有效安全自動(dòng)化的關(guān)鍵因素

在調(diào)研機(jī)構(gòu)進(jìn)行的一次訪談中，Tenzir公司的首席未來學(xué)家Oliver Rochford討論了自動(dòng)化如何與人類專業(yè)知識(shí)進(jìn)行戰(zhàn)略整合，確保數(shù)據(jù)完整性，以及高級(jí)任務(wù)實(shí)現(xiàn)自動(dòng)化時(shí)需要考慮的事項(xiàng)。

(資料圖片)

由于人類智能在網(wǎng)絡(luò)安全中仍然至關(guān)重要，那么如何將自動(dòng)化與人類的判斷和專業(yè)知識(shí)策略性地結(jié)合起來，以更有效地識(shí)別威脅和分析模式?

Rochford：在理想情況下，我們希望將盡可能多的瑣碎和重復(fù)的工作實(shí)現(xiàn)自動(dòng)化，從而讓網(wǎng)絡(luò)安全專家騰出時(shí)間專注于完成高價(jià)值的任務(wù)。在需要場景或?qū)I(yè)知識(shí)的行為分析中，或者在不容易對情況進(jìn)行分類時(shí)，為了確定正確的行動(dòng)方案，人類的認(rèn)知是不可替代的。

實(shí)際上，這可能意味著自動(dòng)化子任務(wù)，而不是將整個(gè)過程完全實(shí)現(xiàn)自動(dòng)化，例如關(guān)聯(lián)或豐富事件數(shù)據(jù)，獲取額外的取證證據(jù)，或打開和注釋事件票據(jù)。關(guān)鍵是設(shè)計(jì)符合人體工程學(xué)的工作流程，其中自動(dòng)化以這樣一種方式嵌入，以幫助安全分析師和其他專業(yè)安全人員專注于分析和決策，同時(shí)減少他們的認(rèn)知工作量并避免場景切換。它是關(guān)于利用每個(gè)人的優(yōu)勢——能夠解析、處理、關(guān)聯(lián)和分析機(jī)器的大量數(shù)據(jù)，并通過人類理解這些數(shù)據(jù)。

但是，企業(yè)越來越需要采用一種更積極的自動(dòng)化策略來抵御機(jī)器的攻擊，或者在殺傷鏈的后期階段檢測攻擊，例如數(shù)據(jù)泄露。在這種情況下，人工過程可能不夠迅速。威脅行為者也在積極采用自動(dòng)化技術(shù)，而速度將變得越來越重要。

需要哪些關(guān)鍵元素來確保支持安全自動(dòng)化的數(shù)據(jù)是可信的?

Rochford：例如，如果我們想要將威脅響應(yīng)和遏制實(shí)現(xiàn)自動(dòng)化，通常只能容忍非常少量的誤報(bào)。首先，我們必須確保收集正確的數(shù)據(jù)源，并且收集的數(shù)據(jù)是可靠和一致的。然后，我們還需要一種方法來確定何時(shí)通過檢測或相關(guān)規(guī)則啟動(dòng)響應(yīng)，或者更常見的是使用像機(jī)器學(xué)習(xí)模型這樣的東西。準(zhǔn)確的檢測可能需要額外的數(shù)據(jù)源，例如機(jī)器可讀的威脅情報(bào)提要，或資產(chǎn)和用戶角色場景。

所有這些數(shù)據(jù)必須以正確的格式在需要時(shí)及時(shí)提供。我們還需要進(jìn)一步的決策邏輯來編排自動(dòng)響應(yīng)過程，就像SOAR解決方案中的響應(yīng)劇本一樣。這個(gè)多序列過程的每一步都需要高水平的數(shù)據(jù)質(zhì)量、完整性和可靠性。尤其是在自動(dòng)化某些東西的時(shí)候，“壞數(shù)據(jù)輸入，壞數(shù)據(jù)輸出”這句格言有了更直接的含義。幾乎任何事情都可以實(shí)現(xiàn)自動(dòng)化，甚至是看似簡單的過程，通常會(huì)導(dǎo)致復(fù)雜的劇本，其中有許多單點(diǎn)故障，尤其是數(shù)據(jù)故障。

模型的可解釋性也變得越來越重要，尤其是在自動(dòng)化中建立信任的時(shí)候。能夠信任用于驅(qū)動(dòng)自動(dòng)化的數(shù)據(jù)至關(guān)重要。人們很難相信黑盒，尤其是當(dāng)誤報(bào)仍然很常見的時(shí)候。

為什么安全主管對自動(dòng)化基本任務(wù)感到滿意，但對更高級(jí)的任務(wù)持保留態(tài)度?這兩個(gè)類別的區(qū)別是什么?

Rochford：我認(rèn)為很難一概而論，因?yàn)閷ψ詣?dòng)化的興趣和對相關(guān)風(fēng)險(xiǎn)的容忍度取決于許多因素，包括過去的經(jīng)驗(yàn)、競爭對手和同行的行為、業(yè)務(wù)壓力，以及技術(shù)成熟度和能力。更普遍的是，企業(yè)作為一個(gè)整體如何實(shí)現(xiàn)自動(dòng)化是一個(gè)重要的因素。安全團(tuán)隊(duì)很難在沒有企業(yè)高管支持的情況下領(lǐng)導(dǎo)文化變革。

一些因素通常會(huì)促使人們愿意實(shí)現(xiàn)安全自動(dòng)化。其中一個(gè)因素是，沒有實(shí)現(xiàn)自動(dòng)化的風(fēng)險(xiǎn)是否超過了自動(dòng)化出錯(cuò)的風(fēng)險(xiǎn)：如果企業(yè)在高風(fēng)險(xiǎn)環(huán)境中開展業(yè)務(wù)，那么沒有實(shí)現(xiàn)自動(dòng)化時(shí)造成損害的潛在風(fēng)險(xiǎn)可能高于基于誤報(bào)觸發(fā)自動(dòng)化響應(yīng)的風(fēng)險(xiǎn)。金融欺詐就是一個(gè)很好的例子，銀行通常會(huì)自動(dòng)阻止他們發(fā)現(xiàn)可疑的交易，因?yàn)槿斯み^程太慢了。

另一個(gè)因素是當(dāng)自動(dòng)化出錯(cuò)的潛在損害較低時(shí)。例如，當(dāng)試圖從遠(yuǎn)程系統(tǒng)獲取不存在的文件進(jìn)行取證分析時(shí)，沒有潛在的損害。

真正重要的是自動(dòng)化的可靠性。例如，當(dāng)今的許多威脅行為者使用的是生存技術(shù)，例如使用常見的、良性的系統(tǒng)實(shí)用程序(例如PowerShell)。從檢測的角度來看，沙箱中沒有唯一可識(shí)別的特征，例如文件散列或惡意二進(jìn)制文件。重要的是誰在使用這個(gè)工具。網(wǎng)絡(luò)攻擊者可能還竊取了管理員憑證，因此即使這樣也不足以準(zhǔn)確檢測惡意行為。

同樣重要的是如何使用PowerShell。然而，這需要深入了解其他用戶通常做什么，他們通常處理哪些資產(chǎn)，等等。這就是人們通常會(huì)看到無監(jiān)督機(jī)器學(xué)習(xí)被應(yīng)用于這類問題的原因，因?yàn)樗兄跈z測異常，而不需要事先了解折衷指標(biāo)。但這也意味著誤報(bào)很常見。這是一種權(quán)衡。

所以歸根結(jié)底就是決策邏輯的可靠性和可信度。遺憾的是，也沒有太多硬性規(guī)定。檢測到某些東西的難易程度并不總是與威脅所代表的風(fēng)險(xiǎn)大小有關(guān)。

然后還必須考慮到，我們面對的是真正的對手，他們經(jīng)常改變攻擊方式，對我們的防御也會(huì)試圖躲避。檢測和更普遍的自動(dòng)化分析都是我們只解決了一部分的難題，即使是大型語言模型也不能完全提供幫助。

在考慮更復(fù)雜的安全流程的自動(dòng)化時(shí)，您認(rèn)為企業(yè)會(huì)感知到哪些潛在的風(fēng)險(xiǎn)或陷阱?

Rochford：從技術(shù)角度來看，經(jīng)過多年失敗的歷史實(shí)驗(yàn)，例如反垃圾郵件過濾器和主動(dòng)入侵防御系統(tǒng)，假陰性和假陽性的數(shù)量和比例被認(rèn)為是至關(guān)重要的。如果企業(yè)最終將節(jié)省下來的時(shí)間用于錯(cuò)誤檢測的根本原因分析以及調(diào)整和優(yōu)化自動(dòng)化邏輯和規(guī)則，那么自動(dòng)化的投資回報(bào)率將迅速下降。特別是更復(fù)雜的安全自動(dòng)化現(xiàn)在依賴于機(jī)器學(xué)習(xí)或類似的數(shù)據(jù)分析技術(shù)，這可能會(huì)受到缺乏可解釋性的影響，這一事實(shí)將會(huì)進(jìn)一步復(fù)雜化。

可以選擇性地只關(guān)注高度準(zhǔn)確和可靠的自動(dòng)化，但由于準(zhǔn)確性與威脅類型無關(guān)，具有高度的可變性，這將使企業(yè)在覆蓋范圍內(nèi)保持一組非常復(fù)雜的自動(dòng)化和差距。這就是為自動(dòng)化優(yōu)先的方法選擇正確的技術(shù)也是至關(guān)重要的原因。希望實(shí)現(xiàn)高度自動(dòng)化的安全團(tuán)隊(duì)最好選擇那些具有自動(dòng)化功能的技術(shù)，并使其能夠提高自動(dòng)化程度。

許多網(wǎng)絡(luò)安全團(tuán)隊(duì)似乎負(fù)擔(dān)過重，承擔(dān)著各種各樣的責(zé)任。您如何看待自動(dòng)化在不損害安全性的情況下幫助緩解這個(gè)問題?

Rochford：自從黑客攻擊和確保網(wǎng)絡(luò)安全開始，我們就開始嘗試實(shí)現(xiàn)自動(dòng)化，從第一個(gè)自動(dòng)遠(yuǎn)程登錄到TCP/IP端口的端口掃描儀，然后到代碼檢測。但由于缺乏數(shù)據(jù)和計(jì)算，我們一直受到阻礙。大多數(shù)自動(dòng)化功能或者以隨意的方式應(yīng)用或者集成在一起。以SOAR為例。將自動(dòng)化應(yīng)用于一切事物，就像將大腦和身體分開一樣有意義。雖然將一些過程實(shí)現(xiàn)自動(dòng)化，但它并沒有在數(shù)據(jù)所在的位置或工作完成的位置實(shí)現(xiàn)自動(dòng)化，而且它依賴于必須人工創(chuàng)建和維護(hù)的劇本。除了一些最常見的劇本，創(chuàng)建更多的劇本可能節(jié)省更多的時(shí)間。我們需要轉(zhuǎn)換一種自動(dòng)化優(yōu)先的思維方式，我們需要在解決方案的每個(gè)級(jí)別都包含自動(dòng)化功能，并且還需要在解決方案之間啟用自動(dòng)化。

我們還需要學(xué)習(xí)如何最大限度地發(fā)揮人機(jī)合作的潛力，以及如何開發(fā)結(jié)合自動(dòng)化和人類分析師優(yōu)勢的工作流程。這意味著將任務(wù)實(shí)現(xiàn)自動(dòng)化，例如場景和智能豐富、將事件映射到威脅模型、預(yù)取取證數(shù)據(jù)或構(gòu)建數(shù)據(jù)可視化，所有這些都是為了讓數(shù)據(jù)變成正確的形狀，以便人類理解它并決定下一步該做什么。

我們也有一些需要學(xué)習(xí)的事情，例如，我們?nèi)绾问褂萌藱C(jī)交互的過程，使自動(dòng)化更有效和安全。

最后，如果您要建議希望利用安全自動(dòng)化的企業(yè)，他們的主要考慮應(yīng)該是什么?他們應(yīng)該避免或特別注意什么?

Rochford：我認(rèn)為最重要的是，要有策略。培養(yǎng)自動(dòng)化思維需要時(shí)間和可驗(yàn)證的成功。通過將日常和重復(fù)的任務(wù)實(shí)現(xiàn)自動(dòng)化，從容易實(shí)現(xiàn)的目標(biāo)開始，釋放網(wǎng)絡(luò)安全專家的時(shí)間，讓他們專注于高價(jià)值的活動(dòng)。這也將為企業(yè)提供構(gòu)建業(yè)務(wù)案例的指標(biāo)，以證明進(jìn)一步自動(dòng)化的合理性，并幫助說服懷疑論者。

需要從人體工程學(xué)角度考慮如何將自動(dòng)化集成到工作流中，以支持安全分析師，使他們能夠?qū)Ｗ⒂诜治龊蜎Q策，同時(shí)最大限度地減少認(rèn)知工作量和場景切換。

在自動(dòng)化遏制的情況下，重點(diǎn)關(guān)注需要快速響應(yīng)的威脅，其中人工響應(yīng)可能不夠快，例如機(jī)器速度的攻擊和在殺傷鏈的后期階段檢測到的威脅。

如果企業(yè)正在使用機(jī)器學(xué)習(xí)或類似的方法來實(shí)現(xiàn)自動(dòng)化，需要尋求具有良好可解釋性的解決方案，以更好地理解決策過程并建立對結(jié)果的信任。自動(dòng)化的采用依賴于信任。如果用戶遇到一些錯(cuò)誤警報(bào)，他們可能會(huì)開始懷疑每一個(gè)結(jié)果。

一般來說，選擇嵌入自動(dòng)化功能的自動(dòng)化技術(shù)，并隨著企業(yè)變得更加自信和成熟而增加自動(dòng)化能力。通過在定義良好的工作流中結(jié)合自動(dòng)化和人工分析師的優(yōu)勢，利用人機(jī)交互的過程，嘗試最大限度地發(fā)揮人機(jī)團(tuán)隊(duì)的潛力。

最后，人們要有學(xué)習(xí)的心態(tài)，不斷地衡量和改進(jìn)自動(dòng)化過程。

關(guān)鍵詞：