Maria+Korolov

安全自动化行业还处于起步阶段，有一些很有前途的技术

安全自动化行业还处于起步阶段，大多数供应商才刚成立一两年，但如果他们已经有了必要的基础工作，那么，企业将能够使用一些很有前途的技术。

安全自动化要解决的主要问题是——有如此多的攻击尝试入侵，而且入侵非常快，人类难以应对。

网络犯罪分子从勒索软件和其他攻击中得到了大量的金钱，使他们能够投资于新类型的攻击，甚至对国家构成了威胁，在这方面急需人才。

这简直就是一场灾难。

企业战略集团高级首席分析师Jon Oltsik说：“即使是最大的公司也难以应对。”

据去年秋季研究公司的一项调查，91%的公司承认，人工操作所需的时间和投入限制了应急响应的有效性，有很多公司正在积极地增加员工人数。

62%的公司已经实施了应急响应的自动响应流程，另有35%的公司正在开始自动化和流程编排项目，或者计划在未来12至18个月内进行。

Oltsik说：“两年前，没有人知道这项技术。而去年，出现了很多。现在我们看到有这方面的预算，我们也看到了很多风投在这一领域进行了投资。”

他估计安全自动化和流程编排领域的市场规模在1亿到2亿美元之间，几家小型供应商的销售额在1000万到2000万美元之间。

理论上，安全自动化能够支持公司调查入侵威胁并立即做出响应，至少无需人为参与——最常见的是针对人员密集型攻击。然后，安全分析人员就可以从这些工作中解脱出来，专注于类型更复杂的攻击。

最近有迹象表明这是可能的。

Oltsik说：“我们的检测精度很高。误报率较低。而我们越来越多地使用云，这有助于实现更强的处理能力。”

到目前为止最大的进展是第一时间阻止攻击者侵入企业。反恶意软件系统、下一代防火墙以及其他发现威胁并阻止威胁的系统。

Oltsik说，最近，评分系统可以提供威胁情报。利用这些情报，公司针对那些可能非常危险的威胁添加更多的自动化处理功能，并且通过老的手动过程来处理可疑的情况。

一些较大的公司也在部署流程编排平台。这将实现涉及多个系统的自动化流程。

他说：“但这些类型的应急响应平台现在还只限于大企业，例如，财富500强的企业。”

此外，公司还编写脚本，从头开始创建自己的自动化流程，但这需要一些专业技术。

誰在对什么进行自动化

据最近的SANS研究所应急响应调查，大多数流程仍然以人工操作为主。

有50%的受访者说他们有一定程度的自动化，最自动化的流程是用于远程部署安全供应商的自定义内容或者签名。

其次，49%是阻止恶意IP地址发出的命令和控制，还有47%是删除流氓文件。

最难以实现自动化的流程包括在修复过程中把受感染的计算机与网络隔离开，并关闭系统，使其离线。

位于加州Foster市的投资公司Scale风险投资合作伙伴合伙人Ariel Tseitlin说，总体而言，安全自动化要比其他技术流程自动化落后10年左右。

他说：“但是我们已经看到自动化对IT产生了巨大的影响，今后对安全也是如此。”

他说，安全难题的预防部分是最容易自动化的。那么在过去的两年里，在检测方面的投资非常多。

现在，在检测和响应上开展了很多工作，公司应弄清楚他们发现的哪些问题是真正需要调查的问题。

他说：“那么在应急响应方面，现在大量的工作都是由人工完成的。在这方面，我认为未来几年会带来很大的价值。”

他说，然而，目前所有的产品仍处于早期阶段，在这个领域还没有公认的领导者。

网络安全咨询公司ClearSky网络安全的总经理Jay Leek指出，自动检测很好，但修复流程完全自动化是有风险的。

他说：“我总是建议，至少目前，在这两个不同的流程之间最好有人参与。您不会愿意在这里出现误报。”

他说，修复流程的各个步骤可以自动化，只要人们按下按钮开始工作就可以了。

他说：“但我不喜欢现在把整个端到端流程进行自动化的想法。还非常不成熟，很容易出现误报。您最后要做的是建立一些业务中断。”

AsTech Consulting首席安全策略师Nathan Wenzler说，市场上有的供应商希望整个流程自动化，包括自动重新镜像端点设备，让用户参加反网络钓鱼培训等。

他说：“但到了最后，现实情况是如果有人试图大规模地做到这一点，效果往往并不好。他们要么有太多的误报，要么有太多的漏报。用户会感到烦恼，特别是如果您的系统是重新镜像过的，没有任何错误的情况。”

联合和发展

很快，安全自动化的应用会越来越广泛，也更容易使用。大供应商们一直在收购小的流程编排公司，并将其功能集成到自己的平台上，而SIEM供应商已经在其平台上增加了自动化和流程编排功能。

供应商也开始提供预先构建的例程并运行规程，这样，公司不必从头开始去建立修复流程。

Forrester Research分析师Joseph Blankenship说，自动化技术发展积极的一面是，我们没有供应商或者技术孤岛，所谓孤岛是指一些公司的产品与其他公司的不能很好地兼容。

这之前在IT的其他领域出现过。然而，在安全方面，企业环境往往非常多样化。

他说：“企业有20、50甚至更多的供应商是很常见的。”

他说，因此，供应商有动力进行合作，客户很难接受在互操作性上受到限制。

准备好自动化

对于希望部署安全自动化技术的公司来说，只确定供应商的产品是否准备就绪还不够。

Blankenship说，公司也要做好准备。

他说：“绝对不是买它，然后把它放到应用场景中。肯定需要做基础工作。如果把错误的数据放入到自动化系统中，您很快就会做出更糟糕的决策。”

他说，此外，很多公司并不知道他们的流程是什么，也可能还没有明确的规程。

他说：“很多公司的分析师们就怎样进行调查而各干各的。为了使这些事情自动化，你必须首先标准化。”

Maria Korolov——特约撰稿人 ，过去20年一直涉足新兴技术和新兴市场。

原文网址：

http：//www.csoonline.com/article/3193035/security/security-automation-is-maturing-but-many-firms-not-ready-for-adoption.html