Red Hat公司的技术倡导者Gordon Haff说,“如果安全对企业来说是首要任务,那么,实现安全自动化最好也是一个首要任务。”
这不是一个悲观的故事,这更像是IT和安全领导者之间的一场战争。好消息是,越来越多的人开始考虑安全自动化。
Red Hat公司在其发布的《2023年全球科技展望》调查报告中指出,安全是IT融资的首要任务。Haff指出,安全也成为了数字化转型的首要任务。
此项调查还调查了IT运营自动化的优先事项,Haff指出,这一类别通常由配置管理等事项主导。
2023年优先考虑安全自动化的5个原因
2023年,安全自动化已经成为自动化的首要任务。以下分析一下企业为什么应该考虑安全自动化。
(1)人工应对的威胁实在太多了
企业不一定要设定一个期限,但可以说,拥有丰富资源的大型企业已经不能够仅凭人力和创造力就能处理IT安全问题,威胁和风险的数量和种类实在是太庞大、太动态了。
Haff说:“没有其他方法可以在没有实现自动化的情况下大规模处理网络威胁,获得可重复性,并使安全流程持续。”
即使是IT安全的传统措施(例如端点保护或入侵检测),如今也需要提高自动化水平才能发挥作用,部分原因是潜在漏洞的速度和严重程度继续超过人类的能力。
Beachhead Solutions公司的软件工程师Dan Makim说:“现在有太多的安全漏洞机会和端点,企业没有理由来缓慢实施必要的自动化。”
他补充说,安全自动化需要尽早地在流程中实施。他说,“在这种情况下,正确的策略对于阻止人工干预太晚而无法发挥作用的事件尤其重要。”
正确的安全自动化通常并不意味着取代人类的智能和能力——与其相反,它的目的是赋予人们必要的权力来加强企业的安全态势并减轻网络威胁。
安全自动化并不一定是新奇事物。特别是如果企业刚开始采用安全自动化技术,那么即使实现一些简单的自动化也可能会产生相当大的影响。
Makim说:“例如,如果在企业员工的笔记本电脑上有一系列无效的登录尝试,自动和预定的干预措施可以警告IT人员,或者以对话框的形式提供指导,或者如果其他尝试都失败,则自动禁用他们从该设备的访问。”
在另一个例子中,Makim描述了一种可以在预设的地理围栏外移动的设备。自动化操作可以立即禁用对数据的访问或通知用户恢复到合规性操作或者与企业的策略匹配的其他自动化步骤。
如果企业已经使用了像Ansible这样的IT自动化平台,它可以与广泛的安全工具和流程一起工作,使各种安全操作实现自动化。
这并不是说人类不能监控网络流量或阻止可疑活动,而是自动化技术可以更快地完成这些工作,而速度在安全活动中至关重要。
将自动化操作与需要人工操作的安全或IT团队成员进行比较——响应时间(即时与非即时)的差异是至关重要的,Makim说,“比以往任何时候都更重要的是,那些负责安全的人不可能无处不在,自动化安全任务可以快速应对原本可怕的威胁场景。”
(2)已经在其他地方实现了自动化
软件供应链的安全仍然是2023年的主要焦点。因此,软件管道充满了安全自动化的机会,特别是因为很多团队已经将这些管道实现了部分自动化。
Permiso公司的联合创始人兼联合首席执行官Paul Nguyen表示:“在过去的几年,工程团队已经在持续集成(CI)/持续交付(CD)管道中实现了几乎所有API的自动化开发和部署过程,不幸的是,安全性通常是事后才考虑的事项。因此,网络攻击者利用被盗的API密钥和受损的服务令牌作为渗透网络或服务并横向移动的方法。”
显然,纠正的方向并不是放弃DevOps和持续集成(CI)/持续交付(CD)管道,而是更好地保护它们,自动化是关键,DevSecOps也是如此。
Nguyen说“现在是安全团队采用自动化技术并加强安全防御的时候了,以便拥有能够应对网络攻击者的现代战术。”
安全策略通常关注人员的因素,因为人类不可避免地会犯错误,这可能导致各种各样的风险。网络钓鱼电子邮件攻击一直存在,因为它们仍然有效。
但在软件管道日益自动化的背景下以及企业的业务日益自动化的情况下,机器对机器的通信同样重要。
Corsha公司的联合创始人兼首席执行官Anusha Iyer表示:“如果我们退一步思考,网络内部、跨云平台、跨互联网的大多数通信实际上都是系统对系统和机器对机器的通信,这些系统可以是云计算工作负载、容器、虚拟机、微服务、传感器、传统的内部部署服务器、工业物联网设备等等。”
如果没有实现安全自动化,确保这种动态和自动化环境的安全几乎是不可能的,并将机器与机器(或系统与系统)交互视为与人机交互一样重要的载体。
Iyer说:“机器身份需要被提升为‘一等公民’,以超越传统的安全边界,并以自动化的方式大规模地在所有这些混合环境中安全传输数据和控制。”
(3)网络攻击者也使用自动化
俗话说,“以其人之道还治其人之身”。在当今的IT安全环境中,这意味着以自动化对抗自动化。
Inigo公司的首席执行官兼联合创始人Shahar Binyamin指出:“网络攻击者也越来越多地使用更自动化、更强大的工具。人工执行的安全防御根本无法跟上这些威胁日益增长的数量和复杂性。”
例如,在Inigo公司的安全领域——GraphQL API安全,网络攻击者已经自动搜索薄弱的GraphQL端点进行攻击。
Binyamin说:“他们将从最常见的位置开始,并同时探测许多端点,如果不能与自动化相匹配,那么就是在自找麻烦。从检测和缓解网络攻击,到强化攻击面,再到访问控制,企业现在需要尽可能地实现自动化。”
事实上,这一原则广泛适用于不同的系统和威胁面,而不仅仅是API安全。应对自动网络攻击方法需要自动防御措施。
Sisense公司的首席执行官Amir Orad说:“安全人工智能、分析和自动化对于跟上黑客和罪犯在制造和执行的自动化攻击步伐来说至关重要。”
Orad指出,自动化和人工智能正在帮助网络攻击者以更快的速度和更复杂的方式进行攻击,例如钓鱼邮件。他预计网络攻击者已经开始使用ChatGPT来创建更有效的钓鱼信息。
因此,如果想“以其人之道还治其人之身”,安全自动化正在成为赌注——如果它还没有实现的话。自动攻击方法与信息过载(大量的摘要、警报、通知、新闻和原始数据)相结合,在安全团队试图人工处理所有这些问题时,可能会不堪重负。
Orad说:“当看到警报并进行人工调查时,双方的自动化系统已经开始了斗争,这是事情的发展方向,而且在某种程度上已经出现了。”
(4)自动化有助于合规性
随着网络攻击者越来越多地使用自动化技术,Binyamin认为,许多企业的合规性需求日益复杂,这是2023年实现安全自动化的主要驱动力之一。
Binyamin说:“在合规性方面,各行业领域越来越严格和具体的监管规定意味着犯错的空间越来越小。”
虽然合规性是一个单独的领域,但它肯定是相关的。这是因为,除了其他原因之外,如果遇到安全漏洞,可能很快就会进行审计,特别是如果涉及敏感的客户数据。当然,这取决于用户的辖区、行业和其他因素。
安全自动化可以帮助企业证明他们采取了适当的步骤来保护他们的系统和数据。
Binyamin说:“如果发生了数据泄漏的企业被审计,就需要证明有必要的安全流程。因此需要尽可能多地将这些过程实现自动化,使报告更易于管理,并且更加安全。”
(5)自动化不仅有助于安全防御,还有助于进攻
上述大部分内容都围绕着在发生网络安全事件时加强安全防御和快速反应或及时缓解。同时,安全自动化也可以帮助打击网络犯罪。
Nguyen表示,这一点特别重要,因为在过去,企业的安全团队有时会通过加倍实施攻击性策略(例如威胁搜索)来弥补安全自动化的不足,即主动寻找可能给企业带来重大风险的问题。
这通常是一个很好的做法,但Nguyen表示,许多团队缺乏适当的工具、时间或经验,无法在当今的动态IT环境中有效地实现这一点,除非他们实现自动化。
Nguyen说:“大多数团队都在试图人工管理现有工具套件中的警报或通知,但通常事倍功半。企业需要开始采用自动化技术来识别和背景化威胁,以确保网络的安全不是基于人类的响应时间或技能集,并协调应对措施,以增强安全团队的大规模检测能力。”
