安全自動化走向成熟 很多企業卻尚未準備好采用

安全自動化産業仍處在發展初期，但已經出現了一些有前途的技術，可即使是大公司，也并未跟上這一趨勢。

大多數安全自動化行業的廠商，成立至今還隻度過了1到2年的歲月，但已經産出了一些可被企業利用的光明技術——隻要企業已經做了基礎準備工作便可使用。

安全自動化要解決的主要問題，是攻擊太多太快，而人力無法跟上。

然後還有網絡罪犯的問題，他們能從勒索軟體和其他攻擊中擷取巨大的利益，又反過來投入新攻擊方法的研究。還有民族國家帶來的威脅，還有慘烈的技術人才短缺問題。簡直就是場完美風暴。

去年秋天的一份調研中，91%的公司稱，人工過程所需時間和精力限制了他們的事件響應有效性，他們不得不積極增加人手。

62%的公司已經有了自動化事件響應過程，另35%正在開始自動化和編配項目，或者在未來12-18個月裡有這個計劃。

2年前，沒人知道這種技術。去年，我就常常看到了。現在，我們看到了各家公司對安全自動化的預算，還看到很多風投資本注入到該領域。

　　——enterprise strategy group 首席分析師喬恩·奧爾茲克

奧爾茲克估測，安全自動化及協同的市場規模在1億到2億美元之間，幾家小廠商的銷售範圍在1000萬到2千萬美元之間。

理論上，安全自動化可以讓公司企業能夠調查不斷湧來的威脅，并在無人幹預的情況下立即做出響應——至少，最常見的勞動密集型攻擊是可以自動化響應的。于是，安全分析師就能得到解放，有更多的時間可以專注在更複雜的攻擊上。

最近的一些迹象表明，這一切都是可能的。

我們已經有了更好的檢測準确率，誤報率降低了。而且我們更多地使用雲，可以在這些事情上投入更多的處理能力。

到目前為止，大多數的進展都在防止攻擊者進入企業上。反惡意軟體系統、下一代防火牆和其他威脅識别封鎖系統都是如此。

最近，帶評分系統的威脅情報也出現了這就讓企業可以針對高風險威脅增加自動化措施，再用以前的人工過程處理有疑問的案例。

一些大公司也在部署協調平台，驅動多系統關聯的自動化過程。

“但是這一類事件響應平台目前還僅限于菁英企業，财富500強公司才有實力采用。”

另外，公司企業還會編寫腳本，從頭建立自己的自動化過程，不過沒有幾個技術專家是做不到這一點的。

自動化什麼？誰來自動化？

sans研究院的事件響應調查結論是，大多數過程仍然十分依賴人工。

50%的受訪者稱自己有一定程度的自動化，而這自動化程度最高的過程，是遠端部署安全廠商的定制内容或病毒特征庫。

位列第二的自動化過程，是封鎖通往惡意ip位址的指令與控制流量，有49%的受訪者回報對該過程做了自動化。第三位的，是有47%的受訪者回報的流氓檔案清除過程。

最不可能被自動化的過程包括：修複過程中将受感染主機從網絡中隔離，以及關閉系統和讓主機下線。

但是，總體上，安全自動化落後其他技術過程的自動化大約10年。

投資公司 scale venture partners 合夥人阿裡爾·車特林說：“我們看到了it自動化的巨大效果，安全上也将看到。”

安全謎題的預防部分是最為自動化的，過去兩年，巨大的投資額度落在了檢測上。

如今，大量的工作圍繞在檢測與響應之間，公司企業需要厘清他們發現的名額是否是需要調查的真正的問題。

事件響應方面，今天還有很多工作是人工在做的。這些人工處理的部分，正是未來幾年大量價值湧現的地方。

然而，現在可用的所有産品，都還處在非常早期的階段，這一領域還沒有出現所謂的領頭羊。

自動化檢測過程是有意義的，但完全自動化修複過程卻非常危險。

網絡安全咨詢公司 clearsky cyber security 執行董事傑·裡克說：“至少在目前，我總是建議在檢測和響應之間設定人手。這個環節上，你不會想要出現誤報的。”

單步修複過程可以被自動化——隻要其啟動是由人操控的。

但我很不喜歡現在這種自動化整個從頭到尾過程的想法。太粗糙，根本就是為誤報準備的。最怕出現的就是産生某種業務中斷。

市場上已經有一些廠商承諾要自動化整個過程了，包括自動化終端裝置重鏡像，以及自動化使用者反網絡釣魚教育訓練。

astech consulting 首席安全政策師内森·溫茲勒說：“但是，現實就是，大面積自動化其實不會有什麼好效果。要麼誤報很多，要麼漏報很多。這麼做隻會讓使用者特别惱怒，尤其是在明明沒什麼問題系統卻被重鏡像了的時候。”

鞏固和發展

很快，安全自動化将會普及，也會更易于使用。主流廠商正在購買小型編配公司，将他們的功能整合到平台中，siem廠商一直在向自己的平台裡添加自動化和編配功能。

廠商還開始提供預制慣例和運維手冊，讓公司企業不用從頭開始建立自己的修複過程。

自動化技術發展的一個積極方面是，廠商之間或産品之間的藩籬将不複存在，不同技術不同産品可以互相協作。

其他it領域裡，這種事已經發生了。而在安全上，企業環境迥異，融合與關聯并不容易。

“企業有20、50或更多不同供應商很常見。”

是以，廠商被鼓勵良好協作，互操作性上的限制是不被客戶接受的。

為自動化做好準備

對想要部署安全自動化技術的公司而言，僅确立廠商産品是否成熟是不夠的。公司自身也必須準備好。

forrester research 分析師約瑟夫·布蘭肯施普說：“這絕對不是買來就用這麼簡單的事。還有些基礎性工作要做。如果你将壞資料放進自動化系統中，那你不過是能更快地得出糟糕決策而已。”

另外，很多公司實際上并不清楚自身都有些什麼過程，也可能根本沒有定義良好的手冊。

很多公司的分析師各自為戰。想要自動化，你就必須标準化。

本文轉自d1net（轉載）