跟上安全自动化的步伐

来源 :计算机世界 | 被引量 : 0次 | 上传用户:Linhan
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  处于压力和紧张中的IT安全部门希望通过自动化来减压。
  网络工程师Jose Arellano承认,“我每天最棘手的工作”是保证伊利诺斯州West Aurora 129学区1.27万名学生、1900名员工和1万多台连网设备的安全。只有他们两个人的安全部门的主要工作是让网络尽可能安全、高效地运行,为教师和学生提供服务。在学校有限的资源和预算下,Arellano说:“我们的注意力只能集中在学校内部。”
  然而,去年秋天的DDoS攻击使该学区的网络瘫痪了六个星期,他们很难找出问题所在。现在,他不得不把注意力从单纯的预防方法转到检测和响应上。他说:“这是一项极其困难的工作。”
  越来越多的安全专家遇到了与Arellano同样的挫折。据研究公司CyberEdge集团的一项研究,全球安全从业人员把“难以抵御的网络威胁环境”视为2015年和2016年IT安全专业人员面临的最大难题,而最新的报告则解释了造成目前各种难题的原因。
  据威胁情报公司Risk Based Security的一份报告,仅在2017年的前三个月就发现有4837个漏洞,比2016年同期增长了29.2%,目前有报道的漏洞数量还在急速攀升。
  WannaCry勒索软件事件标志着犯罪分子们在全球发起了新一轮恶意软件、勒索软件、网络钓鱼的持续轰炸攻击,而且是不加选择的攻击各种目标。很多企业,不管规模大小,每天都会从其监控系统收到数以万计的安全警报。例如,据研究公司Ovum,大约37%的银行每天都会收到20多万次可能是攻击的安全警报。
  猛烈的攻击只会让安全部门越来越头疼。企业不仅要对数据进行筛选,优先处理数以千计的警报,而且还要采取行动让那些已经人手已经严重不足的网络专业人员动手进行调查。Oxford Economics公司代表ServiceNow最近进行的一项调查显示,81%的受访者表示,他们担心检测到的安全漏洞得不到解决。Cybersecurity Ventures的一份新报告估计,到2021年,将空缺350万个网络安全工作岗位,高于去年的100万个。
  Forrester Research高级分析师、安全和风险专家Joseph Blankenship说,大量新出现的自动检测和事件响应技术虽然有所帮助,但很多企业仍不愿意进行安全自动化。Blankenship说:“在过去,自动化给我们带来了问题。合法的数据流被阻断,造成了中断。在采取自动化措施的过程中,如果没有人去查看并进行验证,会出现很多问题。”
  现在,有的人可能又有些乐观了。Blankenship说:“直到最近我们才开放了API,我们不仅能把数据从简单的日志数据中提取出来,而且还能推送回去。平台之间有更多的共享,我们已经创建了这一自动的流程编排层,这要归功于API能够让我们更自由的交换数据。”
  Jon Oltsik是ESG的高级首席分析师,也是该公司的网络安全服务创始人,他说:“流程编排和自动化有可能是不错的解决方案,但您真的只能浅尝辄止。这不会解决您所有的问题。有时候这也意味着要改变您的过程。”
  企业有大量可供选择的自动事件响应解决方案,当然不会有万能的解决方案。三家企业分享了他们自己遇到的网络安全挑战和应对策略。
  管理海量的安全数据
  对于完全托管服务提供商CareWorks,其分布在美国88个地区和6个国际地区的安全工具收集了太多的安全数据以至于很难处理,该公司首席信息官兼首席技术官Bart Murphy说:“即使我们的IT部门人员配置的很好,也很难处理这些数据。我们必须能够以少胜多”。
  Murphy开始寻找方法来收集其漏洞扫描器、安全分析软件和端点解决方案中的所有数据,然后至少把一些工作流程进行自动化。
  CareWorks已经采用了ServiceNow的平台即服务来实现企业IT运营的自动化。因此,在2017年3月,该公司增加了供应商的安全运营模块。虽然仍然在早期应用阶段,但该公司已经集成了Symantec、Nessus、LogRythm和Tanium等工具,目的是识别出能够自动化的流程。Murphy说:“我们最终会利用流程编排工具来让流程自己去真正的应对威胁,并返回报告。”
  目前,SecOps模块可以跟踪与潜在或者实际的安全事件相关的所有活动,而无需人工去查阅各种各样的日志。现在还不能确切地知道节省了多少时间和人力。现在,Murphy的目标是“确保我们能够尽可能地保护和预防我们所知道的”,但他说,在安全自动化方面建立信心需要时间。
  他说:“随着时间的推移,要通过一定程度的验证才能适应这种自动化。在今后6到12个月的时间里,我并没有不切实际地想把所有一切都实现自动化。我宁愿有10个经过深思熟虑和经过测试的自动化流程,而不是100个随意的流程。确保各部门了解目标,不要为了自动化而自动化。”
  以少胜多
  当谈到网络安全时,Finning国际公司首席信息安全官Suzie Smibert认为一切都在于简化。总部位于温哥华的这家公司是全球最大的Caterpillar产品和支持服务供应商,Smibert也是该公司的企业架构全球总监,对于网络响应技术,Smibert指出,“现在有太多的供应商。”
  Finning每天收到成千上万的安全警报,服务器和网络覆盖了三个地区,全球有1.3万多名员工,每名员工都有一台以上联网的设备,所有这些因素都使得警报越来越复杂。Smibert说:“添加更多的安全工具并不能提高安全性。反而会使得情况更糟,因为如果采用100种不同的安全小工具来管理复杂的环境,会带来虚假的安全感。”更重要的是,“如果您的10臺设备只完成一项网络安全功能,那么您要付出10倍的培训和费用。”
  Smibert选择少量的多功能安全工具来检测并响应网络攻击,这包括能够自动防御攻击的网络、云和端点相结合的安全平台,云实现的端点防护解决方案,以及分析驱动的SEIM。(她拒绝透露这些工具的名称,她说,因为担心会接到来自竞争对手的大量电话。)   她的部门现在每天能查清楚数以千计的警报,只处理那些需要调查的——每天大约20到40个。Smibert说,她好在有人手足够的经验丰富的安全专业人员来完成人工处理工作,所以她没有急于进行更多的流程编排和自动化。
  她说:“对于企业非常关键的系统数据和功能,我不太愿意以自动的方式去保护它们”,特别是老应用程序,“但并不意味着这不会发生。其中一些系统并不是为自动化设计的。如果自动产生了一个误报,或者自动产生了连锁反应,那么其负面影响要比小规模的、可控的安全事件的影响大得多。”
  两个人的部门就像200人的部門
  K-12学校不像私人企业那样有网络安全工作人员和相关的预算。West Aurora 129学区转向采用事件响应软件,以帮助填补这方面的空白。
  由两个人组成的IT部门负责管理该地区18所学校的基础设施。在2016年8月开学之初,该学区的无线网络崩溃了,没有人——甚至连学区的ISP都找不到问题所在。Arellano回忆说:“我们的设备都是思科的,但我们缺乏很多功能,而这些功能是可以通过固件更新(通过思科Smartnet服务)来获得的,我们的网络可见性很差。”
  他说,ISP提醒我们,学区可能会成为大规模攻击的试验品,“这让我们感到害怕”。这个问题持续了6个多星期,直到Arellano安装了事件响应软件,分析数据流,对数据进行取证,以找出中断的根源。
  使用Plixer的网络流量分析系统Scrutinizer,Arellano立刻看到泛滥的DDoS警报。通过抓取数据包,他发现很多DNS响应来自美国消费者产品安全委员会(CPSC)。他回忆说:“我们由此确定了是哪一类攻击。”利用DNS反射攻击,黑客欺骗学校的地址,并要求CPSC向学校发送大量的记录。下一步就是去阻止它。
  通过现在可见的时间戳和IP地址,Arellano缩小了事件范围,只提取与事件有关的数据。所有证据指向了一个学校二楼的网络教室。“我们注意到一名学生在删除旧记录。我们拿到学生的ID之后,我们挖掘出记录,发现他使用的是网络压力网站,每月上网付10美元,就可以发动攻击。自那以后,又阻止了两起类似的袭击事件。”
  技术总监Don Ringelestein说:“21世纪版本的‘拉响火警’发动了DDoS攻击。过去我们处于被动的环境中,但现在我们要主动多了。”他说:“在很多情况下,我都能发现问题,采用事件响应工具,在这些问题变得具有破坏性之前阻止它。”
  外界帮助
  很多企业面对网络安全威胁感到人手不足或者束手无策,他们正在寻求服务提供商的帮助,为他们提供自动化和流程编排服务。到2020年,Gartner预测,15%的中型企业和大企业将使用托管检测和响应等服务,而2016年这一比例不到1%。
  IDC安全战略副总裁Pete Lindstrom表示:“我非常信任服务提供商们,因为对很多企业来说,每年都有一两次这样的事件发生。只有通过服务提供商我们才能了解风险到底在哪里。”他说,Trustwave、FireEye和其他20多家供应商都是如此。
  过渡期间
  Oltsik建议,打算将事件响应自动化的安全领导们在解决好自己的运营难题之前,先不要购买单点工具。“和自己的人谈谈,找出最大的痛点在哪里。解决哪些问题需要两个小时的时间?让员工们合作的难点在哪里,为什么很难得到调查取证所需的数据?从这些地方开始采用流程编排和自动化工具。这些事情不能是强制性的。必须让员工们参与进来,每个人都朝着同一个方向努力。”
  Oltsik说,当准备好自动化后,结果才能唾手可得。“如果威胁情报告诉您某一IP地址或者网络域有问题,而且有80%的把握,那就不应该再分配这些地址或者网络域。”
  Oltsik说,下一步,花时间去进行流程编排。假设您有了安全流程,或者花时间去梳理了与流程相关的所有任务,那么您就知道怎样应用技术更好的做出响应。Oltsik说:“这可能需要一段时间。”
  他说,对任何新的自动化或者编排流程进行大量的检查,这一点也很重要。“是不是错过了不应错过的?下次能做得更好吗?是不是应该有这样的流程,或者应该有额外的步骤,还是遗漏了某些步骤?”
  Smibert认为,事件响应自动化广泛应用的过程与云应用的过程相类似。“5到10年前,每个人都害怕云技术,但业界已经证明,当您采用一种战略性的、深思熟虑的方法来使用云技术时,就会创造奇迹。我认为安全自动化也是如此。一旦业界达成一致,而且我们已经有了成功的早期采用者,那么我们会有更多的应用,而更多的应用将带来更多的创新。我们将看到安全自动化就像今天的云一样流行。”
其他文献
张之洞任两江总督时,慈禧太后召他到军机处议事。张之洞走到军机处台阶前无论如何也不肯迈步了。军机大臣们莫名其妙,只好出来,在外面与他商量事情。后来才有人醒悟,雍正帝曾下过一道旨意:“军机要地,有上台阶者处斩。”张之洞不是军机大臣,因此不敢进去。其实,时过多年,早没人拿这条命令当回事了。但是,为了避免让人抓住把柄,张之洞在这些地方小心翼翼。因为,官僚们互相攻击往往是找这些违法的小毛病,至于贪污受贿,则
[关键词]读《通鉴》,邴原,《三国志》  [中图分类号]G63 [文献标识码]B [文章编号]0457-6241(2008)11-0052-03    邴原是谁?邴原是与管宁齐名的人物。管宁总听说过吧!钱宾四先生就常说:三国人物,管宁第一。有点意外吧!常人目中,三国人物排名第一的,应该是诸葛亮,或者是曹操、刘备诸辈,怎会是名气不大的管宁呢?其实,对管宁的推崇,钱宾四之前即已有之。明末大儒王夫之在《
[摘要]娱乐消费是精神消费的重要组成部分,社会文明程度和经济发展水平的重要象征。天津开埠后,居民娱乐消费模式发生巨变,并对近代天津社会经济变迁产生了深远影响。英敛之日记内娱乐消费方面的记录,能在一定程度上反映20世纪初天津中上层社会娱乐消费模式发生的具体变化。本文以英敛之日记为中心对近代天津娱乐消费模式发生的变动、变动的原因及传统娱乐产业的近代转型,以及西式娱乐产业的兴起与发展等产生的影响进行探究
摘 要 《本国史》教科书案首先是一件发生在1929年间的学术史事件。“不承认三皇五帝为事实”是导致这起教科书案发生的直接导火索,而以胡适、顾颉刚为代表的“留学英美派”与“留学法日派”之间的纷争则是其中的真正主因。更值得注意的是,这起教科书案还牵涉到国民党当局与学界的争锋、政治内部的争斗以及商业竞争等复杂的因素,这就注定了这起教科书案绝不仅仅只是一件普通的、限于学界内部纷争的学术事件,更是一个关乎民
[关键词]课标,人教版,中世纪    教育部2003年颁布的《普通高中历史课程标准(实验)》(以下简称“课标”),是新世纪我国基础教育历史课程改革的指导性文件。课标在“基本理念”中提出“普通高中历史课程在体系的构建上,既注意与初中课程的衔接,又避免简单的重复,遵循高中历史教学的规律”。因此,课程设计成必修课和选修课两大类,采用专题的形式,将必修课分为政治、经济、文化三个模块,设计了25个古今贯通、
【摘要】唐初吏部在制度上承继隋代,在武德朝有所改动,曾废置吏部侍郎,在贞观朝又恢复设置。在两朝定额一员,与吏部尚书一致,其职责实质为“贰尚书”,在此基础上则发挥了很大的职能作用,主要表现在制度建设,调整铨选与参与制定法律等方面。在行政管理中,吏部侍郎作为吏部通判官,具有签署文书的法定权力。这一时期史籍可考的吏部侍郎大多业绩不俗,仕途特征不同寻常,有的之后还曾任职吏部尚书,有的是父子曾任职吏部尚书和
摘 要 2021年1月,中华人民共和国第一份历史学刊物《历史教学》将迎来创刊70周年的纪念日。从回顾《历史教学》的创始历程、办刊宗旨、归属转移、停刊与复刊、大胆改版的历史沿革中,可以看出中国历史学刊物在70年中坚持唯物史观指导、守正创新、培育新人、紧跟热点、回答时代命题的共同特征。《历史教学》既注重史学教学、又关注学术研究的办刊取向及其企业化后的艰难曲折和所取得的无限荣光,正可看作是新中国史学发展
摘 要 明朝洪武初年,朱元璋设置秘书监,促进了明初宫廷藏书事业的发展。自洪武中期废黜秘书监后,只设置两员典籍掌管宫廷的藏书,由此造成明代宫廷藏书管理力量的极大削弱,带来了征书活动减少、书目编排混乱、藏书楼屡次被火、图籍失窃及损毁严重等后果,致使明代宫廷藏书事业的发展遭受重大挫折。  关键词 明代,秘书监,宫廷藏书  中图分类号 K24 文献标识码 A 文章编号 0457-6241(2018)12-
摘 要 梅兰芳“梅氏缀玉轩藏曲”与程砚秋“程氏玉霜簃藏曲”中,多部为清人高岱瞻所钞校。但囿于文献所限,长期以来,学术界对高岱瞻其人尚无深入了解。今据新发现的江苏泰州《续修高氏迁泰支谱》和清嘉庆二十一年(1816年)高岱瞻作《三峰园记》及相关泰州地方志等,能初步考订其家世生平,并可辨析出高岱瞻藏曲本为其父高凤翥藏,后传递至高岱瞻和其子高垂庆。其家族文人群体,有文集诗集等传世者,达十多人。作为清代淮扬
云计算改变了企业的工作方式,而且还会继续颠覆传统的业务模式。IDC预计到2023年,公有云支出将增加一倍以上,从今年的2290亿美元增长到近5000亿美元。  迁移到云计算能够带来可观的成本和效率收益,这已经是众所周知的了。你可以在几分钟内启动云实例,并根据需求扩展或者缩减资源。同时,你只需要为自己所使用的资源付费,避免了高昂的前期硬件成本和维护费用。机遇倍增,风险也倍增  切记:企业数据是存储在