网络安全的“自动驾驶分级”
作者:星期一, 三月 29, 20210

近年来,业界关于安全运营自动化以及自主安全的预期众说纷纭,莫衷一是。多年来,领先的网络安全厂商和分析机构安全向分析师和运营团队保证,单调乏味的安全运营工作被交给机器的好日子正在到来,但不幸的是,今天这些岗位的安全人士依然疲于奔命,过劳率居高不下。

问题出在哪里?我们离安全自动化到底还有多远?解答这个问题我们不妨借鉴一下汽车行业的自动驾驶分级。

作为传统行业的代表,汽车行业似乎在创新领域没有什么资格“鞭策”科技行业,但是融合多个领域变革的自动驾驶汽车却是个例外。

汽车行业和科技行业联手为自动驾驶汽车制定了一个标准化框架,而网络安全行业在制定自动化路线图时也完全可以参考该框架。

血染的自动驾驶分级

今天,汽车比以往任何时候都更省油、更豪华、更安全。但有一件事情变得更糟了:驾驶员。根据美国国家公路交通安全管理局(NHTSA)的数据分析,94%的严重汽车事故是人为错误造成的。

为了提高道路安全性和驾驶员体验,汽车制造商正在引入创新技术,例如雨水感应刮水器、自动大灯和盲点检测系统,帮助驾驶员将更多的注意力集中在道路上。但这并不总是有效(甚至是有害的)。

例如,自动巡航系统(我们可以将其看作是某种程度的自动化)旨在减轻脚踩油门的疲劳。但一个常见的问题是,它降低了司机的环境感知度,用踩油门会迫使您多加注意。而更先进一些的自适应巡航控制(ACC),有了更多“自治”功能,如今已经成为一种标准,因为它解决了自动巡航控制1.0面临一些挑战(容易偏离车道、追尾等)。

这是从“自动化”演变为“自治”的一个很好的例子。实际上,汽车工程师协会(SAE)制定了描述汽车自动化水平的标准,该标准已被美国运输部和联合国采用。根据该自动驾驶分级标准,传统的自动巡航控制系统为0级,ACC为1级。特斯拉的“自动驾驶”仪或凯迪拉克超级巡航系统被视为2级。

如果将该标准套用在网络安全自动化成熟度上,则可映射如下:

  • 0级:没有自动化。零自治;安全分析师执行所有分类、狩猎和调查。
  • 1级:分析师协助。大多数安全工作是手动的,但是工具集中可能包含一些分析师辅助功能。
  • 2级:部分自动化。安全程序可自动执行诸如响应操作和策略执行之类的功能,但由于误报的普遍存在,分析人员必须保持参与。
  • 3级:有条件自动化。分析师是必不可少的,可以随时进行控制,但是高保真检测、自主搜寻、分类、调查和响应可以提高安全性和效率。
  • 4级:高度自动化。在特定条件下,所有安全工具都可以自主运行。分析人员专注于定义和控制技术,然后由技术强制执行这些策略。
  • 5级:全自动化。所有安全工具在任何情况下均可自主运行。该技术会自动定义并实施策略,分析人员可以覆盖这些自治策略。

网络安全的“无人驾驶”刚刚上路

正如号称达到4级高度自动驾驶的特斯拉FSD8.2测试版在奥克兰街头“处处鸟惊心”的糟糕表现给自动化狂热主义投机分子兜头浇了一盆凉水,网络安全的“无人驾驶”,也还有很长的路要走。

在网络安全中,当今被视为标准的一种基本自动化是SIEM和网络安全工具之间的关联。例如,将与IP地址关联的所有警报汇总到一个屏幕上,或者通过对共享源或目标的警报进行分组来标识攻击活动。一些工具更智能,并使用其他上下文源,例如活动目录(AD)或威胁情报,或过滤掉“非恶意内容”。但是,就像汽车最初的自动巡航控制一样,在网络安全的世界中,自动化会有很多意想不到的后果,这主要表现为大量的误报或漏报。例如,随着设备的移动性越来越强,在公司网络的内部和外部“漫游”,在每个位置使用新的IP地址,同一设备在短时间内可能会有多个地址,这会大大增加误报几率。

对照SAE自动驾驶的0级——汽车自动巡航控制,可以肯定地说,IP相关在安全自动化的级别上是相同的。从更广泛的角度来看网络安全自动化,大多数行业可能仅处于1级水平。

SOAR(安全编排、自动化和响应)可以归入2级(部分自动化)。此类技术可自动执行多项低影响的响应和补救任务,例如为IT服务台创建支持工单,在多个安全工具之间自动关联或将证据收集到事件数据存储中。

达到第4级和第5级需要整个网络安全行业大幅提高其竞争能力。目前,重点应该放在第3级:条件自动化上。

回到与汽车自动驾驶的类比,特斯拉的自动驾驶仪不仅会分析车辆环境数据速度、行驶车道、制动、加速等,还会分析其他车辆共享的道路数据,为驾驶员提供决策依据。

安全行业也需要类似的自动化能力,才能将网络安全提升到3级自动化。根据我们从汽车中学到的知识,要达到此目标,需要满足几个基本要求:首先我们需要减少对人类的认知负担,以便安全团队可以专注于重要的事情,消除诸如单调任务之类的压力,并以记录决策路径的方式专注于用户体验,从而使人类可以在需要的时间和地点进行更深入的挖掘。

其次,人工分析人员将继续在安全操作流程中扮演重要角色,并且可能会在未来几年内继续发挥作用。通过破除最佳安全决策所需的知识和信息的藩篱和屏障,网络安全人员的技能将被提到更高水平,这同时也将推动企业坚定地走上自治安全的道路。


相关文章