自動化網絡安全防禦的問題

識别和響應威脅的速度和準确性是自動化網絡安全防禦的誘人承諾。根據Ponemon Institute 的研究，資料洩露的平均成本為 386 萬美元，檢測和控制的平均時間為 280 天。任何可以減少這些數字的系統都是受歡迎的，是以人工智能 (Artificial Intelligence簡稱AI) 和其他自動防禦正在迅速和廣泛地被采用也就不足為奇了。

雖然人工智能驅動的工具和機器學習有着巨大的前景，但它們在很大程度上是 一把雙刃劍。網絡犯罪分子和其他威脅行為者可以使用相同的技術或操縱企業使用的自動化系統。由于這些技術并不成熟或未被普通 IT 部門充分了解，是以重疊系統之間也存在配置錯誤和破壞性沖突的空間。

不切實際的期望炒作伴随着每一個新的網絡安全趨勢。一波自動化防禦技術被譽為解決技能短缺和攻擊水準不斷提高的方法。安全編排自動化和響應 (Security Orchestration, Automation and Response簡稱SOAR)、擴充檢測和響應 (External Data Representation簡稱XDR) 以及使用者和實體行為分析 (User and Entity Behavior Analytics簡稱UEBA)處于領先地位。麻煩的是，他們的能力有時會超賣，他們引入的問題可能會超過收益。

大多數組織的範圍和複雜性使得采用具有挑戰性。要獲得自動化系統的回報，需要适當的規劃和相容的基礎設施。還有一種危險的誘惑，尤其是在進行了大量投資之後，推動這些新技術來處理它們原本無法處理的事情。

雖然從長遠來看它們可以削減成本，但自動化系統的适當內建和管理會在短期内增加成本。不切實際的期望和自滿會導緻災難。

缺乏了解自動化網絡安全是一個競争領域。根據360 研究報告，SOAR 市場正在快速增長，預計到 2026 年将達到 13 億美元，高于今年的 7.21 億美元。上司者自然有決心保護他們的知識産權。許多機器學習系統也依賴于黑盒模型，是以對這些産品的内部運作的洞察力極少（如果有的話）。

如果供應商不明白為什麼要做出決定，他們的客戶怎麼能了解呢？

将這種程度的信任置于未經證明的自治系統中是非常冒險的。更糟糕的是，整個員工隊伍的技能下降會産生連鎖反應。随着自動化系統接手，期望它們将填補技能差距，招聘人數将會減少，對教育訓練的激勵也會減少。

中毒資料集信任自動化系統的最大危險之一是它可以被威脅行為者操縱。受到攻擊的組織無法知道系統是否被篡改。使用受污染的資料集毒害自動化系統非常容易。随着時間的推移，這可能會危險地扭曲機器學習算法，或者在短期内導緻無辜的流量被标記為異常。攻擊者不一定要欺騙系統；他們可以讓它超載，導緻服務或網絡關閉，這可能會使每個人都被鎖定。

即使沒有惡意行為者在工作，一些自動防禦也可能與網絡上的其他工具和系統發生沖突。以感染引起人體發熱為例。免疫系統正在提高熱量以試圖殺死侵入您身體的細菌，但在極端情況下，發燒會使您喪失能力甚至殺死您。

盡管存在風險，但自動化網絡安全防禦也代表着真正的機會。但必須小心處理。應充分計劃采用，設定合理的期望水準，并確定您具有正确配置和解釋自動化系統的内部技能。

評估這些系統的自主程度并限制它們在沒有人為監督的情況下關閉服務的能力至關重要。慢慢建立信任。仔細檢查自動防禦所依賴的來源，并找到一種方法來持續監控資料集以防止威脅。

通過起草事件響應計劃來滿足不同的自動化系統故障場景來降低風險。排練這些響應計劃并根據需要對其進行調整以確定它們有效。實施嚴格的測試和變更管理以減少對任何自動化系統的過度依賴也是明智之舉。

毫無疑問，自動化網絡安全防禦将發揮越來越重要的作用，但我們必須抵制過快行動的誘惑。選擇一個經過深思熟慮的政策，而不是盲目信任，降低您從這項新興的技術中獲得最大的收益的期望。（本文出自SCA安全通信聯盟，轉載請注明出處。）