有效安全自動化的關鍵因素

在調(diào)研機構進行的一次訪談中，Tenzir公司的首席未來學家Oliver Rochford討論了自動化如何與人類專業(yè)知識進行戰(zhàn)略整合，確保數(shù)據(jù)完整性，以及高級任務實現(xiàn)自動化時需要考慮的事項。

(資料圖片)

由于人類智能在網(wǎng)絡安全中仍然至關重要，那么如何將自動化與人類的判斷和專業(yè)知識策略性地結合起來，以更有效地識別威脅和分析模式?

Rochford：在理想情況下，我們希望將盡可能多的瑣碎和重復的工作實現(xiàn)自動化，從而讓網(wǎng)絡安全專家騰出時間專注于完成高價值的任務。在需要場景或?qū)I(yè)知識的行為分析中，或者在不容易對情況進行分類時，為了確定正確的行動方案，人類的認知是不可替代的。

實際上，這可能意味著自動化子任務，而不是將整個過程完全實現(xiàn)自動化，例如關聯(lián)或豐富事件數(shù)據(jù)，獲取額外的取證證據(jù)，或打開和注釋事件票據(jù)。關鍵是設計符合人體工程學的工作流程，其中自動化以這樣一種方式嵌入，以幫助安全分析師和其他專業(yè)安全人員專注于分析和決策，同時減少他們的認知工作量并避免場景切換。它是關于利用每個人的優(yōu)勢——能夠解析、處理、關聯(lián)和分析機器的大量數(shù)據(jù)，并通過人類理解這些數(shù)據(jù)。

但是，企業(yè)越來越需要采用一種更積極的自動化策略來抵御機器的攻擊，或者在殺傷鏈的后期階段檢測攻擊，例如數(shù)據(jù)泄露。在這種情況下，人工過程可能不夠迅速。威脅行為者也在積極采用自動化技術，而速度將變得越來越重要。

需要哪些關鍵元素來確保支持安全自動化的數(shù)據(jù)是可信的?

Rochford：例如，如果我們想要將威脅響應和遏制實現(xiàn)自動化，通常只能容忍非常少量的誤報。首先，我們必須確保收集正確的數(shù)據(jù)源，并且收集的數(shù)據(jù)是可靠和一致的。然后，我們還需要一種方法來確定何時通過檢測或相關規(guī)則啟動響應，或者更常見的是使用像機器學習模型這樣的東西。準確的檢測可能需要額外的數(shù)據(jù)源，例如機器可讀的威脅情報提要，或資產(chǎn)和用戶角色場景。

所有這些數(shù)據(jù)必須以正確的格式在需要時及時提供。我們還需要進一步的決策邏輯來編排自動響應過程，就像SOAR解決方案中的響應劇本一樣。這個多序列過程的每一步都需要高水平的數(shù)據(jù)質(zhì)量、完整性和可靠性。尤其是在自動化某些東西的時候，“壞數(shù)據(jù)輸入，壞數(shù)據(jù)輸出”這句格言有了更直接的含義。幾乎任何事情都可以實現(xiàn)自動化，甚至是看似簡單的過程，通常會導致復雜的劇本，其中有許多單點故障，尤其是數(shù)據(jù)故障。

模型的可解釋性也變得越來越重要，尤其是在自動化中建立信任的時候。能夠信任用于驅(qū)動自動化的數(shù)據(jù)至關重要。人們很難相信黑盒，尤其是當誤報仍然很常見的時候。

為什么安全主管對自動化基本任務感到滿意，但對更高級的任務持保留態(tài)度?這兩個類別的區(qū)別是什么?

Rochford：我認為很難一概而論，因為對自動化的興趣和對相關風險的容忍度取決于許多因素，包括過去的經(jīng)驗、競爭對手和同行的行為、業(yè)務壓力，以及技術成熟度和能力。更普遍的是，企業(yè)作為一個整體如何實現(xiàn)自動化是一個重要的因素。安全團隊很難在沒有企業(yè)高管支持的情況下領導文化變革。

一些因素通常會促使人們愿意實現(xiàn)安全自動化。其中一個因素是，沒有實現(xiàn)自動化的風險是否超過了自動化出錯的風險：如果企業(yè)在高風險環(huán)境中開展業(yè)務，那么沒有實現(xiàn)自動化時造成損害的潛在風險可能高于基于誤報觸發(fā)自動化響應的風險。金融欺詐就是一個很好的例子，銀行通常會自動阻止他們發(fā)現(xiàn)可疑的交易，因為人工過程太慢了。

另一個因素是當自動化出錯的潛在損害較低時。例如，當試圖從遠程系統(tǒng)獲取不存在的文件進行取證分析時，沒有潛在的損害。

真正重要的是自動化的可靠性。例如，當今的許多威脅行為者使用的是生存技術，例如使用常見的、良性的系統(tǒng)實用程序(例如PowerShell)。從檢測的角度來看，沙箱中沒有唯一可識別的特征，例如文件散列或惡意二進制文件。重要的是誰在使用這個工具。網(wǎng)絡攻擊者可能還竊取了管理員憑證，因此即使這樣也不足以準確檢測惡意行為。

同樣重要的是如何使用PowerShell。然而，這需要深入了解其他用戶通常做什么，他們通常處理哪些資產(chǎn)，等等。這就是人們通常會看到無監(jiān)督機器學習被應用于這類問題的原因，因為它有助于檢測異常，而不需要事先了解折衷指標。但這也意味著誤報很常見。這是一種權衡。

所以歸根結底就是決策邏輯的可靠性和可信度。遺憾的是，也沒有太多硬性規(guī)定。檢測到某些東西的難易程度并不總是與威脅所代表的風險大小有關。

然后還必須考慮到，我們面對的是真正的對手，他們經(jīng)常改變攻擊方式，對我們的防御也會試圖躲避。檢測和更普遍的自動化分析都是我們只解決了一部分的難題，即使是大型語言模型也不能完全提供幫助。

在考慮更復雜的安全流程的自動化時，您認為企業(yè)會感知到哪些潛在的風險或陷阱?

Rochford：從技術角度來看，經(jīng)過多年失敗的歷史實驗，例如反垃圾郵件過濾器和主動入侵防御系統(tǒng)，假陰性和假陽性的數(shù)量和比例被認為是至關重要的。如果企業(yè)最終將節(jié)省下來的時間用于錯誤檢測的根本原因分析以及調(diào)整和優(yōu)化自動化邏輯和規(guī)則，那么自動化的投資回報率將迅速下降。特別是更復雜的安全自動化現(xiàn)在依賴于機器學習或類似的數(shù)據(jù)分析技術，這可能會受到缺乏可解釋性的影響，這一事實將會進一步復雜化。

可以選擇性地只關注高度準確和可靠的自動化，但由于準確性與威脅類型無關，具有高度的可變性，這將使企業(yè)在覆蓋范圍內(nèi)保持一組非常復雜的自動化和差距。這就是為自動化優(yōu)先的方法選擇正確的技術也是至關重要的原因。希望實現(xiàn)高度自動化的安全團隊最好選擇那些具有自動化功能的技術，并使其能夠提高自動化程度。

許多網(wǎng)絡安全團隊似乎負擔過重，承擔著各種各樣的責任。您如何看待自動化在不損害安全性的情況下幫助緩解這個問題?

Rochford：自從黑客攻擊和確保網(wǎng)絡安全開始，我們就開始嘗試實現(xiàn)自動化，從第一個自動遠程登錄到TCP/IP端口的端口掃描儀，然后到代碼檢測。但由于缺乏數(shù)據(jù)和計算，我們一直受到阻礙。大多數(shù)自動化功能或者以隨意的方式應用或者集成在一起。以SOAR為例。將自動化應用于一切事物，就像將大腦和身體分開一樣有意義。雖然將一些過程實現(xiàn)自動化，但它并沒有在數(shù)據(jù)所在的位置或工作完成的位置實現(xiàn)自動化，而且它依賴于必須人工創(chuàng)建和維護的劇本。除了一些最常見的劇本，創(chuàng)建更多的劇本可能節(jié)省更多的時間。我們需要轉(zhuǎn)換一種自動化優(yōu)先的思維方式，我們需要在解決方案的每個級別都包含自動化功能，并且還需要在解決方案之間啟用自動化。

我們還需要學習如何最大限度地發(fā)揮人機合作的潛力，以及如何開發(fā)結合自動化和人類分析師優(yōu)勢的工作流程。這意味著將任務實現(xiàn)自動化，例如場景和智能豐富、將事件映射到威脅模型、預取取證數(shù)據(jù)或構建數(shù)據(jù)可視化，所有這些都是為了讓數(shù)據(jù)變成正確的形狀，以便人類理解它并決定下一步該做什么。

我們也有一些需要學習的事情，例如，我們?nèi)绾问褂萌藱C交互的過程，使自動化更有效和安全。

最后，如果您要建議希望利用安全自動化的企業(yè)，他們的主要考慮應該是什么?他們應該避免或特別注意什么?

Rochford：我認為最重要的是，要有策略。培養(yǎng)自動化思維需要時間和可驗證的成功。通過將日常和重復的任務實現(xiàn)自動化，從容易實現(xiàn)的目標開始，釋放網(wǎng)絡安全專家的時間，讓他們專注于高價值的活動。這也將為企業(yè)提供構建業(yè)務案例的指標，以證明進一步自動化的合理性，并幫助說服懷疑論者。

需要從人體工程學角度考慮如何將自動化集成到工作流中，以支持安全分析師，使他們能夠?qū)Ｗ⒂诜治龊蜎Q策，同時最大限度地減少認知工作量和場景切換。

在自動化遏制的情況下，重點關注需要快速響應的威脅，其中人工響應可能不夠快，例如機器速度的攻擊和在殺傷鏈的后期階段檢測到的威脅。

如果企業(yè)正在使用機器學習或類似的方法來實現(xiàn)自動化，需要尋求具有良好可解釋性的解決方案，以更好地理解決策過程并建立對結果的信任。自動化的采用依賴于信任。如果用戶遇到一些錯誤警報，他們可能會開始懷疑每一個結果。

一般來說，選擇嵌入自動化功能的自動化技術，并隨著企業(yè)變得更加自信和成熟而增加自動化能力。通過在定義良好的工作流中結合自動化和人工分析師的優(yōu)勢，利用人機交互的過程，嘗試最大限度地發(fā)揮人機團隊的潛力。

最后，人們要有學習的心態(tài)，不斷地衡量和改進自動化過程。

關鍵詞：