實(shí)現(xiàn)安全自動化

編者按：如今越來越多的網(wǎng)絡(luò)攻擊是通過自動化方式進(jìn)行的，而相應(yīng)的安全防護(hù)手段卻遲滯于攻擊，因此迫切需要在安全防護(hù)層面實(shí)現(xiàn)更好地自動化，以提高對威脅的防護(hù)與響應(yīng)。

現(xiàn)代安全威脅以越來越多樣化的形式出現(xiàn)，實(shí)現(xiàn)安全防護(hù)的自動化也變得越來越迫切。但是，盡管在近期這些方面取得了一些進(jìn)展，但實(shí)際上在安全行業(yè)內(nèi)，采用自動化軟件依舊存在很多障礙。

網(wǎng)絡(luò)攻擊很長時間以來就實(shí)現(xiàn)了自動化，它使得攻擊者可以輕松創(chuàng)建、測試和自動執(zhí)行惡意程序，并且只需稍作修改就可以重用代碼或添加增強(qiáng)功能。惡意軟件的開發(fā)，暴力攻擊使用各種憑據(jù)來獲得訪問權(quán)限，某些端口掃描攻擊嗅探和發(fā)現(xiàn)未受保護(hù)的網(wǎng)絡(luò)端口等等，這些網(wǎng)絡(luò)攻擊活動很多都是通過自動化方式實(shí)現(xiàn)的。

自動化攻擊強(qiáng)于自動化防御

自動化攻擊發(fā)展十分迅速。例如，惡意推文和聊天機(jī)器人的使用量不斷增長，它們可能會收集個人信息以用于網(wǎng)絡(luò)釣魚活動。它們還可以用于攻擊前的準(zhǔn)備活動，在這種策略中，惡意軟件可以在執(zhí)行攻擊之前預(yù)先被發(fā)送到網(wǎng)絡(luò)上，以確保其被標(biāo)記為“安全”，直到在受害目標(biāo)處突然爆發(fā)。

例 如，2018年IBM公 司的研究人員開發(fā)了一種名為DeepLocker的自動化惡意軟件，該軟件使用自動化和AI隱藏在可見的地方，并且僅在檢測到特定目標(biāo)時才會爆發(fā)。當(dāng)然，開發(fā)該代碼是為了證明可能的結(jié)果并收集實(shí)驗數(shù)據(jù)，這些數(shù)據(jù)將有助于將來抵御此類攻擊。

攻擊者往往比我們擁有領(lǐng)先優(yōu)勢，我們是應(yīng)該認(rèn)真考慮為什么安全自動化卻達(dá)不到應(yīng)有的效果？為什么企業(yè)沒有更多地利用這種技術(shù)來幫助應(yīng)對安全挑戰(zhàn)？

為了成功防范攻擊，我們需要重新考慮攻擊的發(fā)生方式。惡意軟件的目的是潛入目標(biāo)系統(tǒng)，竊取所需東西并離開。網(wǎng)絡(luò)攻擊是高度復(fù)雜的活動，通常在執(zhí)行之前對目標(biāo)環(huán)境進(jìn)行偵查，通過使用自動化的技術(shù)隱藏自身，以提高攻擊效率。

MyDoom惡性蠕蟲病毒被認(rèn)為是傳播速度最快的惡意病毒，該病毒就是使用自動化技術(shù)，據(jù)估計迄今為止已造成380億美元的損失，并且仍在傳播。令人驚訝的是MyDoom并不是新的。它于2004年就已出現(xiàn)，截至2019年仍有1%的電子郵件受到感染。

隨著攻擊者開發(fā)出自動隱匿性更好的攻擊方式，我們必須意識到預(yù)防并解決安全威脅還遠(yuǎn)遠(yuǎn)不夠。為了最大程度地減少攻擊的影響，自動響應(yīng)至關(guān)重要，因為這可以減少從感染到解決的間隔時間。因此，從人工過渡到完全自動化是不切實(shí)際的。重要的是要考慮自動化帶來的優(yōu)勢，人的因素仍然是至關(guān)重要的組成部分。

機(jī)器自動化與認(rèn)知自動化

安全自動化分為兩個主要領(lǐng)域：

1.機(jī)器人自動化。安全團(tuán)隊無需執(zhí)行重復(fù)的例行任務(wù)，如警報監(jiān)視，從而為他們節(jié)省了更多時間來專注于威脅響應(yīng)和安全改進(jìn)。

2.認(rèn)知自動化。安全平臺學(xué)習(xí)網(wǎng)絡(luò)、主機(jī)和應(yīng)用程序的數(shù)據(jù)，以針對威脅或改善安全狀況的方式提供響應(yīng)。

我們當(dāng)前實(shí)現(xiàn)自動化的大多數(shù)任務(wù)都屬于機(jī)器人自動化類別，例如常規(guī)活動、升級補(bǔ)丁、計劃掃描和訪問管理請求。這些確實(shí)給安全團(tuán)隊節(jié)省了一些時間，但只是做到了保護(hù)和預(yù)防，而不是響應(yīng)。

技術(shù)人員可以很好地處理非結(jié)構(gòu)化數(shù)據(jù)集，因此，在調(diào)查威脅時，他們習(xí)慣于在漏洞與代碼的思維之間進(jìn)行切換，研究在線論壇的信息，了解現(xiàn)有的相關(guān)補(bǔ)丁或閱讀文檔。人腦善于將看似無關(guān)的信息建立聯(lián)系。

相比之下，計算機(jī)擅長處理結(jié)構(gòu)化數(shù)據(jù)，比如信息列表，包括端口號、協(xié)議或檢測到的漏洞詳細(xì)信息。在分析威脅或制定應(yīng)對措施時，AI尚不能達(dá)到人工那樣的思維方式。

從防御到響應(yīng)

我們可以利用機(jī)器學(xué)習(xí)來處理數(shù)據(jù)，并像人腦一樣以更加非結(jié)構(gòu)化的方式處理數(shù)據(jù)。當(dāng)檢測到威脅時，技術(shù)人員可以立即獲得更多有關(guān)威脅如何傳播，正在使用哪些協(xié)議以及感染了多少設(shè)備的上下文信息。這意味著響應(yīng)所需的時間減少了，從而加快了處理速度。

傳統(tǒng)的網(wǎng)絡(luò)安全使用解決方案中的安全數(shù)據(jù)來建立安全模型?？梢詫⒋四Ｐ图右詳U(kuò)展——不僅可以利用安全性數(shù)據(jù)，而且還可以利用其他非安全性設(shè)備（如交換機(jī)或路由器）的數(shù)據(jù)，這意味著安全狀態(tài)得以進(jìn)一步改善。

通過使用機(jī)器學(xué)習(xí)來了解威脅可能從何處發(fā)起攻擊，并通過自動化來創(chuàng)建基于解決方案和平臺數(shù)據(jù)的動態(tài)策略，通過對機(jī)器學(xué)習(xí)進(jìn)行訓(xùn)練，使其能夠?qū)Σ煌愋偷男袨楹蛿?shù)據(jù)指標(biāo)進(jìn)行處理，可大大降低攻擊風(fēng)險，并為安全團(tuán)隊提供所需的關(guān)鍵信息。

對于大多數(shù)組織而言，自動化的全部功能仍未得到充分利用?，F(xiàn)在是時候開始更加認(rèn)真地研究如何使用它們來提高安全團(tuán)隊的能力，同時改善企業(yè)的安全狀況。