終端設備和網(wǎng)絡事件“自動化響應”到底有多么棘手?
很多企業(yè)都部署了自動化系統(tǒng)來預防、檢測或調(diào)查安全威脅事件,但是實現(xiàn)網(wǎng)絡系統(tǒng)和終端設備的事件響應以及威脅緩解的自動化仍是目前一個非常棘手的問題。
實現(xiàn)事件響應的自動化
這里所謂的事件響應及威脅緩解自動化,指的是自動恢復終端設備的系統(tǒng)、將設備從企業(yè)網(wǎng)絡中自動隔離、或是停止特定的網(wǎng)絡進程以快速有效地對攻擊事件進行響應。這種自動化的應急響應機制在未來是非常有潛力的,但是在它能夠得到廣泛采用之前,我們還有很多棘手的問題需要去解決。
首先,企業(yè)還需要積累安全自動化工具的使用經(jīng)驗,并深入理解這些工具的運行機制,這樣他們才能清楚這些工具的優(yōu)勢與劣勢。但是如果想要實現(xiàn)完整的自動化事件響應,可能還需要三到五年的時間才能變?yōu)楝F(xiàn)實。
實際上,有些安全研究人員已經(jīng)在這個方面進行過許多嘗試了。如果每一次遇到的都是相同的威脅指標,那么安全分析師從自動化工具或機器學習算法那里所得到的操作建議都會是相同的,然后我們只需要點擊“確認”按鈕再進行下一步操作就可以了。但是如果同樣的操作我們要進行500次或1000次的話,那么我們完全可以將這個過程自動化實現(xiàn),這樣就可以讓安全分析人員將注意力放在一些更加困難或復雜的事件上了。
而企業(yè)同樣可以在不使用機器學習系統(tǒng)的情況下實現(xiàn)這種事件響應的自動化,但前提是他們必須有自己公司的事件響應規(guī)范化流程,也就一種能夠指導技術人員完成事件響應的手冊。我們只需要拿出這份手冊,選擇一款安全自動化工具,然后通過測試來確定手冊中有多少事件響應的步驟是否可以自動化完成的。這是一種非常有效的方法,這樣我們就可以確定一款工具是否真的適用于我們的企業(yè)環(huán)境,以及它可以給我們提供多大的幫助。哪怕它只能實現(xiàn)部分操作步驟的自動化,那也可以提高我們的工作效率。
比如說你企業(yè)的終端設備感染了惡意軟件,而根據(jù)響應手冊的內(nèi)容,你需要進行50步操作才可以清除這個惡意軟件,這肯定會消耗你大量的時間。但是,如果其中80%的步驟可以自動化完成的話,那么你可以想象一下這將會給你的安全團隊節(jié)省下多少的時間?如果你能做到的話,自動化所帶來的價值將是不可估量的。
投資公司Scale Venture Partners的高管Ariel Tseitlin表示,他現(xiàn)在在決定投資哪一家安全初創(chuàng)企業(yè)之前,主要考慮的是這家公司是否已經(jīng)準備好去接受并實現(xiàn)自動化事件響應技術。他認為,就安全成熟度這一點來看,不同的企業(yè)所處的階段是不一樣的。如果你從來沒考慮過事件響應這個過程,那么討論自動化想必就為時尚早了。首先你要做的就是整理出企業(yè)所面臨的風險和威脅,以及你的安全控制方法,然后你才可以去考慮具體的事件響應步驟。但是當你已經(jīng)考慮周全之后,自動化肯定是部署事件響應方案的最有效方法。
清理終端設備
自動化在終端設備上最早的使用是對惡意文件進行刪除或隔離以避免其對設備造成損害。現(xiàn)在,幾乎每一臺PC上都安裝了某種形式的反病毒產(chǎn)品,而且很多企業(yè)也采用了基于行為的惡意軟件檢測方案來發(fā)現(xiàn)新的威脅。
如果想要與惡意軟件進行斗爭,手動響應肯定是來不及的,因為惡意軟件可以在短時間內(nèi)迅速損壞我們的設備,甚至還可以擴散感染同一網(wǎng)絡系統(tǒng)中的其他設備。但是,如果用戶點擊了一條惡意鏈接或打開了一個惡意文件,而此時他所感染的惡意軟件又能夠躲避所有反病毒產(chǎn)品的檢測,那我們該怎么辦呢?
常見的處理步驟就是保存設備系統(tǒng)的副本以便之后對其進行取證分析,擦除設備數(shù)據(jù),然后用備份文件將系統(tǒng)恢復至之前干凈的狀態(tài)。完成這些操作之后,用戶應該去接受一些反釣魚培訓,以避免同樣的事情再次發(fā)生。
其實,某些企業(yè)實現(xiàn)這種自動化處理過程要輕松得多。有些企業(yè)采用了完整的虛擬桌面系統(tǒng),從本質上來說,他們所使用的桌面系統(tǒng)永遠是新的,因為物理設備只是用于托管虛擬桌面的主機而已。同樣的,如果一家企業(yè)的員工使用的是類似Office365這樣的云平臺工作,并且將所有的工作文檔都存儲在云端或公司服務器中,那么恢復系統(tǒng)也是非常簡單的。
無論是上述哪一種情況,丟失有價值文件的風險都是非常小的,就算員工一不小心感染了惡意軟件,我們也能最大程度地降低它們所帶來的損失。
但是對于那些重度腦力工作者來說,這個方案也許就不可行了。比如說某個在營銷部門工作的人,他每天都要處理新的廣告文案或PPT演示文件,而很多資料都保存在本地計算機中。這也就意味著,當他每天上班時面對的都是一臺新的設備,這將給他們帶來多大的不便,因此很多企業(yè)一直都不愿意采取這種方法。
隔離威脅
另一種常用的自動化緩解方案就是將受感染的設備從網(wǎng)絡系統(tǒng)中隔離出來。你可以不擦除設備中的數(shù)據(jù),而且它們也不會進一步感染網(wǎng)絡系統(tǒng)中其他的主機設備。但如果你想做到這一點,那么就不只是采取終端保護技術那么簡單了。
隔離設備需要涉及到網(wǎng)絡訪問控制,如果你在受感染設備與企業(yè)網(wǎng)絡之間部署了網(wǎng)絡訪問控制系統(tǒng),那么當你的設備受感染之后,它會自動將該設備從網(wǎng)絡中隔離出去。
但是對于一個大型組織而言,這種系統(tǒng)的部署過程很可能非常的困難,因為負責設置網(wǎng)絡的是一個部門,而負責管理終端設備的又是另一個部門。這就需要合作了,但部門之間的合作并沒有我們想象的那么簡單。
除此之外,我們還要確定到底有多少設備需要進行隔離。如果我只用隔離一個系統(tǒng),那就很簡單了。但是如果我現(xiàn)在需要處理一大堆的系統(tǒng),那么情況就非常復雜了。
智能網(wǎng)絡
現(xiàn)在,市場給我們提供了大量能夠檢測網(wǎng)絡可疑活動的工具。當你發(fā)現(xiàn)企業(yè)營銷部門有人在進行網(wǎng)絡掃描,而這按理來說是不應該發(fā)生的,那么你就需要隔離這個系統(tǒng)。或者說,當你發(fā)現(xiàn)有系統(tǒng)正在與公司的命令控制服務器進行非法的信息傳輸,那么你可以從系統(tǒng)層或網(wǎng)絡層切斷它們的鏈接。這是很常見的處理方法,很多公司也正在這樣做。
但是我們所面對的網(wǎng)絡攻擊越復雜,自動化響應也就會越困難。雖然困難,但這并不意味著網(wǎng)絡廠商沒有進行過嘗試。如果你參加了上一屆RSA大會,那么你就會發(fā)現(xiàn)很多網(wǎng)絡安全廠商都在展示自己的自動化產(chǎn)品,有的產(chǎn)品可以自動化檢測網(wǎng)絡攻擊的發(fā)生,而有的則能夠自動化響應這些攻擊,但是安全專家們意見的分歧就在于這種事件響應的自動化實現(xiàn)到底是不是一個好主意。
有些人擔心,在沒有人類參與的情況下采取行動,尤其是當一個系統(tǒng)沒有得到100%確認時貿(mào)然采取措施的話,這樣不僅會妨礙企業(yè)的正常運轉,而且還有可能造成意想不到的后果。但也有其他的人認為,攻擊者的行動實在是太快了,所以我們需要自動化工具來幫助我們抵御網(wǎng)絡攻擊。有的公司還表示,如果自動化工具的誤報率(假陽性)過高,那么他們寧愿將警報信息交給安全分析師來進行手動響應。
但幸運的是,由于科學技術的不斷進步,我們的安全分析專家所能處理和監(jiān)控的內(nèi)容相比幾年前已經(jīng)提升了很多,這無疑是一個好消息。但壞消息就是,我們無法確定自己是否能夠跟得上攻擊者創(chuàng)新的腳步。
