| 摘要:是时候好好想想这条建议了,机器崛起的时代到了。 |
2013年,安全自动化和流程调度在云计算环境中的关键基石作用已经引起业内有心人的注意。尤其是对数据中心而言,为了达到释放云计算潜力、降低成本、增强IT敏捷性的目的,企业需要一种能快速部署相关网络安全服务的方法,使安全服务与动态的虚拟计算层同步,且要在虚拟化、网络和安全元素中具有完全的自动化和编制特性。
3年过去了,终于在2016年,安全自动化和流程调度走向了前台,成为视线的焦点。网络虚拟化一类的技术,让多类型流量的本地隔离,以及安全服务在应用工作流中的自动插入成为了可能。而且,自动化和流程调度也吸引了云世界之外的目光。火眼最近才并购了一家名为Invotas的安全自动化公司,提升面对高级攻击的响应速度。
安全自动化的未来是什么?
有待被打破的一个安全领域,就是当前还处于手动状态的安全风险验证过程。多年来,安全主管们一直困扰于该怎样量化他们的当前安全态势,回答执行董事会问起的“我们有多安全?”或者“我们会被攻破吗?之类的问题。
正确理解和量化风险,评估现有安全投资是否值回票价,对企业而言十分关键。这关系到企业能否弄清该将有限的资源投放到何处,该怎样先发制人地将漏洞被黑客利用前就堵住。连二连三的数据泄露事件都告诉我们,我们并非缺乏工具,我们只是把重点搞错了。正如Gartner所言:建立在业务上下文基础之上的,具优先级且管理良好的修复过程,是安全运营梦寐以求的圣杯。
现有技术,比如漏洞管理系统,噪音太大,无法提供精确的风险视图。曾有信息保障公司对100家企业进行了一系列的漏洞扫描,扫出90万个安全相关的漏洞警告。其中,某些行业的误报率高达89%!安全信息和事件管理(SIEM)工具可以从多个来源收集信息,但这些工具的视野,也仅仅局限在战术数据层面上。
因此,顺理成章地,公司企业会转向招募专业人士,比如安全顾问、白帽子黑客、安全团队等,来应对这一挑战。聘用具备专业技能的安全顾问,是进行年度、半年度或季度安全评估的传统方式。但,随着新用户、新终端、新应用的不断加入,风险态势也在不断改变,周期性的风险评估也只能给出有限的安全风险视图。
雇佣黑客“测试自家系统”的做法不是什么新招,但做与不做却是个两极分化的问题。一方面,白帽子黑客能为你提供从黑客的独特视角将你的公司看做攻击目标的体验。但另一方面,出于数据敏感性的考虑,大多数测试都被限制在少数非常具体的安全用例(通常是外部威胁)上。而且,能测试出的安全漏洞也受制于所招黑客的技术水平。
众包漏洞奖励计划,则是将通过把问题扔给更多的人来尝试解决这一问题。不过,这种做法也有问题。详情参见Facebook与研究人员起冲突的不光彩事件。公司企业可能会在漏洞严重性,或者特定攻击方法上与研究人员产生分歧。
公司企业的另一种选择,是建立自己的内部红队。这看起来似乎是个理想的选择。毕竟,有个了解公司业务流程,知晓哪些资产是关键资产的内部团队,能够更好地保护公司安全环境。但是,想拉起这么一支内部安全团队,非大公司不行——招聘具备“攻击性”思维的特定安全专业人士可不是什么简单的事。
现有技术和特定服务存在很多不足,意味着下一波安全创新将是,也必须是,在安全验证和响应自动化上。我们得掌握主动,打个翻身仗。只要能够自动化如今的安全风险验证过程,我们就能从琐碎的简单挑战中解脱出来,把精力放到更重要的事务上。我们可以用自动化的平台戏耍黑客,更好地解决对手的行为;可以结合不断发展的攻击方法图册和对整个杀伤链的可视性,采用与改变控制流程相关联的持续性验证。
正如RSA总裁阿密特·尤兰所说,在网络安全产业,我们所想、所做的都是要推陈出新——因为安全产业一直以来操作的那一套根本没用。
是时候好好想想这条建议了,机器崛起的时代到了。
责任编辑:DJ编辑
评论表单加载中...
