Maria+Korolov

对网络和端点设备的应急响应和缓解过程实现自动化是一个棘手的难题

许多公司都有自动化系统用于预防、检测和调查安全事件，但对网络和端点设备的应急响应和缓解过程实现自动化一直是一个棘手的难题。

这包括端点设备自动重新镜像，将设备与公司网络隔离，或者关闭某一网络进程以便快速高效地对攻击做出响应等措施。

Forrester Research分析师Joseph Blankenship说：“我认为在这方面有很大的潜力。我们的确还处在探索时期，但这一定会发生，一定会成为大规模主流应用。”

他说，企业首先需要在安全自动化工具方面获得更多的经验，看看这会有什么影响。

他说，但是应急响应完全自动化仍然需要三到五年的时间才能成为现实。

他说：“现在有一些早期的尝试。比如说，如果每次看到相同的威胁指示时，分析师都会从自动化工具或者机器学习算法中获得行动建议，并做出相同的选择，点击‘是，继续下一步。那么，如果我们这样做500次或者1000次，我们就会觉得这是一个能够完全自动化的过程，分析师可以完全从循环中摆脱出来。”

在这一点上，分析师可以专注于那些更困难、更复杂的情形。

但是，加利福尼亚州Foster市的投资公司Scale Venture Partners合伙人Ariel Tseitlin指出，如果公司自己已经有了应急响应规程，也可以不通过机器学习系统实现自动化。

他说：“采用其中一个规程，使用安全自动化工具，测试该规程在多大程度上能够实现自动化。这是一个非常实用而且现实的方式来确定一个工具是否适用于个人环境，以及您可以从中获得多少好处。”

他说，即使部分自动化也是非常有效的。

他说：“假设您的一台端点设备上有恶意软件，对此您的规程中50个步骤。假如您能够实现80%的自动化，您会发现安全部门节省了大量的时间，很快就能看到这样做的价值所在。”

Tseitlin说，他在决定是否投资某一安全创业公司时，与客户进行了讨论，他发现这方面已经实现了真正的价值。

确定某一应急响应技术是否有效的一个关键因素是企业本身是否准备好进行自动化。

他说：“不同的公司处于不同的安全成熟阶段。如果您没有想过这个过程，那么可以认为自动化是不成熟的。您首先要做的是筹划好风险、威胁和控制，然后考虑如何实施每一项控制。但是，当您经历了这一过程后，就会明白自动化是加速和提高企业效率的好方法。”

清理端点设备

在端点设备上最早使用的自动化功能之一是在恶意软件进行任何破坏之前对其进行隔离或者删除。

现在几乎每台PC都安装了某种形式的反病毒软件，很多公司也使用基于行为的恶意软件探测技术来发现新的威胁。

人工响应太慢，因为恶意软件能够很快破坏设备，在人工做出响应之前甚至就已经蔓延到了同一网络的其他计算机上。

ISACA董事会成员和安全顾问Rob Clyde说：“这不是一个新概念。”

但是，如果用户点击恶意链接或者附件，并安装能够逃避所有防御的恶意软件，将其安装在机器上，开始破坏，那该怎么办呢？

典型的响应措施是存储设备镜像的副本以便以后进行取证分析，擦除机器，从干净的镜像恢复，并从最新的备份还原用户的文件。虽然这一切曾发生过，用户仍然需要参加一些反网络钓鱼培训，下一次会更加小心。

Clyde说，有些公司实现这一过程的自动化要比其他公司容易一些。

他说：“有些已经彻底实现了虚拟桌面。实质上，他们的桌面总是可以重新进行镜像，因为物理机器只是虚拟桌面的主机。”

同样的，如果公司的员工使用Office 365等基于云的平台，并将所有工作文档保存在自己的服务器或者云端，那么重新镜像也会相对快捷轻松。

在这两种情况下，降低了在过程中丢失有价值文件的风险，减少了实际如果没有感染而可能带来的损害。

他说：“同时，我们有一些知识型的员工，比如营销部门中的某个人，他要经常性地开发新的广告文案和PowerPoint演示文稿。对于很多公司，这些仍然通常存储在本地的个人机器上。不必要的擦除机器，损失一天的工作，这种想法是让一些公司不愿意采用这种方法的原因。”

隔离威胁

自动缓解的另一常见技术是隔离受感染的机器。

他说：“您不一定要擦除它，但也不会再传播感染了。”

他说，但是，这样做不仅仅是为了保护端点设备。

他说：“的确需要网络访问控制。如果对被感染的端点设备进行检测时能够连接到网络访问控制系统，那么该网络访问控制系统可以自动链接回网络安全产品，实际上能够让该设备无法连接到网络。”

但是，當部署具有这些功能的产品时，往往无法实施。

他说：“在某些情况下，这有一点对照检查的意思。没有人会问我是否实现了网络访问控制。他们应该将其添加到检查表中。”

在一个大型企业中，建立这类系统可能会有另外的障碍，因为负责网络的人员和负责端点设备的人员分属于两个不同的部门。

他说：“这需要合作，有时太难合作了。”

企业战略集团高级首席分析师Jon Oltsik说，此外，还有多少设备必须被隔离的问题。

他说：“如果我隔离一个系统，那没关系。但是如果我要隔离更多的系统，那就会变得非常复杂。”

他说，必要的响应涉及的范围越广，就会越复杂。“您必须有信心，相信自己做的事情是正确的。”

智能网络

目前有很多能够用于检测网络上可疑活动的工具。

Oltsik说：“您看到一个营销人员已经启动了网络扫描——这不应该发生，因此，您可以隔离该系统。或者您看到系统与已知的命令和控制服务器进行通信，那么，您可以在系统级或者网络级停止它们。这很普通，有很多公司都这样做。”

他说，但是攻击越复杂，就越难以通过自动化进行应对。

这并不意味着网络供应商不会去尝试。

ISACA的Clyde说，网络安全最近一直是自动化领域的热点。

他说：“如果您参加过最近一次RSA展，您会看到，一家又一家的网络安全公司大力宣传他们如何自动检测攻击，并在某些情况下自动采取措施。”

但是，对于这是否是一个好主意，还存在意见分歧。

他说：“有些人对在没有人参与的情况下采取措施表示担心，特别是如果一个系统不是100%确定的情形。可能会出错，采取了一些可能阻止合法活动的措施。但有的人会喜欢，‘攻击者跑得太快了，我们需要自动化。”

如果误报率过高，企业更愿意将警报发送给分析师，进行人工分析。

他说：“我们正在取得进展。但是，最新的趋势是检测，而不是采取措施，除非有99.9%的把握才会采取措施。”

他说，好在由于技术的进步，人类分析师能够处理和监控的东西比几年前多得多。

他说：“这是个好消息。坏消息是，我不确定我们能不能跟上攻击方的创新。”

Maria Korolov——特约撰稿人

过去20年一直涉足新兴技术和新兴市场。

原文网址：

http：//www.csoonline.com/article/3193036/security/automated-mitigation-on-endpoint-devices-and-networks-can-be-tricky.html