很多CISO都對(duì)安全運(yùn)營(yíng)自動(dòng)化及編排抱有興趣。事實(shí)上,大量企業(yè)已經(jīng)在這么做了。企業(yè)戰(zhàn)略集團(tuán)(ESG)的研究表明,19%的企業(yè)已經(jīng)廣泛部署了安全運(yùn)營(yíng)自動(dòng)化/編排技術(shù),另有39%某種程度上做到了這一點(diǎn)。
如今,我們似乎喜歡把自動(dòng)化與編排混為一談,但這二者之間其實(shí)差別很大。在最近的安全運(yùn)營(yíng)調(diào)查中,ESG定義了以下術(shù)語(yǔ):
自動(dòng)化:用技術(shù)來(lái)自動(dòng)化某一安全運(yùn)營(yíng)任務(wù)。比如說(shuō),企業(yè)可以利用威脅情報(bào)中發(fā)現(xiàn)的入侵指標(biāo)(IoC),來(lái)創(chuàng)建修復(fù)規(guī)則,以產(chǎn)生自動(dòng)封鎖惡意IP地址、域名和URL的規(guī)則。通常,自動(dòng)化指的是單個(gè)過(guò)程或任務(wù)。
編排:指的是,彌合軟硬件組件以支持某種多階段安全分析或運(yùn)營(yíng)過(guò)程。編排還與安全工作流的連接與自動(dòng)化有關(guān),用以交付已定義服務(wù)。
舉個(gè)例子,企業(yè)可編排與安全調(diào)查或軟件漏洞修復(fù)有關(guān)的工作流。編排往往與提升個(gè)人或團(tuán)隊(duì)間協(xié)作有關(guān)(比如網(wǎng)絡(luò)安全和IP運(yùn)營(yíng)團(tuán)隊(duì))。
基于以上定義,ESG詢問(wèn)受訪者:安全運(yùn)營(yíng)自動(dòng)化或編排,哪個(gè)的優(yōu)先級(jí)更高?結(jié)果很明顯:66%的受訪者稱,自動(dòng)化安全分析和運(yùn)營(yíng)的優(yōu)先級(jí)更高,31%認(rèn)為編排安全分析和運(yùn)營(yíng)的優(yōu)先級(jí)更高。(注:3%說(shuō)“不知道”)
為什么大部分人傾向自動(dòng)化?安全運(yùn)營(yíng)充滿無(wú)數(shù)單調(diào)的任務(wù)——取數(shù)據(jù)、調(diào)整設(shè)備配置、實(shí)現(xiàn)對(duì)已知不良IoC的封鎖規(guī)則等等。最近的SOAPA視頻中,ServiceNow安全總經(jīng)理肖恩·康弗里提到,他工作過(guò)的一家公司花了約40%的事件響應(yīng)時(shí)間,僅僅為了找出特定IP地址的擁有者是誰(shuí)。簡(jiǎn)直不能忍!
如今,由于網(wǎng)絡(luò)安全人才短缺,很多公司企業(yè)都人手不足,在許多領(lǐng)域缺乏高端人才,比如安全分析、取證、事件響應(yīng)等等。鑒于此,讓寶貴的安全人員花時(shí)間在能被自動(dòng)化的單調(diào)任務(wù)上,根本就是犯罪。CISO知道這一點(diǎn),這一點(diǎn)也正是驅(qū)動(dòng)安全運(yùn)營(yíng)自動(dòng)化工具需求端活動(dòng)和供應(yīng)端討論的地方。
安全運(yùn)營(yíng)編排
編排的情況又如何呢?事實(shí)上,稍微有一點(diǎn)點(diǎn)難。編排一個(gè)過(guò)程,意味著要完全理解該工作流,要集成全部所需數(shù)據(jù)以支持該過(guò)程,要記錄、管理和跟蹤該過(guò)程整個(gè)生命周期,并支持人員間和安全及IT運(yùn)營(yíng)團(tuán)隊(duì)間所有必要的交接。
其中假定是:
有個(gè)可被編排的規(guī)范過(guò)程
有人理解與該過(guò)程相關(guān)的所有步驟
該過(guò)程本身是合理的
然而,不幸的是,這些假定往往無(wú)法達(dá)成。安全運(yùn)營(yíng)過(guò)程通常都是不規(guī)范的,往往基于經(jīng)驗(yàn)、工具集和第3層分析師的個(gè)性。鑒于此不規(guī)范性,沒人能真正理解其中牽涉的所有步驟。
最后,安全過(guò)程隨時(shí)間進(jìn)程在全公司實(shí)現(xiàn),公司難以評(píng)估其安全運(yùn)營(yíng)過(guò)程是否達(dá)到最佳實(shí)踐標(biāo)準(zhǔn),或者還需要改進(jìn)。正如某位CISO所說(shuō)的:“我們最不想做的就是編排一個(gè)糟糕的過(guò)程。”
毫無(wú)疑問(wèn),安全運(yùn)營(yíng)自動(dòng)化和編排應(yīng)是企業(yè)重點(diǎn)關(guān)注對(duì)象,但基于ESG的研究結(jié)果,CISO們最好還是采取一種策略性的方法:
花點(diǎn)時(shí)間評(píng)估當(dāng)前事務(wù)完成的方式;與同行業(yè)同樣規(guī)模的公司對(duì)比交流;找尋快速自動(dòng)化勝出方案;從簡(jiǎn)單過(guò)程的編排開始,獲取編排技術(shù)不斷發(fā)展的專業(yè)知識(shí);從ISO、NIST、SANS等機(jī)構(gòu)組織處尋找最佳實(shí)踐。
正如安全大師布魯斯·施奈爾所言:“安全是個(gè)過(guò)程,不是產(chǎn)品。”此話用在安全運(yùn)營(yíng)上再正確不過(guò)了。CISO若能花時(shí)間關(guān)注安全運(yùn)營(yíng)過(guò)程,將能提高安全效能和操作效率。拘泥于產(chǎn)品的人,頂多也就是取得些許進(jìn)展而已。