许多公司已经到位自动化系统,以防止,检测和调查安全事故,但自动化事件响应而网络和终端设备的缓解过程一直是一个更难攻克的难题。
这包括自动重新映射端点设备、将设备与公司网络隔离或关闭特定的网络进程以快速有效地响应攻击等操作。
“我认为有很大的潜力,”分析师约瑟夫·布兰肯希普说Forrester研究。“不过,我们确实处在一个发现的阶段,在我们看到广泛的、主流的采用之前,这必须发生。”
企业首先需要获得更多的安全经验自动化工具,他说,看看他们有什么样的影响。
但充满事件响应的自动化可能变成现实的三到五年,他说。
“我认为我们看到了一些早期的尝试,”他说。“我说,如果每次你看到同样的威胁的指标,分析师从自动化工具或机器学习算法得到行动的建议,并作出了同样的选择,点击是的,让我们继续前进,并采取下一步行动。那么,如果我们做到这一点500或1000倍,我们都必须承认,这是一个过程,我们可以完全自动化,并充分考虑了分析师圈外“。
此时,分析人员可以将重点放在更困难、更复杂的情况上。
但位于加州福斯特城(Foster City)的投资公司的合伙人阿里尔泽特林(Ariel Tseitlin)说,如果企业已经在自己的公司使用了事故响应手册,它们也可以在没有机器学习系统的情况下实现自动化规模企业合作伙伴。
“把这些剧本中的一个,并采取安全自动化工具和测试多少是剧本可以自动进行,”他说。“这是打算和确定非常实用和真实的方式,如果一个工具,适用于个人环境和多少好处,你可以从它那里得到。”
即使是部分自动化是非常有效的,他说。
他说:“假设你在一个终端上安装了恶意软件,你的剧本里有50个步骤。”“比如说,如果你能将80%的工作自动化,你就能看到你能为你的安全团队节省多少时间,而且你很快就能得到价值证明。”
Tseitlin说,他作出决定时是否在任何特定的安全启动投资,而他发现已经有是一个的被实现真正的价值与客户的会谈。
决定特定事件响应技术是否有效的一个关键因素是企业本身是否准备好实现自动化。
“不同的企业处于安全成熟的不同阶段,”他说。“如果你有没有想过这个过程中,然后想着自动化真的是不成熟的。你必须做的第一件事是映射出的风险,威胁和控制,然后你想想你如何去通过实施每个这些控件但随后,当你通过了,自动化是加快和提高组织效率的好方法。”
清理结束点
一个自动化的端点设备上最早的用途之一是隔离或删除恶意软件文件做任何损害他们。
现在几乎每台电脑都有某种形式的杀毒软件,许多公司也在使用基于行为的恶意软件检测来发现新的威胁。
手动响应太慢了,因为恶意软件可以迅速破坏设备,甚至开始向同一网络上的其他机器传播。
“所以,这不是一个新概念,”安全顾问、美国国家安全委员会成员罗伯克莱德(Rob Clyde)说ISACA董事会。
但是,如果一个恶意链接或附件,并安装在用户点击恶意软件能够回避所有的防御,在机器上自行安装,并开始做伤害会发生什么?
一个典型的响应是存储设备映像的副本,以供以后的分析、擦除机器、从干净的映像中恢复它,并从最新的备份中恢复用户的文件。当这一切发生时,用户可能会被派去参加一些反钓鱼培训,以便下次更加小心。
克莱德说,对一些公司来说,将这一过程自动化要比其他公司容易。
他说:“有些人已经完成了虚拟桌面。”“本质上,他们的桌面总是可以被重新映射,因为物理机器只是虚拟桌面的主机。”
类似地,如果公司让员工使用基于云的平台,如Office 365,并将所有工作文档保存在他们自己的服务器或云中,那么重新成像也可以相对快速和容易。
在这两种情况下,在这一过程中,减少了如果没有实际的感染可以造成潜在的损害丢失重要的文件的风险较小。
“在同样的时间,我们有重知识型员工,比方说,有人在营销组织,谁是新的广告文案和PowerPoint演示文稿不断努力,”他说。“这是仍然经常存储,在许多公司,本地个人计算机上。抹那台机器,失去了一天的工作不必要是把一些企业关闭试图采用这种的想法。”
孤立的威胁
另一种常见的自动缓解技术是隔离受感染的机器。
“你可能不擦,但它不会进一步传播感染,”他说。
但是,这样做需要更多的不仅仅是已具备了端点保护,他说。
“它确实需要网络访问控制,”他说。“如果你在受感染终端的检测和网络访问控制系统之间有一个链接,它可以自动与网络安全产品链接回来,实际上阻止设备连接到网络。”
但通常情况下,当部署了具有这些功能的产品时,却没有实现这些功能。
他说:“在某些情况下,有一种‘检查盒子’的心态。”没有人问我是否实现了网络访问控制。他们应该把它列入检查清单。”
在大型组织中,设置这类系统可能会遇到额外的障碍,因为负责网络的人员和负责端点的人员是两个不同的组。
“这需要合作,”他说,“有时合作太难了。”
此外,该公司高级首席分析师乔恩•奥尔提克(Jon Oltsik)表示,还有一个问题是必须隔离多少台设备企业战略集团。
“如果我隔离一个系统,那就好,”他说。“但如果我隔离更多的系统,事情就会变得更复杂。”
由于所需的响应变得更广泛,更复杂的它得到,他说。“而更多的信心,你必须有你正在做正确的事情。”
智能网络
有很多可用的工具今天能在网络上检测可疑活动。
奥尔提克说:“你看到一个营销人员启动了一个网络扫描——这不应该发生,所以你可以隔离这个系统。”“或者,您看到系统向已知的命令和控制服务器发出信标,因此您可以在系统级或网络级停止它们。这是非常常规的做法,很多公司都是这样做的。”
但更复杂的攻击,就越难是自动的响应,他说。
这并不意味着网络厂商都没有尝试。
网络安全一直是门庭若市最近,当涉及到自动化,ISACA的克莱德说。
他说:“如果你去看RSA的最后一场演出,你会看到网络安全公司一个接一个地兜售他们如何自动检测攻击,在某些情况下还会自动采取行动。”
但看法不一,这是否是一个好主意。
他说:“一些人对在没有人类参与的情况下采取行动表示担忧,特别是在一个系统不是100%确定的情况下。”“他们可能会搞错,采取一些可能会阻止合法活动的行动。但其他人会说,‘攻击者行动太快了,我们需要自动化。’”
如果误报率过高,公司更愿意将警报发送给分析师进行人工响应。
“我们正在取得进展,”他说。“但最先进的技术往往是检测,而不是采取行动,除非有99.9%的情况下它是真实的。”
幸运的是,由于改进技术,人力分析师能够处理和监控了很多比他们甚至几年前,他说更多。
“这是个好消息,”他说。“坏消息是,我不知道我们正在跟上在攻击者一侧的创新。”
这篇文章,“在终端设备和网络上的自动缓解可能是棘手的”最初发表于CSO 。