網(wǎng)絡(luò)安全維護聽起來很簡單：修補系統(tǒng)、刪除舊賬戶、更新軟件，但對于大型企業(yè)而言，這很快就會變得一團糟。系統(tǒng)數(shù)量成千上萬，團隊分布各地，有些機器甚至幾個月都沒有重啟過。

自動化可以提供幫助，但并非所有事情都應(yīng)該自動化，也不是每種自動化都能帶來回報。對于CISO而言，真正的問題不是“我們能否實現(xiàn)自動化?”而是“我們是否應(yīng)該實現(xiàn)自動化?”

以下是當(dāng)前網(wǎng)絡(luò)安全維護中值得自動化的內(nèi)容，以及應(yīng)如何劃定界限。

從可見的內(nèi)容開始

在實現(xiàn)任何自動化之前，請確保你能看清正在發(fā)生的事情，許多網(wǎng)絡(luò)故障都源于可見性不足。如果你不知道系統(tǒng)的存在，就無法修補它;如果你不知道某個賬戶處于活動狀態(tài)，就無法為其輪換密碼。

資產(chǎn)發(fā)現(xiàn)應(yīng)是你首先實現(xiàn)自動化的內(nèi)容，優(yōu)質(zhì)的資產(chǎn)清單現(xiàn)在應(yīng)包括云實例、員工筆記本電腦、移動設(shè)備、虛擬機、影子IT等。

暴露管理工具可以自動化網(wǎng)絡(luò)安全維護計劃的關(guān)鍵方面，例如驗證是否啟用了多因素認證、標(biāo)記過時的軟件以及檢測弱密碼。

許多CISO認為暴露管理工具只是另一種形式的持續(xù)漏洞掃描，但這種觀點忽略了一個關(guān)鍵點。據(jù)Bitsight的客戶倡導(dǎo)總監(jiān)兼首席架構(gòu)師Chris Poulin所述，這些工具提供了根本不同的東西：“它們提供了至關(guān)重要的外部視角——它們對企業(yè)認為自己擁有什么一無所知。”

正是這種外部思維模式使暴露管理如此強大。與基于現(xiàn)有資產(chǎn)清單假設(shè)運行的內(nèi)部工具不同，暴露管理從零開始。“在沒有先入為主的觀念下，暴露管理工具采取全面方法來發(fā)現(xiàn)資產(chǎn)，”Poulin解釋道。“它們利用多樣化的來源——如互聯(lián)網(wǎng)注冊機構(gòu)(如ARIN、RIPE、APNIC、LACNIC和AFRINIC)、域名注冊商、DNS記錄、BGP公告以及證書元數(shù)據(jù)(如主題和備用名稱)——來暴露盲點或被忽視的資產(chǎn)。”

Poulin解釋說，這些資產(chǎn)包括：

• 影子IT：任何留下數(shù)字足跡的影子資產(chǎn)(即DNS記錄、注冊商、注冊機構(gòu)文物等)。
• 懸空DNS記錄：攻擊者可以利用未正確退役的過時DNS記錄。
• 云使用情況：暴露管理有助于識別資產(chǎn)集中可能帶來風(fēng)險的地方，無論是通過單點故障還是使用安全性控制較弱的云提供商。
• 域名搶注和停放：企業(yè)通常會為未來使用或防止域名類似誤用(即域名搶注)而注冊域名，并將其停放在注冊商處。注冊商會在這些停放域名上出售廣告空間，但通常不會審查廣告商——從而為攻擊者留下了意想不到的攻擊場所。
• 并購疏忽：當(dāng)一家公司收購另一家公司或剝離部分業(yè)務(wù)時，應(yīng)包括注冊所有權(quán)。暴露管理有助于保持公共數(shù)據(jù)庫的清潔和準(zhǔn)確。

補丁管理：可以，但要注意復(fù)雜性

盡管企業(yè)會自動化補丁部署，但這并不總是意味著補丁能正確應(yīng)用。例外情況不斷累積，一些業(yè)務(wù)部門會推遲重啟，遺留系統(tǒng)需要長達數(shù)周的測試周期。

如果你要自動化補丁管理，請建立回退機制，這意味著：

• 對失敗的部署發(fā)出清晰警報
• 如果補丁導(dǎo)致應(yīng)用程序崩潰，具備回滾能力
• 根據(jù)風(fēng)險(例如，零日漏洞應(yīng)優(yōu)先處理)升級策略控制

此外，請將補丁管理節(jié)奏與業(yè)務(wù)日程安排保持一致。在高峰時段導(dǎo)致停機的自動補丁管理是迅速失去業(yè)務(wù)部門支持的方式。

請確保自動補丁管理也與漏洞管理相關(guān)聯(lián)，沒有上下文的補丁管理會浪費時間，請首先關(guān)注最易被利用的問題，并盡可能自動化分類。

與自動化程度較低或沒有自動化的企業(yè)相比，具有高度安全自動化的企業(yè)在數(shù)據(jù)泄露方面的成本顯著降低。

密碼和憑證：自動化輪換，而非邏輯

憑證是大多數(shù)企業(yè)中的主要薄弱環(huán)節(jié)。舊的服務(wù)賬戶、共享的管理員憑證以及硬編碼的密碼在太多違規(guī)行為中出現(xiàn)。

你應(yīng)該自動化以下內(nèi)容的輪換：

• 服務(wù)賬戶密碼
• 特權(quán)賬戶憑證
• API密鑰和秘密

盡可能使用保管庫工具，但不要自動化訪問決策。人類仍需制定策略，特別是針對高特權(quán)訪問。如果做得不好，自動化“誰有權(quán)訪問什么”的邏輯可能會創(chuàng)建盲點或過度授權(quán)的賬戶。

此外，請自動化清理工作。一些企業(yè)在遷移或員工離職后會留下孤立的憑證。請設(shè)置規(guī)則，在設(shè)定時間或一段時間不活動后使憑證過期。

對于一直在應(yīng)對持續(xù)的身份和訪問管理挑戰(zhàn)的CISO而言，自動化憑證輪換并為特權(quán)賬戶實施保管庫工具正變得不可或缺。“這有助于消除企業(yè)內(nèi)一些風(fēng)險最高的攻擊媒介，”1Password的全球咨詢CISO Dave Lewis表示。一旦被攻破，舊的服務(wù)賬戶和共享管理員登錄名就會為攻擊者提供直接進入關(guān)鍵系統(tǒng)的途徑，使其成為主要目標(biāo)。

Lewis指出，手動憑證輪換“通常最多只是有些零散，容易出錯，且難以審計”，使安全團隊存在操作盲點。自動化流程可確保一致的政策遵守，并顯著減少憑證泄露時的暴露窗口，它還使團隊能夠在不中斷操作的情況下響應(yīng)疑似違規(guī)行為，按需輪換憑證。

同樣重要的是，保管庫工具提供了關(guān)鍵的第二層保護。“它通過集中控制、執(zhí)行嚴格的訪問限制以及維護憑證使用情況的詳細審計日志，防止密碼重復(fù)使用、硬編碼和未經(jīng)授權(quán)的共享，”Lewis表示。現(xiàn)實世界中的違規(guī)行為經(jīng)常利用腳本和配置文件中未管理的憑證——保管庫解決方案幾乎可以消除這些漏洞。

最終，Lewis強調(diào)，將自動化與保管庫結(jié)合使用不僅能加強防御，還能讓安全團隊有喘息之機。“它有助于使安全團隊能夠更專注于通過主動安全措施來管理威脅檢測和緩解風(fēng)險，”他表示。“對于CISO而言，將憑證自動化置于優(yōu)先地位不僅是一種良好的衛(wèi)生習(xí)慣;它還是一種基本的防御策略。”

賬戶生命周期

員工入職和離職是高風(fēng)險時刻。如果有人離職后仍能訪問系統(tǒng)，那就存在漏洞。通過身份提供商和人力資源系統(tǒng)集成，自動化配置和取消配置，這確保訪問權(quán)限與工作角色保持一致，并在應(yīng)該結(jié)束時結(jié)束。

自動化常規(guī)任務(wù)可確保它們及時完成，并使安全人員能夠?qū)Ｗ⒂诟鼜?fù)雜的問題。自動化在這里能提供幫助，但同樣，人類需要設(shè)定邏輯。請確保訪問權(quán)限與當(dāng)前角色相關(guān)聯(lián)，而不僅僅是過去的模板。

不要自動化策略例外

每個企業(yè)都有特殊情況，有時，系統(tǒng)無法立即修補，或者用戶需要臨時管理員訪問權(quán)限，這些情況需要判斷。

如果你自動化例外處理，就可能面臨永久豁免的風(fēng)險。那是隨時可能發(fā)生的網(wǎng)絡(luò)安全維護失敗。相反，請使用自動化來標(biāo)記例外情況，并要求人類定期批準(zhǔn)或續(xù)簽。

將其視為隔離過程，自動化有助于檢測和隔離，但人類做出最終決定。

警報和報告

網(wǎng)絡(luò)衛(wèi)生數(shù)據(jù)很嘈雜，自動化系統(tǒng)可能會告訴你10000個端點缺少補丁。除非按嚴重性、可利用性和業(yè)務(wù)影響進行排序，否則這并無幫助。

使用自動化來：

• 根據(jù)風(fēng)險對警報進行優(yōu)先級排序
• 將工單路由到正確的團隊
• 按業(yè)務(wù)部門生成報告

但請避免只顯示衛(wèi)生分數(shù)而沒有上下文的儀表板。好的報告會講述一個故事：哪些方面正在改善，哪些方面存在風(fēng)險，以及下一步應(yīng)關(guān)注哪里。

據(jù)Swimlane的CISO Michael Lyborg所述，與NIST CSF、ISO/IEC 27001/2或NIST 800-53等基礎(chǔ)框架保持一致是至關(guān)重要的第一步。“采用全面、以框架為導(dǎo)向的方法可使團隊能夠優(yōu)先處理風(fēng)險、簡化審計準(zhǔn)備、進行差距分析，并通過持續(xù)監(jiān)控提高態(tài)勢感知能力。”Lyborg表示。

但僅合規(guī)是不夠的，對于被噪音淹沒的安全運營團隊而言，警報優(yōu)先級排序仍然是一個持續(xù)的挑戰(zhàn)。Lyborg建議首先使用自動化根據(jù)嚴重性、頻率和業(yè)務(wù)影響對警報進行分類。“通過上下文數(shù)據(jù)豐富警報，并使用AI進行決策支持，有助于團隊精準(zhǔn)定位最重要的事項，”Lyborg指出。“對于重復(fù)性、低風(fēng)險的警報，實施自動響應(yīng)以減少手動工作量。”

同樣的自動化思維應(yīng)擴展到網(wǎng)絡(luò)安全維護。“專注于自動化補丁管理、漏洞掃描、用戶賬戶治理和日志分析，”Lyborg建議。這些基礎(chǔ)任務(wù)一旦自動化，就能使安全團隊將精力集中在更高價值的戰(zhàn)略計劃上。

自動化還將報告過程——通常被視為時間消耗——轉(zhuǎn)變?yōu)橛袃r值的情報工具。“自動生成的漏洞掃描、補丁合規(guī)性、用戶訪問審查和事件響應(yīng)文檔提供了可操作的見解，”Lyborg表示。“可視化、定制化和與安全工具的集成提高了理解和實用性。”

最終，目標(biāo)是提高效率并實現(xiàn)更主動的安全態(tài)勢。“通過將標(biāo)準(zhǔn)化框架與智能自動化相結(jié)合，企業(yè)可以加強其安全態(tài)勢和網(wǎng)絡(luò)安全維護，減輕運營壓力，并做出更明智、數(shù)據(jù)驅(qū)動的決策以緩解威脅。”Lyborg總結(jié)道。

從小規(guī)模開始，衡量一切

網(wǎng)絡(luò)安全維護中的自動化并非要消除人類，而是要幫助他們在關(guān)鍵領(lǐng)域集中精力。對于大型企業(yè)而言，這意味著在不失去監(jiān)督的情況下擴展基礎(chǔ)操作。

最佳的自動化應(yīng)從以下三個問題開始：

• 這項衛(wèi)生任務(wù)是否一致且可重復(fù)?
• 它是否容易出錯?
• 自動化失敗的風(fēng)險是否低于手動操作的風(fēng)險?

從小規(guī)模開始，衡量一切，并且不要設(shè)置后就置之不理。網(wǎng)絡(luò)安全維護永遠做不完，但智能自動化可以防止其崩潰。