问题出在哪里?我们离安全自动化到底还有多远?解答这个问题我们不妨借鉴一下汽车行业的自动驾驶分级。
作为传统行业的代表,汽车行业似乎在创新领域没有什么资格“鞭策”科技行业,但是融合多个领域变革的自动驾驶汽车却是个例外。
汽车行业和科技行业联手为自动驾驶汽车制定了一个标准化框架,而网络安全行业在制定自动化路线图时也完全可以参考该框架。
血染的自动驾驶分级
今天,汽车比以往任何时候都更省油、更豪华、更安全。但有一件事情变得更糟了:驾驶员。根据美国国家公路交通安全管理局(NHTSA)的数据分析,94%的严重汽车事故是人为错误造成的。
为了提高道路安全性和驾驶员体验,汽车制造商正在引入创新技术,例如雨水感应刮水器、自动大灯和盲点检测系统,帮助驾驶员将更多的注意力集中在道路上。但这并不总是有效(甚至是有害的)。
例如,自动巡航系统(我们可以将其看作是某种程度的自动化)旨在减轻脚踩油门的疲劳。但一个常见的问题是,它降低了司机的环境感知度,用踩油门会迫使您多加注意。而更先进一些的自适应巡航控制(ACC),有了更多“自治”功能,如今已经成为一种标准,因为它解决了自动巡航控制1.0面临一些挑战(容易偏离车道、追尾等)。
这是从“自动化”演变为“自治”的一个很好的例子。实际上,汽车工程师协会(SAE)制定了描述汽车自动化水平的标准,该标准已被美国运输部和联合国采用。根据该自动驾驶分级标准,传统的自动巡航控制系统为0级,ACC为1级。特斯拉的“自动驾驶”仪或凯迪拉克超级巡航系统被视为2级。
如果将该标准套用在网络安全自动化成熟度上,则可映射如下:
- 0级:没有自动化。零自治;安全分析师执行所有分类、狩猎和调查。
- 1级:分析师协助。大多数安全工作是手动的,但是工具集中可能包含一些分析师辅助功能。
- 2级:部分自动化。安全程序可自动执行诸如响应操作和策略执行之类的功能,但由于误报的普遍存在,分析人员必须保持参与。
- 3级:有条件自动化。分析师是必不可少的,可以随时进行控制,但是高保真检测、自主搜寻、分类、调查和响应可以提高安全性和效率。
- 4级:高度自动化。在特定条件下,所有安全工具都可以自主运行。分析人员专注于定义和控制技术,然后由技术强制执行这些策略。
- 5级:全自动化。所有安全工具在任何情况下均可自主运行。该技术会自动定义并实施策略,分析人员可以覆盖这些自治策略。
网络安全的“无人驾驶”刚刚上路
正如号称达到4级高度自动驾驶的特斯拉FSD8.2测试版在奥克兰街头“处处鸟惊心”的糟糕表现给自动化狂热主义投机分子兜头浇了一盆凉水,网络安全的“无人驾驶”,也还有很长的路要走。
在网络安全中,当今被视为标准的一种基本自动化是SIEM和网络安全工具之间的关联。例如,将与IP地址关联的所有警报汇总到一个屏幕上,或者通过对共享源或目标的警报进行分组来标识攻击活动。一些工具更智能,并使用其他上下文源,例如活动目录(AD)或威胁情报,或过滤掉“非恶意内容”。但是,就像汽车最初的自动巡航控制一样,在网络安全的世界中,自动化会有很多意想不到的后果,这主要表现为大量的误报或漏报。例如,随着设备的移动性越来越强,在公司网络的内部和外部“漫游”,在每个位置使用新的IP地址,同一设备在短时间内可能会有多个地址,这会大大增加误报几率。
对照SAE自动驾驶的0级——汽车自动巡航控制,可以肯定地说,IP相关在安全自动化的级别上是相同的。从更广泛的角度来看网络安全自动化,大多数行业可能仅处于1级水平。
SOAR(安全编排、自动化和响应)可以归入2级(部分自动化)。此类技术可自动执行多项低影响的响应和补救任务,例如为IT服务台创建支持工单,在多个安全工具之间自动关联或将证据收集到事件数据存储中。
达到第4级和第5级需要整个网络安全行业大幅提高其竞争能力。目前,重点应该放在第3级:条件自动化上。
回到与汽车自动驾驶的类比,特斯拉的自动驾驶仪不仅会分析车辆环境数据速度、行驶车道、制动、加速等,还会分析其他车辆共享的道路数据,为驾驶员提供决策依据。
安全行业也需要类似的自动化能力,才能将网络安全提升到3级自动化。根据我们从汽车中学到的知识,要达到此目标,需要满足几个基本要求:首先我们需要减少对人类的认知负担,以便安全团队可以专注于重要的事情,消除诸如单调任务之类的压力,并以记录决策路径的方式专注于用户体验,从而使人类可以在需要的时间和地点进行更深入的挖掘。
其次,人工分析人员将继续在安全操作流程中扮演重要角色,并且可能会在未来几年内继续发挥作用。通过破除最佳安全决策所需的知识和信息的藩篱和屏障,网络安全人员的技能将被提到更高水平,这同时也将推动企业坚定地走上自治安全的道路。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】