跟上安全自动化的步伐

处于压力和紧张中的IT安全部门希望通过自动化来减压。

网络工程师Jose Arellano承认，“我每天最棘手的工作”是保证伊利诺斯州West Aurora 129学区1.27万名学生、1900名员工和1万多台连网设备的安全。只有他们两个人的安全部门的主要工作是让网络尽可能安全、高效地运行，为教师和学生提供服务。在学校有限的资源和预算下，Arellano说：“我们的注意力只能集中在学校内部。”

然而，去年秋天的DDoS攻击使该学区的网络瘫痪了六个星期，他们很难找出问题所在。现在，他不得不把注意力从单纯的预防方法转到检测和响应上。他说：“这是一项极其困难的工作。”

越来越多的安全专家遇到了与Arellano同样的挫折。据研究公司CyberEdge集团的一项研究，全球安全从业人员把“难以抵御的网络威胁环境”视为2015年和2016年IT安全专业人员面临的最大难题，而最新的报告则解释了造成目前各种难题的原因。

据威胁情报公司Risk Based Security的一份报告，仅在2017年的前三个月就发现有4837个漏洞，比2016年同期增长了29.2%，目前有报道的漏洞数量还在急速攀升。

WannaCry勒索软件事件标志着犯罪分子们在全球发起了新一轮恶意软件、勒索软件、网络钓鱼的持续轰炸攻击，而且是不加选择的攻击各种目标。很多企业，不管规模大小，每天都会从其监控系统收到数以万计的安全警报。例如，据研究公司Ovum，大约37%的银行每天都会收到20多万次可能是攻击的安全警报。

猛烈的攻击只会让安全部门越来越头疼。企业不仅要对数据进行筛选，优先处理数以千计的警报，而且还要采取行动让那些已经人手已经严重不足的网络专业人员动手进行调查。Oxford Economics公司代表ServiceNow最近进行的一项调查显示，81%的受访者表示，他们担心检测到的安全漏洞得不到解决。Cybersecurity Ventures的一份新报告估计，到2021年，将空缺350万个网络安全工作岗位，高于去年的100万个。

Forrester Research高级分析师、安全和风险专家Joseph Blankenship说，大量新出现的自动检测和事件响应技术虽然有所帮助，但很多企业仍不愿意进行安全自动化。Blankenship说：“在过去，自动化给我们带来了问题。合法的数据流被阻断，造成了中断。在采取自动化措施的过程中，如果没有人去查看并进行验证，会出现很多问题。”

现在，有的人可能又有些乐观了。Blankenship说：“直到最近我们才开放了API，我们不仅能把数据从简单的日志数据中提取出来，而且还能推送回去。平台之间有更多的共享，我们已经创建了这一自动的流程编排层，这要归功于API能够让我们更自由的交换数据。”

Jon Oltsik是ESG的高级首席分析师，也是该公司的网络安全服务创始人，他说：“流程编排和自动化有可能是不错的解决方案，但您真的只能浅尝辄止。这不会解决您所有的问题。有时候这也意味着要改变您的过程。”

企业有大量可供选择的自动事件响应解决方案，当然不会有万能的解决方案。三家企业分享了他们自己遇到的网络安全挑战和应对策略。

管理海量的安全数据

对于完全托管服务提供商CareWorks，其分布在美国88个地区和6个国际地区的安全工具收集了太多的安全数据以至于很难处理，该公司首席信息官兼首席技术官Bart Murphy说：“即使我们的IT部门人员配置的很好，也很难处理这些数据。我们必须能够以少胜多”。

Murphy开始寻找方法来收集其漏洞扫描器、安全分析软件和端点解决方案中的所有数据，然后至少把一些工作流程进行自动化。

CareWorks已经采用了ServiceNow的平台即服务来实现企业IT运营的自动化。因此，在2017年3月，该公司增加了供应商的安全运营模块。虽然仍然在早期应用阶段，但该公司已经集成了Symantec、Nessus、LogRythm和Tanium等工具，目的是识别出能够自动化的流程。Murphy说：“我们最终会利用流程编排工具来让流程自己去真正的应对威胁，并返回报告。”

目前，SecOps模块可以跟踪与潜在或者实际的安全事件相关的所有活动，而无需人工去查阅各种各样的日志。现在还不能确切地知道节省了多少时间和人力。现在，Murphy的目标是“确保我们能够尽可能地保护和预防我们所知道的”，但他说，在安全自动化方面建立信心需要时间。

他说：“随着时间的推移，要通过一定程度的验证才能适应这种自动化。在今后6到12个月的时间里，我并没有不切实际地想把所有一切都实现自动化。我宁愿有10个经过深思熟虑和经过测试的自动化流程，而不是100个随意的流程。确保各部门了解目标，不要为了自动化而自动化。”

以少胜多

当谈到网络安全时，Finning国际公司首席信息安全官Suzie Smibert认为一切都在于简化。总部位于温哥华的这家公司是全球最大的Caterpillar产品和支持服务供应商，Smibert也是该公司的企业架构全球总监，对于网络响应技术，Smibert指出，“现在有太多的供应商。”

Finning每天收到成千上万的安全警报，服务器和网络覆盖了三个地区，全球有1.3万多名员工，每名员工都有一台以上联网的设备，所有这些因素都使得警报越来越复杂。Smibert说：“添加更多的安全工具并不能提高安全性。反而会使得情况更糟，因为如果采用100种不同的安全小工具来管理复杂的环境，会带来虚假的安全感。”更重要的是，“如果您的10_设备只完成一项网络安全功能，那么您要付出10倍的培训和费用。”

Smibert选择少量的多功能安全工具来检测并响应网络攻击，这包括能够自动防御攻击的网络、云和端点相结合的安全平台，云实现的端点防护解决方案，以及分析驱动的SEIM。（她拒绝透露这些工具的名称，她说，因为担心会接到来自竞争对手的大量电话。） 她的部门现在每天能查清楚数以千计的警报，只处理那些需要调查的――每天大约20到40个。Smibert说，她好在有人手足够的经验丰富的安全专业人员来完成人工处理工作，所以她没有急于进行更多的流程编排和自动化。

她说：“对于企业非常关键的系统数据和功能，我不太愿意以自动的方式去保护它们”，特别是老应用程序，“但并不意味着这不会发生。其中一些系统并不是为自动化设计的。如果自动产生了一个误报，或者自动产生了连锁反应，那么其负面影响要比小规模的、可控的安全事件的影响大得多。”

两个人的部门就像200人的部T

K-12学校不像私人企业那样有网络安全工作人员和相关的预算。West Aurora 129学区转向采用事件响应软件，以帮助填补这方面的空白。

由两个人组成的IT部门负责管理该地区18所学校的基础设施。在2016年8月开学之初，该学区的无线网络崩溃了，没有人――甚至连学区的ISP都找不到问题所在。Arellano回忆说：“我们的设备都是思科的，但我们缺乏很多功能，而这些功能是可以通过固件更新（通过思科Smartnet服务）来获得的，我们的网络可见性很差。”

他说，ISP提醒我们，学区可能会成为大规模攻击的试验品，“这让我们感到害怕”。这个问题持续了6个多星期，直到Arellano安装了事件响应软件，分析数据流，对数据进行取证，以找出中断的根源。

使用Plixer的网络流量分析系统Scrutinizer，Arellano立刻看到泛滥的DDoS警报。通过抓取数据包，他发现很多DNS响应来自美国消费者产品安全委员会（CPSC）。他回忆说：“我们由此确定了是哪一类攻击。”利用DNS反射攻击，黑客欺骗学校的地址，并要求CPSC向学校发送大量的记录。下一步就是去阻止它。

通过现在可见的时间戳和IP地址，Arellano缩小了事件范围，只提取与事件有关的数据。所有证据指向了一个学校二楼的网络教室。“我们注意到一名学生在删除旧记录。我们拿到学生的ID之后，我们挖掘出记录，发现他使用的是网络压力网站，每月上网付10美元，就可以发动攻击。自那以后，又阻止了两起类似的袭击事件。”

技术总监Don Ringelestein说：“21世纪版本的‘拉响火警’发动了DDoS攻击。过去我们处于被动的环境中，但现在我们要主动多了。”他说：“在很多情况下，我都能发现问题，采用事件响应工具，在这些问题变得具有破坏性之前阻止它。”

外界帮助

很多企业面对网络安全威胁感到人手不足或者束手无策，他们正在寻求服务提供商的帮助，为他们提供自动化和流程编排服务。到2020年，Gartner预测，15%的中型企业和大企业将使用托管检测和响应等服务，而2016年这一比例不到1%。

IDC安全战略副总裁Pete Lindstrom表示：“我非常信任服务提供商们，因为对很多企业来说，每年都有一两次这样的事件发生。只有通过服务提供商我们才能了解风险到底在哪里。”他说，Trustwave、FireEye和其他20多家供应商都是如此。

过渡期间

Oltsik建议，打算将事件响应自动化的安全领导们在解决好自己的运营难题之前，先不要购买单点工具。“和自己的人谈谈，找出最大的痛点在哪里。解决哪些问题需要两个小时的时间？让员工们合作的难点在哪里，为什么很难得到调查取证所需的数据？从这些地方开始采用流程编排和自动化工具。这些事情不能是强制性的。必须让员工们参与进来，每个人都朝着同一个方向努力。”

Oltsik说，当准备好自动化后，结果才能唾手可得。“如果威胁情报告诉您某一IP地址或者网络域有问题，而且有80%的把握，那就不应该再分配这些地址或者网络域。”

Oltsik说，下一步，花时间去进行流程编排。假设您有了安全流程，或者花时间去梳理了与流程相关的所有任务，那么您就知道怎样应用技术更好的做出响应。Oltsik说：“这可能需要一段时间。”

他说，对任何新的自动化或者编排流程进行大量的检查，这一点也很重要。“是不是错过了不应错过的？下次能做得更好吗？是不是应该有这样的流程，或者应该有额外的步骤，还是遗漏了某些步骤？”

Smibert认为，事件响应自动化广泛应用的过程与云应用的过程相类似。“5到10年前，每个人都害怕云技术，但业界已经证明，当您采用一种战略性的、深思熟虑的方法来使用云技术时，就会创造奇迹。我认为安全自动化也是如此。一旦业界达成一致，而且我们已经有了成功的早期采用者，那么我们会有更多的应用，而更多的应用将带来更多的创新。我们将看到安全自动化就像今天的云一样流行。”