很多企業(yè)都部署了自動(dòng)化系統(tǒng)來(lái)預(yù)防、檢測(cè)或調(diào)查安全威脅事件,但是實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)和終端設(shè)備的事件響應(yīng)以及威脅緩解的自動(dòng)化仍是目前一個(gè)非常棘手的問題。
實(shí)現(xiàn)事件響應(yīng)的自動(dòng)化
這里所謂的事件響應(yīng)及威脅緩解自動(dòng)化,指的是自動(dòng)恢復(fù)終端設(shè)備的系統(tǒng)、將設(shè)備從企業(yè)網(wǎng)絡(luò)中自動(dòng)隔離、或是停止特定的網(wǎng)絡(luò)進(jìn)程以快速有效地對(duì)攻擊事件進(jìn)行響應(yīng)。這種自動(dòng)化的應(yīng)急響應(yīng)機(jī)制在未來(lái)是非常有潛力的,但是在它能夠得到廣泛采用之前,我們還有很多棘手的問題需要去解決。
首先,企業(yè)還需要積累安全自動(dòng)化工具的使用經(jīng)驗(yàn),并深入理解這些工具的運(yùn)行機(jī)制,這樣他們才能清楚這些工具的優(yōu)勢(shì)與劣勢(shì)。但是如果想要實(shí)現(xiàn)完整的自動(dòng)化事件響應(yīng),可能還需要三到五年的時(shí)間才能變?yōu)楝F(xiàn)實(shí)。
實(shí)際上,有些安全研究人員已經(jīng)在這個(gè)方面進(jìn)行過許多嘗試了。如果每一次遇到的都是相同的威脅指標(biāo),那么安全分析師從自動(dòng)化工具或機(jī)器學(xué)習(xí)算法那里所得到的操作建議都會(huì)是相同的,然后我們只需要點(diǎn)擊“確認(rèn)”按鈕再進(jìn)行下一步操作就可以了。但是如果同樣的操作我們要進(jìn)行500次或1000次的話,那么我們完全可以將這個(gè)過程自動(dòng)化實(shí)現(xiàn),這樣就可以讓安全分析人員將注意力放在一些更加困難或復(fù)雜的事件上了。
而企業(yè)同樣可以在不使用機(jī)器學(xué)習(xí)系統(tǒng)的情況下實(shí)現(xiàn)這種事件響應(yīng)的自動(dòng)化,但前提是他們必須有自己公司的事件響應(yīng)規(guī)范化流程,也就一種能夠指導(dǎo)技術(shù)人員完成事件響應(yīng)的手冊(cè)。我們只需要拿出這份手冊(cè),選擇一款安全自動(dòng)化工具,然后通過測(cè)試來(lái)確定手冊(cè)中有多少事件響應(yīng)的步驟是否可以自動(dòng)化完成的。這是一種非常有效的方法,這樣我們就可以確定一款工具是否真的適用于我們的企業(yè)環(huán)境,以及它可以給我們提供多大的幫助。哪怕它只能實(shí)現(xiàn)部分操作步驟的自動(dòng)化,那也可以提高我們的工作效率。
比如說(shuō)你企業(yè)的終端設(shè)備感染了惡意軟件,而根據(jù)響應(yīng)手冊(cè)的內(nèi)容,你需要進(jìn)行50步操作才可以清除這個(gè)惡意軟件,這肯定會(huì)消耗你大量的時(shí)間。但是,如果其中80%的步驟可以自動(dòng)化完成的話,那么你可以想象一下這將會(huì)給你的安全團(tuán)隊(duì)節(jié)省下多少的時(shí)間?如果你能做到的話,自動(dòng)化所帶來(lái)的價(jià)值將是不可估量的。
投資公司Scale Venture Partners的高管Ariel Tseitlin表示,他現(xiàn)在在決定投資哪一家安全初創(chuàng)企業(yè)之前,主要考慮的是這家公司是否已經(jīng)準(zhǔn)備好去接受并實(shí)現(xiàn)自動(dòng)化事件響應(yīng)技術(shù)。他認(rèn)為,就安全成熟度這一點(diǎn)來(lái)看,不同的企業(yè)所處的階段是不一樣的。如果你從來(lái)沒考慮過事件響應(yīng)這個(gè)過程,那么討論自動(dòng)化想必就為時(shí)尚早了。首先你要做的就是整理出企業(yè)所面臨的風(fēng)險(xiǎn)和威脅,以及你的安全控制方法,然后你才可以去考慮具體的事件響應(yīng)步驟。但是當(dāng)你已經(jīng)考慮周全之后,自動(dòng)化肯定是部署事件響應(yīng)方案的最有效方法。
清理終端設(shè)備
自動(dòng)化在終端設(shè)備上最早的使用是對(duì)惡意文件進(jìn)行刪除或隔離以避免其對(duì)設(shè)備造成損害?,F(xiàn)在,幾乎每一臺(tái)PC上都安裝了某種形式的反病毒產(chǎn)品,而且很多企業(yè)也采用了基于行為的惡意軟件檢測(cè)方案來(lái)發(fā)現(xiàn)新的威脅。
如果想要與惡意軟件進(jìn)行斗爭(zhēng),手動(dòng)響應(yīng)肯定是來(lái)不及的,因?yàn)閻阂廛浖梢栽诙虝r(shí)間內(nèi)迅速損壞我們的設(shè)備,甚至還可以擴(kuò)散感染同一網(wǎng)絡(luò)系統(tǒng)中的其他設(shè)備。但是,如果用戶點(diǎn)擊了一條惡意鏈接或打開了一個(gè)惡意文件,而此時(shí)他所感染的惡意軟件又能夠躲避所有反病毒產(chǎn)品的檢測(cè),那我們?cè)撛趺崔k呢?
常見的處理步驟就是保存設(shè)備系統(tǒng)的副本以便之后對(duì)其進(jìn)行取證分析,擦除設(shè)備數(shù)據(jù),然后用備份文件將系統(tǒng)恢復(fù)至之前干凈的狀態(tài)。完成這些操作之后,用戶應(yīng)該去接受一些反釣魚培訓(xùn),以避免同樣的事情再次發(fā)生。
其實(shí),某些企業(yè)實(shí)現(xiàn)這種自動(dòng)化處理過程要輕松得多。有些企業(yè)采用了完整的虛擬桌面系統(tǒng),從本質(zhì)上來(lái)說(shuō),他們所使用的桌面系統(tǒng)永遠(yuǎn)是新的,因?yàn)槲锢碓O(shè)備只是用于托管虛擬桌面的主機(jī)而已。同樣的,如果一家企業(yè)的員工使用的是類似Office365這樣的云平臺(tái)工作,并且將所有的工作文檔都存儲(chǔ)在云端或公司服務(wù)器中,那么恢復(fù)系統(tǒng)也是非常簡(jiǎn)單的。
無(wú)論是上述哪一種情況,丟失有價(jià)值文件的風(fēng)險(xiǎn)都是非常小的,就算員工一不小心感染了惡意軟件,我們也能最大程度地降低它們所帶來(lái)的損失。
但是對(duì)于那些重度腦力工作者來(lái)說(shuō),這個(gè)方案也許就不可行了。比如說(shuō)某個(gè)在營(yíng)銷部門工作的人,他每天都要處理新的廣告文案或PPT演示文件,而很多資料都保存在本地計(jì)算機(jī)中。這也就意味著,當(dāng)他每天上班時(shí)面對(duì)的都是一臺(tái)新的設(shè)備,這將給他們帶來(lái)多大的不便,因此很多企業(yè)一直都不愿意采取這種方法。
隔離威脅
另一種常用的自動(dòng)化緩解方案就是將受感染的設(shè)備從網(wǎng)絡(luò)系統(tǒng)中隔離出來(lái)。你可以不擦除設(shè)備中的數(shù)據(jù),而且它們也不會(huì)進(jìn)一步感染網(wǎng)絡(luò)系統(tǒng)中其他的主機(jī)設(shè)備。但如果你想做到這一點(diǎn),那么就不只是采取終端保護(hù)技術(shù)那么簡(jiǎn)單了。
隔離設(shè)備需要涉及到網(wǎng)絡(luò)訪問控制,如果你在受感染設(shè)備與企業(yè)網(wǎng)絡(luò)之間部署了網(wǎng)絡(luò)訪問控制系統(tǒng),那么當(dāng)你的設(shè)備受感染之后,它會(huì)自動(dòng)將該設(shè)備從網(wǎng)絡(luò)中隔離出去。
但是對(duì)于一個(gè)大型組織而言,這種系統(tǒng)的部署過程很可能非常的困難,因?yàn)樨?fù)責(zé)設(shè)置網(wǎng)絡(luò)的是一個(gè)部門,而負(fù)責(zé)管理終端設(shè)備的又是另一個(gè)部門。這就需要合作了,但部門之間的合作并沒有我們想象的那么簡(jiǎn)單。
除此之外,我們還要確定到底有多少設(shè)備需要進(jìn)行隔離。如果我只用隔離一個(gè)系統(tǒng),那就很簡(jiǎn)單了。但是如果我現(xiàn)在需要處理一大堆的系統(tǒng),那么情況就非常復(fù)雜了。
智能網(wǎng)絡(luò)
現(xiàn)在,市場(chǎng)給我們提供了大量能夠檢測(cè)網(wǎng)絡(luò)可疑活動(dòng)的工具。當(dāng)你發(fā)現(xiàn)企業(yè)營(yíng)銷部門有人在進(jìn)行網(wǎng)絡(luò)掃描,而這按理來(lái)說(shuō)是不應(yīng)該發(fā)生的,那么你就需要隔離這個(gè)系統(tǒng)?;蛘哒f(shuō),當(dāng)你發(fā)現(xiàn)有系統(tǒng)正在與公司的命令控制服務(wù)器進(jìn)行非法的信息傳輸,那么你可以從系統(tǒng)層或網(wǎng)絡(luò)層切斷它們的鏈接。這是很常見的處理方法,很多公司也正在這樣做。
但是我們所面對(duì)的網(wǎng)絡(luò)攻擊越復(fù)雜,自動(dòng)化響應(yīng)也就會(huì)越困難。雖然困難,但這并不意味著網(wǎng)絡(luò)廠商沒有進(jìn)行過嘗試。如果你參加了上一屆RSA大會(huì),那么你就會(huì)發(fā)現(xiàn)很多網(wǎng)絡(luò)安全廠商都在展示自己的自動(dòng)化產(chǎn)品,有的產(chǎn)品可以自動(dòng)化檢測(cè)網(wǎng)絡(luò)攻擊的發(fā)生,而有的則能夠自動(dòng)化響應(yīng)這些攻擊,但是安全專家們意見的分歧就在于這種事件響應(yīng)的自動(dòng)化實(shí)現(xiàn)到底是不是一個(gè)好主意。
有些人擔(dān)心,在沒有人類參與的情況下采取行動(dòng),尤其是當(dāng)一個(gè)系統(tǒng)沒有得到100%確認(rèn)時(shí)貿(mào)然采取措施的話,這樣不僅會(huì)妨礙企業(yè)的正常運(yùn)轉(zhuǎn),而且還有可能造成意想不到的后果。但也有其他的人認(rèn)為,攻擊者的行動(dòng)實(shí)在是太快了,所以我們需要自動(dòng)化工具來(lái)幫助我們抵御網(wǎng)絡(luò)攻擊。有的公司還表示,如果自動(dòng)化工具的誤報(bào)率(假陽(yáng)性)過高,那么他們寧愿將警報(bào)信息交給安全分析師來(lái)進(jìn)行手動(dòng)響應(yīng)。
但幸運(yùn)的是,由于科學(xué)技術(shù)的不斷進(jìn)步,我們的安全分析專家所能處理和監(jiān)控的內(nèi)容相比幾年前已經(jīng)提升了很多,這無(wú)疑是一個(gè)好消息。但壞消息就是,我們無(wú)法確定自己是否能夠跟得上攻擊者創(chuàng)新的腳步。