實現安全自動化

編者按：如今越來越多的網絡攻擊是通過自動化方式進行的，而相應的安全防護手段卻遲滯于攻擊，因此迫切需要在安全防護層面實現更好地自動化，以提高對威脅的防護與響應。

現代安全威脅以越來越多樣化的形式出現，實現安全防護的自動化也變得越來越迫切。但是，盡管在近期這些方面取得了一些進展，但實際上在安全行業內，采用自動化軟件依舊存在很多障礙。

網絡攻擊很長時間以來就實現了自動化，它使得攻擊者可以輕松創建、測試和自動執行惡意程序，并且只需稍作修改就可以重用代碼或添加增強功能。惡意軟件的開發，暴力攻擊使用各種憑據來獲得訪問權限，某些端口掃描攻擊嗅探和發現未受保護的網絡端口等等，這些網絡攻擊活動很多都是通過自動化方式實現的。

自動化攻擊強于自動化防御

自動化攻擊發展十分迅速。例如，惡意推文和聊天機器人的使用量不斷增長，它們可能會收集個人信息以用于網絡釣魚活動。它們還可以用于攻擊前的準備活動，在這種策略中，惡意軟件可以在執行攻擊之前預先被發送到網絡上，以確保其被標記為“安全”，直到在受害目標處突然爆發。

例 如，2018年IBM公 司的研究人員開發了一種名為DeepLocker的自動化惡意軟件，該軟件使用自動化和AI隱藏在可見的地方，并且僅在檢測到特定目標時才會爆發。當然，開發該代碼是為了證明可能的結果并收集實驗數據，這些數據將有助于將來抵御此類攻擊。

攻擊者往往比我們擁有領先優勢，我們是應該認真考慮為什么安全自動化卻達不到應有的效果？為什么企業沒有更多地利用這種技術來幫助應對安全挑戰？

為了成功防范攻擊，我們需要重新考慮攻擊的發生方式。惡意軟件的目的是潛入目標系統，竊取所需東西并離開。網絡攻擊是高度復雜的活動，通常在執行之前對目標環境進行偵查，通過使用自動化的技術隱藏自身，以提高攻擊效率。

MyDoom惡性蠕蟲病毒被認為是傳播速度最快的惡意病毒，該病毒就是使用自動化技術，據估計迄今為止已造成380億美元的損失，并且仍在傳播。令人驚訝的是MyDoom并不是新的。它于2004年就已出現，截至2019年仍有1%的電子郵件受到感染。

隨著攻擊者開發出自動隱匿性更好的攻擊方式，我們必須意識到預防并解決安全威脅還遠遠不夠。為了最大程度地減少攻擊的影響，自動響應至關重要，因為這可以減少從感染到解決的間隔時間。因此，從人工過渡到完全自動化是不切實際的。重要的是要考慮自動化帶來的優勢，人的因素仍然是至關重要的組成部分。

機器自動化與認知自動化

安全自動化分為兩個主要領域：

1.機器人自動化。安全團隊無需執行重復的例行任務，如警報監視，從而為他們節省了更多時間來專注于威脅響應和安全改進。

2.認知自動化。安全平臺學習網絡、主機和應用程序的數據，以針對威脅或改善安全狀況的方式提供響應。

我們當前實現自動化的大多數任務都屬于機器人自動化類別，例如常規活動、升級補丁、計劃掃描和訪問管理請求。這些確實給安全團隊節省了一些時間，但只是做到了保護和預防，而不是響應。

技術人員可以很好地處理非結構化數據集，因此，在調查威脅時，他們習慣于在漏洞與代碼的思維之間進行切換，研究在線論壇的信息，了解現有的相關補丁或閱讀文檔。人腦善于將看似無關的信息建立聯系。

相比之下，計算機擅長處理結構化數據，比如信息列表，包括端口號、協議或檢測到的漏洞詳細信息。在分析威脅或制定應對措施時，AI尚不能達到人工那樣的思維方式。

從防御到響應

我們可以利用機器學習來處理數據，并像人腦一樣以更加非結構化的方式處理數據。當檢測到威脅時，技術人員可以立即獲得更多有關威脅如何傳播，正在使用哪些協議以及感染了多少設備的上下文信息。這意味著響應所需的時間減少了，從而加快了處理速度。

傳統的網絡安全使用解決方案中的安全數據來建立安全模型。可以將此模型加以擴展——不僅可以利用安全性數據，而且還可以利用其他非安全性設備（如交換機或路由器）的數據，這意味著安全狀態得以進一步改善。

通過使用機器學習來了解威脅可能從何處發起攻擊，并通過自動化來創建基于解決方案和平臺數據的動態策略，通過對機器學習進行訓練，使其能夠對不同類型的行為和數據指標進行處理，可大大降低攻擊風險，并為安全團隊提供所需的關鍵信息。

對于大多數組織而言，自動化的全部功能仍未得到充分利用。現在是時候開始更加認真地研究如何使用它們來提高安全團隊的能力，同時改善企業的安全狀況。