安全新趨勢:是時候扣動安全自動化的扳機了
譯文【51CTO.com 快譯】也許此刻大家手中已經(jīng)掌握著非常豐富的安全工具——入侵檢測、網(wǎng)絡(luò)接入控制、端點安全乃至移動設(shè)備管理等等——這一切都服務(wù)于同一個目標,以自動化方式幫助用戶快速發(fā)現(xiàn)并阻止攻擊活動。
不過出于各種各樣的實際理由,大家可能一直不愿意啟用這些功能。我們也許會擔心其錯誤地將部分合法業(yè)務(wù)事務(wù)屏蔽在企業(yè)環(huán)境之外,或者對員工的設(shè)備進行暫時隔離而導(dǎo)致其無法正常工作,甚至有可能以遠程方式移除用戶移動設(shè)備中的全部數(shù)據(jù)。
當然,大家也可能只是一直在忙著處理其它事務(wù)而無暇構(gòu)建這類自動化機制。“我們需要投入大量時間及技能儲備來進行產(chǎn)品調(diào)整,從而保證這類解決方案能夠充分發(fā)揮其自動化功能及優(yōu)勢,”企業(yè)戰(zhàn)略集團資深首席分析師Jon Oltsik指出。“除此之外,自動化機制的實現(xiàn)往往還取決于我們是否能夠?qū)⒍喾N安全技術(shù)加以整合,而這項工作的難度可不低,”Oltsik進一步補充稱。
這些擔憂當然屬于合理范疇,但人們卻不愿直面這些問題。正如Olstik所言:“從歷史角度來講,人們始終認為安全決策必須要在一定程度上由人為介入的方式來實現(xiàn)。”
正如自動駕駛車輛或者其它一些旨在幫助人們脫離駕駛位的技術(shù)成果一樣,人們會本能地對此產(chǎn)生抗拒,或者說很難對這種自動化方案接手的處理方式給予信任。
而在另一方面,如今數(shù)據(jù)泄露事故的成本正愈發(fā)高企,而物色經(jīng)驗豐富的網(wǎng)絡(luò)安全專業(yè)人士的難度也在不斷攀升,這一切都使得安全技術(shù)面臨缺乏依托的窘境。
現(xiàn)在是時候引導(dǎo)安全實踐者們采取新的實施途徑,從而最大程度享受技術(shù)優(yōu)勢帶來的便利了。
驅(qū)動力正在逐步成形
“我們發(fā)現(xiàn)采用自動化功能的現(xiàn)象正在逐漸普及。其中的主要驅(qū)動力在于,安全專業(yè)人士們開始更加清醒地意識到自身所面臨的威脅情報數(shù)據(jù)擁有何等龐大、甚至根本不可能人工加以排查的規(guī)模,”Oltsik解釋道。“因此,他們開始努力將自動化機制引入更多基礎(chǔ)性操作,進而幫助信息安全團隊從那些枯燥的基礎(chǔ)性任務(wù)當中解放出來。”
使用自動化機制的最大優(yōu)勢在于帶來殊為可觀的效率水平,Oltsik表示。“如今的網(wǎng)絡(luò)安全工作已經(jīng)更多像是一種運維問題,而非單純的技術(shù)問題,”他指出。“我們不具備數(shù)量充足的高技術(shù)水平網(wǎng)絡(luò)安全從業(yè)者,而且任務(wù)數(shù)量也已經(jīng)增長到不可能以手動方式完成的程度。通過自動化網(wǎng)絡(luò)安全流程整治機制,我們能夠幫助企業(yè)中的安全從業(yè)人員以更睿智的方式處理問題——而非一味提升工作強度。”
而那些充分發(fā)揮安全產(chǎn)品內(nèi)自動化功能的企業(yè)也已經(jīng)開始切實收到成效。
作為一家客戶體驗管理服務(wù)供應(yīng)商,Sitecore公司目前正在其辦公環(huán)境當中使用來自Palo Alto網(wǎng)絡(luò)公司的網(wǎng)絡(luò)防火墻產(chǎn)品。與此同時,他們還配備有同樣由Palo Alto方面提供的基于云的WildFire惡意軟件分析服務(wù)。WildFire能夠提供高級威脅檢測及防御機制,其起效范疇涵蓋整套網(wǎng)絡(luò),并能夠以自動化方式在15分鐘之內(nèi)將保護信息同全球范圍內(nèi)的所有WildFire訂閱客戶進行共享。
Sitecore公司依賴于WildFire“嘗試檢測并阻止入侵活動突破我們的網(wǎng)絡(luò)”,該公司全球IT經(jīng)理Dylan Lloyd指出。其同時還在測試Palo Alto出品的Traps產(chǎn)品以及移動安全管理器,從而利用MDM方案“強化我們的安全水平并努力阻止更多指向移動及端點側(cè)的攻擊活動,”他解釋道。
Sitecore公司采取安全自動化機制的理由多種多樣,Lloyd表示。“其一在于,我們的安全團隊確實規(guī)模有限,而且我們需要確保自身能夠盡可能充分利用現(xiàn)有資源,”他表示。
自動化機制旨在降低安全人員的工作強度,“并切實達成了一目標,因此我們能夠在相關(guān)功能的支持之下?lián)碛懈甙踩U系墓ぷ鳝h(huán)境,”Lloyd指出。
提升自動化依賴程度的另一個原因在于,目前的安全威脅正在逐步擴展,即使小型企業(yè)也無法逃脫其攻擊視野。“這些攻擊活動在數(shù)量與復(fù)雜程度上愈發(fā)高企,單靠人力已經(jīng)無法加以應(yīng)對,大家需要采取自動化功能才能確保企業(yè)繼續(xù)安全穩(wěn)定地運營及生產(chǎn),”Lloyd評論稱。
如果沒有這些系統(tǒng),“我們將快速在網(wǎng)絡(luò)安全威脅當中淪陷,這將直接導(dǎo)致員工根本無法在業(yè)務(wù)環(huán)境內(nèi)正常工作,”Lloyd表示。他同時指出,由于Palo Alto公司不斷在威脅情報領(lǐng)域傾注心力,選擇這家廠商對Sitecore的網(wǎng)絡(luò)進行保護可謂明智之舉。
提升端點安全性
就目前來看,自動化機制的最大助益在于提升端點安全性。Sitecore公司已經(jīng)在采用了防火墻與WildFire這一組合方案之后,獲得了切實可見的惡意軟件“發(fā)生率下降”,其中很大一部分甚至尚未觸及公司網(wǎng)絡(luò)即遭到屏蔽。
“這幾乎已經(jīng)將我們的惡意軟件感染率控制在不存在的水平,”Lloyd表示。“我認為我們作為一家擁有超過1000個端點的企業(yè),曾經(jīng)發(fā)現(xiàn)的受感染端點數(shù)據(jù)僅在10個左右。這意味著過去三年內(nèi),我們的端點受感染率僅為約1%。我個人已經(jīng)在IT領(lǐng)域工作了15年,此前還從來沒有體驗過成效如此出眾的安全保護方案,而Traps的自動化特性的確幫我們實現(xiàn)了這一偉大目標。”
當然,安全自動化的普及道路上還存在著諸多挑戰(zhàn)。“在將相關(guān)方案部署到位之后,合法業(yè)務(wù)流量遭到屏蔽可以說是不可避免的現(xiàn)象,因此我們確實遇到了一定程度的阻礙,”Lloyd指出。“此前我們遇到過多次類似的情況,即某個部門啟用了一套新的SaaS工具,但其旋即遭到上述工具的屏蔽,而我們不得不以手動方式加以放行。”
然而公司管理層以及最終用戶并沒有對此提出反對意見,Lloyd回憶道。“作為一家技術(shù)企業(yè)的一員,他們普遍認同公司需要利用這類工具來保護現(xiàn)有業(yè)務(wù)的正常運轉(zhuǎn),”他指出。
而作為一家面向航空航天、國防以及生命科學領(lǐng)域的在線協(xié)作解決方案供應(yīng)商,Exostar公司亦充分享受到了由自動化技術(shù)帶來的安全優(yōu)勢——他們所選擇的是Tenable的SecurityCenter,其支持入侵檢測、安全漏洞管理以及其它相關(guān)事務(wù)。
“由于目前攻擊活動的數(shù)量與復(fù)雜程度都在不斷攀升,因此我們就必須投入可觀的時間與人力來跟上這種發(fā)展趨勢,”Exostar公司安全事務(wù)主管Rob Sherwood表示。“通過啟用安全自動化功能,我們能夠始終保持先發(fā)優(yōu)勢并集中將企業(yè)資源用于解決方案的開發(fā)與交付,從而滿足客戶群體不斷增長的實際需要。”
安全自動化切實幫助這家企業(yè)獲得了更出色的可視化能力,“我們也因此得以了解哪里存在著潛在風險,并以此為指導(dǎo)做出調(diào)整,”Sherwood解釋稱。“毫無疑問,這些功能幫助我們成功預(yù)防了大量針對企業(yè)員工業(yè)務(wù)設(shè)備的主動攻擊活動。而更值得一提的是,我們已經(jīng)有能力將保護范疇擴大到虛擬業(yè)務(wù)環(huán)境之外,以主動方式幫助客戶日常需要使用的各類應(yīng)用抵御攻擊活動的侵襲。”
與此同時,Exostar公司還在自動化與人工控制之間找到了理想的平衡點,Sherwood表示。“隨著我們對于安全工具實際成效的了解與信任,我們開始采取其它步驟對自動化的針對方向做出指引,”他指出。“由于我們需要面向航空航天、國防、生命科學以及醫(yī)療衛(wèi)生等關(guān)鍵性領(lǐng)域,因此必須確保自身與相關(guān)監(jiān)管機構(gòu)提出的要求相吻合,而強大的安全保障能力正是其中的必要前提。有鑒于此,我們一直以非常積極的態(tài)度對安全要求以及安全工具的自動化能力做出調(diào)整。”
為了避免自動化機制給用戶造成影響或者引發(fā)潛在的生產(chǎn)效率下降狀況,企業(yè)高管層面需要首先采取一套基準安全態(tài)勢支持方案,從而在必要時對行貨機制進行控制、限制或者進行臨時性的例外處理,Sherwood解釋道。
紐約城市大學皇后學院目前也在采用安全自動化相關(guān)功能。該學院依托于來自Forescout公司的CounterACT實現(xiàn)入侵預(yù)防效果,其通過使用行為來檢測網(wǎng)絡(luò)異常狀況或者病毒,并能夠立即屏蔽相關(guān)用戶。
“在此基礎(chǔ)之上,我們進一步采用了CounterACT網(wǎng)絡(luò)門戶,旨在向用戶通知現(xiàn)有問題并幫助其與服務(wù)臺取得聯(lián)系,”該學院網(wǎng)絡(luò)服務(wù)與互聯(lián)網(wǎng)安全事務(wù)主管Morris Altman表示。“這能夠幫助我們擺脫幾十年前那種較為原始的安全處理流程,即發(fā)現(xiàn)網(wǎng)絡(luò)當中存在蠕蟲病毒傳播現(xiàn)象并笨拙地以手動方式進行解決。”
一旦這類狀況出現(xiàn),學院中的成百上千臺計算機都面臨著被感染的風險,“而我們會以手動方式斷開并禁用其網(wǎng)絡(luò)端口,確保這些計算設(shè)備處于離線狀態(tài),并隨后通過防火墻日志來排查這些計算機,”Altman表示。
該學院如今能夠主動阻斷攻擊活動,而無需再粗暴地直接對全部計算機設(shè)備進行屏蔽。“CounterACT的這種強大能力使其成為我們心目中一套出色的生產(chǎn)力與時間節(jié)約方案,”Altman指出。“我們?nèi)缃袢匀荒軌蛞姷筋愃频膼阂飧腥緜鞑顩r,但現(xiàn)在我們已經(jīng)能夠輕松阻止其進一步傳播。”
而在該學院的無線網(wǎng)絡(luò)方面——也就是面向?qū)W生的客戶網(wǎng)絡(luò)——“我們發(fā)現(xiàn)了眾多存在各類安全問題的接入計算機設(shè)備,”Altman表示。“我們會在追蹤過程中對其進行屏蔽,這樣對應(yīng)的學生既可以自行修復(fù),亦可以同我們的服務(wù)臺取得聯(lián)系。現(xiàn)在我們又開始在學生的智能手機上發(fā)現(xiàn)病毒程序,而在這方面主動出擊仍將成為致勝的關(guān)鍵。”
紐約皇后學院還制定了一些比必要水平更為嚴苛的管理政策;舉例來說,如果某位用戶沒有安裝Windows更新補丁,則其訪問會被立即屏蔽,Altman告訴我們。
“現(xiàn)在我們已經(jīng)制定出確切的時間周期,我們能夠在此期間向用戶發(fā)出警告并指導(dǎo)學生根據(jù)Web界面及服務(wù)臺顯示出的具體問題著手處理,”Altman表示。“我們會給學生預(yù)留一周左右的解決周期,如果到期問題仍未得到解決,其訪問權(quán)限將被立即取消。這是我們長久以來積累得出的有效處理辦法,能夠切實平衡安全風險與生產(chǎn)效率之間的最佳切入點。我們當然不希望粗暴地剝奪用戶處理日常任務(wù)的能力,但有時候如果安全風險太過巨大,這也是不得已之下的最好辦法。”
原文標題:It’s time to pull the trigger on security automation
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
