文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

网络安全自动化:分析过程自动化策略

2024-12-02 08:07

关注

本文将主要介绍分析自动化的相关背景,自动化策略的基本方法及策略中的相关信息源,使读者可以对分析过程自动化策略有相应的了解。本文内容主要参考了文献[1]。

背 景

随着我国计算机网络技术应用领域的不断扩大,网络安全问题也逐渐成为人们关注的重要话题。计算机网络中包含了数以万计的接入点和成千上万的服务器、电缆连接,具有复杂和庞大的特点。一旦受到攻击,企业、个人或国家遭受的损失将会是非常大的。除此之外,通过互联网来进行网络信息窃取和毁坏也逐渐成为现在网络安全所必须要面临的问题。因此我们必须要采取有针对性的安全措施来对这些网络安全问题进行防范和消灭,只有这样互联网的风险才能够得到降低,用户的数据安全才能够得到更好的保障。但传统的网络监管,仅仅依靠网络安全分析师人工对网络中存在的安全威胁进行分析和处理已经逐渐不能满足当下大数据时代下的网络安全分析要求。

自动化技术在我国交通运输、工业、科学研究等领域都得到了非常广泛的应用,不仅能够提高劳动生产率,还能够将人从简单重复的工作中解放出来。因此将自动化技术应用于网络安全分析中显得十分必要,通过使用自动化技术,从而加强对网络安全的监管力度。

在网络安全防护中,需要保护计算机网络数据的完整性和保密性。当有病毒或者非法入侵现象发生的时候,要保证相关资料和数据安全。此外,一个科学的网络安全管理策略对于加强对网络风险的管理力度是十分有必要的,要包含攻击和入侵的检测和防御、网络安全相关的规章制度、病毒防范、防火墙配置、网络安全评估、网络监测设置等一系列内容,以应对随时可能面临的各种各样的安全问题,比如:系统攻击、物理威胁等。

当以上防护措施全部由安全分析师人工来进行分析处理时,其中一些无用的数据或者是一些简单的处理决策会大大浪费分析师的时间和精力,使之不能快速关注与最大风险相关的信息和事件。因此设计一个分析过程自动化策略来解决以上问题,使安全分析师摆脱那些无用和简单的任务处理,提高分析效率是十分有必要的。

基本方法

自动化策略的思路是确定安全操作,进而允许其根据本地风险策略以自动的方式处理警报、事件或外部提供的网络威胁情报。关键在于要尽可能多、尽可能快地确定不需要分析师调查的事件。因此这里有三个需要考虑的问题:

通过以上考虑从而使自动化策略丢弃不相关事件信息,执行自动化的响应操作,为分析人员提供自动化的建议以进行审查。

什么样的信息是必要的。在安全策略中我们首先要十分明确什么样的信息是必要的,从而根据这些信息来确定某个事件是不相关的或假阳性的,通过自动化决策逻辑自动丢弃或不显示相应的事件信息,为自动化分析人员节省时间和资源。例如,在由安全供应商实现的阻止列表中显示的折衷指示符(IOC),或来自入侵检测系统(IDS)的警告,这些信息都说明存在试图对Linux资产进行的攻击,也即为我们所说的必要信息。

在什么条件下定义并批准完全自动化的响应。对于许多活动的威胁,响应的操作值直接与检测和响应的速度有关。能够处理更多警报和事件,并快速识别何时满足授权自动响应的条件,是防范这些威胁的关键步骤。例如,当一个可靠的源将其标记为恶意软件时,阻塞来自IDS警报的IOCs,该警报符合威胁标准,满足定义和批准完全自动化响应的条件。自动化可以有效地为分析师审查或批准构建丰富的凭据。凭据可以包含预先批准的建议、用于提出建议的信息,甚至还可以包含执行响应的代码。以前的经验表明,尽管不是完全自动化的,但使用自动化来推荐分析师审查和批准的响应会提高操作效率。随着时间的推移,可以确定完全自动化响应的条件。

依据什么特点来确定事件的优先级。使用与签名关联的严重性评级或资产的临界级别来确定事件的优先级。当前的大多数传感器配置、过滤器以及操作分析,都旨在识别高优先级警报或事件。将流程自动化,使其在最后而不是一开始就实现此逻辑,使设备能够处理更多的警报和事件,并将分析人员的注意力集中在调查和降低最高风险项上。

主要的,权威的和确证的信息源

通常,信息的来源决定响应是否被授权完全自动化,或者需要分析师的批准。用于做出响应决策的许多条件、特征或属性并不是从单一可靠的来源获得的。确定主要信息源是非常有价值的,这些信息源始终具有对某一类型的所有对象可用的相同信息,即使该信息并不总是精确到所需的水平。通常情况下,分析人员已经知道在环境中可以使用哪些其他信息(例如,确证信息)来确定这个信息源在什么时候对一个特定的响应决策来说是足够准确的。

大多数组织已经确定了作出响应决策所需的权威信息源,但没有考虑何时使用主要信息源更合适或更合理。权威信息源很少包含对所有对象的及时洞察,因为做出更准确的判断需要额外的资源。等到相应的信息源可以获得对特定对象的洞察时,可能会延迟响应的时效性,影响有效性。因此需要考虑哪些反应决定可以依靠主要的和确证的信息源,而不是总是使用有限的或不一致的权威信息源。

对于给定的属性,这些类型的源的一个例子是使用软件管理服务器作为主要源,端点代理作为确证源,以及经过认证的漏洞扫描器的输出,作为识别易受特定漏洞攻击的资产的权威来源。

某些软件应用程序版本或补丁可能明显与某些漏洞相关联,从而使软件管理服务器信息更适合某些决策(例如,运行红帽操作系统的设备不容易受到针对Windows服务器的攻击)。有时,关于安装了特定应用程序的设备上是否存在易受攻击的库的详细信息可以从端点管理服务器获得。有时,确定资产是否易受攻击的唯一方法是通过认证扫描。

考虑主要的、权威的和确证的信息源可以让设备更有效地自动化分类和优先级决策,使之与本地策略保持一致。

小 结

实现自动化是每一个希望解决现代网络攻击速度和规模的设备的关键组成部分。这就是为什么大多数组织都向安全操作的自动化投资。在开发自动化工作流时,重要的是要知道,人工流程是为分析人员优化的。重新设计流程,利用自动化来执行分类和优先级划分,允许计算机自动处理更多的警报/事件,减少分析师参与。本文中的基本方法期望可以帮助组织开发和部署更有效的自动化操作。这种方法很容易扩展,以支持在检测和响应过程中包含更高级的分析。

参考文献

[1]《Enabling Automation in Security Operations - Strategy for Efficient Process Automation》

来源:中国保密协会科学技术分会内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯