安全自動化正在成熟，但很多公司還沒有準備好

Maria+Korolov

安全自動化行業還處于起步階段，有一些很有前途的技術

安全自動化行業還處于起步階段，大多數供應商才剛成立一兩年，但如果他們已經有了必要的基礎工作，那么，企業將能夠使用一些很有前途的技術。

安全自動化要解決的主要問題是——有如此多的攻擊嘗試入侵，而且入侵非常快，人類難以應對。

網絡犯罪分子從勒索軟件和其他攻擊中得到了大量的金錢，使他們能夠投資于新類型的攻擊，甚至對國家構成了威脅，在這方面急需人才。

這簡直就是一場災難。

企業戰略集團高級首席分析師Jon Oltsik說：“即使是最大的公司也難以應對。”

據去年秋季研究公司的一項調查，91%的公司承認，人工操作所需的時間和投入限制了應急響應的有效性，有很多公司正在積極地增加員工人數。

62%的公司已經實施了應急響應的自動響應流程，另有35%的公司正在開始自動化和流程編排項目，或者計劃在未來12至18個月內進行。

Oltsik說：“兩年前，沒有人知道這項技術。而去年，出現了很多。現在我們看到有這方面的預算，我們也看到了很多風投在這一領域進行了投資。”

他估計安全自動化和流程編排領域的市場規模在1億到2億美元之間，幾家小型供應商的銷售額在1000萬到2000萬美元之間。

理論上，安全自動化能夠支持公司調查入侵威脅并立即做出響應，至少無需人為參與——最常見的是針對人員密集型攻擊。然后，安全分析人員就可以從這些工作中解脫出來，專注于類型更復雜的攻擊。

最近有跡象表明這是可能的。

Oltsik說：“我們的檢測精度很高。誤報率較低。而我們越來越多地使用云，這有助于實現更強的處理能力。”

到目前為止最大的進展是第一時間阻止攻擊者侵入企業。反惡意軟件系統、下一代防火墻以及其他發現威脅并阻止威脅的系統。

Oltsik說，最近，評分系統可以提供威脅情報。利用這些情報，公司針對那些可能非常危險的威脅添加更多的自動化處理功能，并且通過老的手動過程來處理可疑的情況。

一些較大的公司也在部署流程編排平臺。這將實現涉及多個系統的自動化流程。

他說：“但這些類型的應急響應平臺現在還只限于大企業，例如，財富500強的企業。”

此外，公司還編寫腳本，從頭開始創建自己的自動化流程，但這需要一些專業技術。

誰在對什么進行自動化

據最近的SANS研究所應急響應調查，大多數流程仍然以人工操作為主。

有50%的受訪者說他們有一定程度的自動化，最自動化的流程是用于遠程部署安全供應商的自定義內容或者簽名。

其次，49%是阻止惡意IP地址發出的命令和控制，還有47%是刪除流氓文件。

最難以實現自動化的流程包括在修復過程中把受感染的計算機與網絡隔離開，并關閉系統，使其離線。

位于加州Foster市的投資公司Scale風險投資合作伙伴合伙人Ariel Tseitlin說，總體而言，安全自動化要比其他技術流程自動化落后10年左右。

他說：“但是我們已經看到自動化對IT產生了巨大的影響，今后對安全也是如此。”

他說，安全難題的預防部分是最容易自動化的。那么在過去的兩年里，在檢測方面的投資非常多。

現在，在檢測和響應上開展了很多工作，公司應弄清楚他們發現的哪些問題是真正需要調查的問題。

他說：“那么在應急響應方面，現在大量的工作都是由人工完成的。在這方面，我認為未來幾年會帶來很大的價值。”

他說，然而，目前所有的產品仍處于早期階段，在這個領域還沒有公認的領導者。

網絡安全咨詢公司ClearSky網絡安全的總經理Jay Leek指出，自動檢測很好，但修復流程完全自動化是有風險的。

他說：“我總是建議，至少目前，在這兩個不同的流程之間最好有人參與。您不會愿意在這里出現誤報。”

他說，修復流程的各個步驟可以自動化，只要人們按下按鈕開始工作就可以了。

他說：“但我不喜歡現在把整個端到端流程進行自動化的想法。還非常不成熟，很容易出現誤報。您最后要做的是建立一些業務中斷。”

AsTech Consulting首席安全策略師Nathan Wenzler說，市場上有的供應商希望整個流程自動化，包括自動重新鏡像端點設備，讓用戶參加反網絡釣魚培訓等。

他說：“但到了最后，現實情況是如果有人試圖大規模地做到這一點，效果往往并不好。他們要么有太多的誤報，要么有太多的漏報。用戶會感到煩惱，特別是如果您的系統是重新鏡像過的，沒有任何錯誤的情況。”

聯合和發展

很快，安全自動化的應用會越來越廣泛，也更容易使用。大供應商們一直在收購小的流程編排公司，并將其功能集成到自己的平臺上，而SIEM供應商已經在其平臺上增加了自動化和流程編排功能。

供應商也開始提供預先構建的例程并運行規程，這樣，公司不必從頭開始去建立修復流程。

Forrester Research分析師Joseph Blankenship說，自動化技術發展積極的一面是，我們沒有供應商或者技術孤島，所謂孤島是指一些公司的產品與其他公司的不能很好地兼容。

這之前在IT的其他領域出現過。然而，在安全方面，企業環境往往非常多樣化。

他說：“企業有20、50甚至更多的供應商是很常見的。”

他說，因此，供應商有動力進行合作，客戶很難接受在互操作性上受到限制。

準備好自動化

對于希望部署安全自動化技術的公司來說，只確定供應商的產品是否準備就緒還不夠。

Blankenship說，公司也要做好準備。

他說：“絕對不是買它，然后把它放到應用場景中。肯定需要做基礎工作。如果把錯誤的數據放入到自動化系統中，您很快就會做出更糟糕的決策。”

他說，此外，很多公司并不知道他們的流程是什么，也可能還沒有明確的規程。

他說：“很多公司的分析師們就怎樣進行調查而各干各的。為了使這些事情自動化，你必須首先標準化。”

Maria Korolov——特約撰稿人 ，過去20年一直涉足新興技術和新興市場。

原文網址：

http：//www.csoonline.com/article/3193035/security/security-automation-is-maturing-but-many-firms-not-ready-for-adoption.html