端點設備和網絡的自動緩解可能會很棘手

Maria+Korolov

對網絡和端點設備的應急響應和緩解過程實現自動化是一個棘手的難題

許多公司都有自動化系統用于預防、檢測和調查安全事件，但對網絡和端點設備的應急響應和緩解過程實現自動化一直是一個棘手的難題。

這包括端點設備自動重新鏡像，將設備與公司網絡隔離，或者關閉某一網絡進程以便快速高效地對攻擊做出響應等措施。

Forrester Research分析師Joseph Blankenship說：“我認為在這方面有很大的潛力。我們的確還處在探索時期，但這一定會發生，一定會成為大規模主流應用。”

他說，企業首先需要在安全自動化工具方面獲得更多的經驗，看看這會有什么影響。

他說，但是應急響應完全自動化仍然需要三到五年的時間才能成為現實。

他說：“現在有一些早期的嘗試。比如說，如果每次看到相同的威脅指示時，分析師都會從自動化工具或者機器學習算法中獲得行動建議，并做出相同的選擇，點擊‘是，繼續下一步。那么，如果我們這樣做500次或者1000次，我們就會覺得這是一個能夠完全自動化的過程，分析師可以完全從循環中擺脫出來。”

在這一點上，分析師可以專注于那些更困難、更復雜的情形。

但是，加利福尼亞州Foster市的投資公司Scale Venture Partners合伙人Ariel Tseitlin指出，如果公司自己已經有了應急響應規程，也可以不通過機器學習系統實現自動化。

他說：“采用其中一個規程，使用安全自動化工具，測試該規程在多大程度上能夠實現自動化。這是一個非常實用而且現實的方式來確定一個工具是否適用于個人環境，以及您可以從中獲得多少好處。”

他說，即使部分自動化也是非常有效的。

他說：“假設您的一臺端點設備上有惡意軟件，對此您的規程中50個步驟。假如您能夠實現80%的自動化，您會發現安全部門節省了大量的時間，很快就能看到這樣做的價值所在。”

Tseitlin說，他在決定是否投資某一安全創業公司時，與客戶進行了討論，他發現這方面已經實現了真正的價值。

確定某一應急響應技術是否有效的一個關鍵因素是企業本身是否準備好進行自動化。

他說：“不同的公司處于不同的安全成熟階段。如果您沒有想過這個過程，那么可以認為自動化是不成熟的。您首先要做的是籌劃好風險、威脅和控制，然后考慮如何實施每一項控制。但是，當您經歷了這一過程后，就會明白自動化是加速和提高企業效率的好方法。”

清理端點設備

在端點設備上最早使用的自動化功能之一是在惡意軟件進行任何破壞之前對其進行隔離或者刪除。

現在幾乎每臺PC都安裝了某種形式的反病毒軟件，很多公司也使用基于行為的惡意軟件探測技術來發現新的威脅。

人工響應太慢，因為惡意軟件能夠很快破壞設備，在人工做出響應之前甚至就已經蔓延到了同一網絡的其他計算機上。

ISACA董事會成員和安全顧問Rob Clyde說：“這不是一個新概念。”

但是，如果用戶點擊惡意鏈接或者附件，并安裝能夠逃避所有防御的惡意軟件，將其安裝在機器上，開始破壞，那該怎么辦呢？

典型的響應措施是存儲設備鏡像的副本以便以后進行取證分析，擦除機器，從干凈的鏡像恢復，并從最新的備份還原用戶的文件。雖然這一切曾發生過，用戶仍然需要參加一些反網絡釣魚培訓，下一次會更加小心。

Clyde說，有些公司實現這一過程的自動化要比其他公司容易一些。

他說：“有些已經徹底實現了虛擬桌面。實質上，他們的桌面總是可以重新進行鏡像，因為物理機器只是虛擬桌面的主機。”

同樣的，如果公司的員工使用Office 365等基于云的平臺，并將所有工作文檔保存在自己的服務器或者云端，那么重新鏡像也會相對快捷輕松。

在這兩種情況下，降低了在過程中丟失有價值文件的風險，減少了實際如果沒有感染而可能帶來的損害。

他說：“同時，我們有一些知識型的員工，比如營銷部門中的某個人，他要經常性地開發新的廣告文案和PowerPoint演示文稿。對于很多公司，這些仍然通常存儲在本地的個人機器上。不必要的擦除機器，損失一天的工作，這種想法是讓一些公司不愿意采用這種方法的原因。”

隔離威脅

自動緩解的另一常見技術是隔離受感染的機器。

他說：“您不一定要擦除它，但也不會再傳播感染了。”

他說，但是，這樣做不僅僅是為了保護端點設備。

他說：“的確需要網絡訪問控制。如果對被感染的端點設備進行檢測時能夠連接到網絡訪問控制系統，那么該網絡訪問控制系統可以自動鏈接回網絡安全產品，實際上能夠讓該設備無法連接到網絡。”

但是，當部署具有這些功能的產品時，往往無法實施。

他說：“在某些情況下，這有一點對照檢查的意思。沒有人會問我是否實現了網絡訪問控制。他們應該將其添加到檢查表中。”

在一個大型企業中，建立這類系統可能會有另外的障礙，因為負責網絡的人員和負責端點設備的人員分屬于兩個不同的部門。

他說：“這需要合作，有時太難合作了。”

企業戰略集團高級首席分析師Jon Oltsik說，此外，還有多少設備必須被隔離的問題。

他說：“如果我隔離一個系統，那沒關系。但是如果我要隔離更多的系統，那就會變得非常復雜。”

他說，必要的響應涉及的范圍越廣，就會越復雜。“您必須有信心，相信自己做的事情是正確的。”

智能網絡

目前有很多能夠用于檢測網絡上可疑活動的工具。

Oltsik說：“您看到一個營銷人員已經啟動了網絡掃描——這不應該發生，因此，您可以隔離該系統。或者您看到系統與已知的命令和控制服務器進行通信，那么，您可以在系統級或者網絡級停止它們。這很普通，有很多公司都這樣做。”

他說，但是攻擊越復雜，就越難以通過自動化進行應對。

這并不意味著網絡供應商不會去嘗試。

ISACA的Clyde說，網絡安全最近一直是自動化領域的熱點。

他說：“如果您參加過最近一次RSA展，您會看到，一家又一家的網絡安全公司大力宣傳他們如何自動檢測攻擊，并在某些情況下自動采取措施。”

但是，對于這是否是一個好主意，還存在意見分歧。

他說：“有些人對在沒有人參與的情況下采取措施表示擔心，特別是如果一個系統不是100%確定的情形。可能會出錯，采取了一些可能阻止合法活動的措施。但有的人會喜歡，‘攻擊者跑得太快了，我們需要自動化。”

如果誤報率過高，企業更愿意將警報發送給分析師，進行人工分析。

他說：“我們正在取得進展。但是，最新的趨勢是檢測，而不是采取措施，除非有99.9%的把握才會采取措施。”

他說，好在由于技術的進步，人類分析師能夠處理和監控的東西比幾年前多得多。

他說：“這是個好消息。壞消息是，我不確定我們能不能跟上攻擊方的創新。”

Maria Korolov——特約撰稿人

過去20年一直涉足新興技術和新興市場。

原文網址：

http：//www.csoonline.com/article/3193036/security/automated-mitigation-on-endpoint-devices-and-networks-can-be-tricky.html