自動化，使其在最后而不是一開始就實現此邏輯，使設備能夠處理更多的警報和事件，并將分析人員的注意力集中在調查和降低最高風險項上。

主要的，權威的和確證的信息源

通常，信息的來源決定響應是否被授權完全自動化，或者需要分析師的批準。用于做出響應決策的許多條件、特征或屬性并不是從單一可靠的來源獲得的。確定主要信息源是非常有價值的，這些信息源始終具有對某一類型的所有對象可用的相同信息，即使該信息并不總是精確到所需的水平。通常情況下，分析人員已經知道在環境中可以使用哪些其他信息(例如，確證信息)來確定這個信息源在什么時候對一個特定的響應決策來說是足夠準確的。

大多數組織已經確定了作出響應決策所需的權威信息源，但沒有考慮何時使用主要信息源更合適或更合理。權威信息源很少包含對所有對象的及時洞察，因為做出更準確的判斷需要額外的資源。等到相應的信息源可以獲得對特定對象的洞察時，可能會延遲響應的時效性，影響有效性。因此需要考慮哪些反應決定可以依靠主要的和確證的信息源，而不是總是使用有限的或不一致的權威信息源。

對于給定的屬性，這些類型的源的一個例子是使用軟件管理服務器作為主要源，端點代理作為確證源，以及經過認證的漏洞掃描器的輸出，作為識別易受特定漏洞攻擊的資產的權威來源。

某些軟件應用程序版本或補丁可能明顯與某些漏洞相關聯，從而使軟件管理服務器信息更適合某些決策(例如，運行紅帽操作系統的設備不容易受到針對Windows服務器的攻擊)。有時，關于安裝了特定應用程序的設備上是否存在易受攻擊的庫的詳細信息可以從端點管理服務器獲得。有時，確定資產是否易受攻擊的唯一方法是通過認證掃描。

考慮主要的、權威的和確證的信息源可以讓設備更有效地自動化分類和優先級決策，使之與本地策略保持一致。

小 結

實現自動化是每一個希望解決現代網絡攻擊速度和規模的設備的關鍵組成部分。這就是為什么大多數組織都向安全操作的自動化投資。在開發自動化工作流時，重要的是要知道，人工流程是為分析人員優化的。重新設計流程，利用自動化來執行分類和優先級劃分，允許計算機自動處理更多的警報/事件，減少分析師參與。本文中的基本方法期望可以幫助組織開發和部署更有效的自動化操作。這種方法很容易擴展，以支持在檢測和響應過程中包含更高級的分析。

參考文獻

[1]《Enabling Automation in Security Operations - Strategy for Efficient Process Automation》