自动化:安全行业的未来挑战
关键要点
自动化在安全行业被视为理想目标,但实际实施却面临诸多挑战。美国国土安全部的自动化计划推迟多年,反映了行业普遍存在的问题。采用SOAR平台、推行DevSecOps、管理基础设施即代码、聚焦身份管理等四大策略可推动自动化进程。组织应利用自动化工具减轻安全团队的重复性工作,提升安全效率。自动化一直以来都是安全行业的“圣杯”。尽管IBM曾尝试推动业界向“自治计算”和“网络访问控制”发展,但这两个方案都没有达到预期效果,也未被广泛采用。现在,随着ChatGPT成为人们关注的焦点,我们再次思考人工智能和自动化能带我们走多远。未来是否会有“设定后忘记”的安全模式?我们是否会担心“天网”或人工智能机器人真的会变为现实,形成一个由人工智能驱动、自动化的未来,企业能被一个时刻在监控的守护者保护?
1元机场可能不太可能,或至少在可预见的未来不会实现。尽管探讨“如果”是有趣的,但我们也容易陷入过于乐观的思考中。目前,各组织在有效实施自动化方面仍面临困难。美国国土安全部在2012年制定了一项计划,计划在2017年之前推出持续诊断与减缓CDM项目,但这一进程迅速延后至2022年。现在在2023年4月,国土安全部要求民用和联邦机构执行自动化的每周安全评估。为何一项实施自动化的计划会耗时十年以上来完成?
或许有人会嘲讽:“这就是政府的效率”,但从我在这一行业工作的经验来看,联邦机构并不是唯一面临挑战的单位。各类企业在建立自动化系统时同样面临巨大困难。
那么,应该从哪里开始呢?以下是四个可行的策略:
策略描述采用SOAR平台安全编排、自动化与响应SOAR结合了一系列安全工具和流程,帮助安全团队自动化安全操作、事件响应和漏洞管理。推行DevSecOps安全团队在软件开发生命周期中直接构建安全测试,以提升自动化程度,尤其是在连续开发和交付管道中使用自动化安全检查工具。管理基础设施即代码在整个生命周期内强制执行安全工作负载,组织能够大幅减少其攻击面。基础设施即代码的趋势使SOC能够通过预定义的、机器可读的定义文件自动管理物理和虚拟计算系统。聚焦身份管理确保所有用户、设备和系统仅访问其有权访问的资源和数据,身份管理中可通过自动化简化身份验证和授权过程。借助软件辅助支持人类努力
通过找出自动化可以接手的重复性任务,组织可以成功实现自动化,释放安全团队进行更具创造性的问题解决。这意味着SOC团队应部署更多自动化工具,以监控、检测和防止安全威胁。当安全警报与关于威胁情报和漏洞管理的数据相结合时,这些系统可以自动判断哪些警报是低风险的,或者在情况更为严峻时提升响应级别。
在开始实施自动化之前,组织应全面审查其整体安全环境,以便优先考虑最关键的领域,从而实施自动化策略,减轻员工在琐碎任务上的负担,同时提高安全效率。
我们都知道,未来网络攻击的数量和复杂性只会持续增长。同时,安全团队也将面临合格人才的短缺。通过自动化重复的安全流程,我们能缩短这一差距,让分析师和研究人员能更专注于迫在眉睫的威胁。
Rob Jenks,Tanium公司战略高级副总裁
