在调研机构进行的一次访谈中,Tenzir公司的首席未来学家Oliver Rochford讨论了自动化如何与人类专业知识进行战略整合,确保数据完整性,以及高级任务实现自动化时需要考虑的事项。
由于人类智能在网络安全中仍然至关重要,那么如何将自动化与人类的判断和专业知识策略性地结合起来,以更有效地识别威胁和分析模式?
Rochford:在理想情况下,我们希望将尽可能多的琐碎和重复的工作实现自动化,从而让网络安全专家腾出时间专注于完成高价值的任务。在需要场景或专业知识的行为分析中,或者在不容易对情况进行分类时,为了确定正确的行动方案,人类的认知是不可替代的。
实际上,这可能意味着自动化子任务,而不是将整个过程完全实现自动化,例如关联或丰富事件数据,获取额外的取证证据,或打开和注释事件票据。关键是设计符合人体工程学的工作流程,其中自动化以这样一种方式嵌入,以帮助安全分析师和其他专业安全人员专注于分析和决策,同时减少他们的认知工作量并避免场景切换。它是关于利用每个人的优势——能够解析、处理、关联和分析机器的大量数据,并通过人类理解这些数据。
但是,企业越来越需要采用一种更积极的自动化策略来抵御机器的攻击,或者在杀伤链的后期阶段检测攻击,例如数据泄露。在这种情况下,人工过程可能不够迅速。威胁行为者也在积极采用自动化技术,而速度将变得越来越重要。
需要哪些关键元素来确保支持安全自动化的数据是可信的?
Rochford:例如,如果我们想要将威胁响应和遏制实现自动化,通常只能容忍非常少量的误报。首先,我们必须确保收集正确的数据源,并且收集的数据是可靠和一致的。然后,我们还需要一种方法来确定何时通过检测或相关规则启动响应,或者更常见的是使用像机器学习模型这样的东西。准确的检测可能需要额外的数据源,例如机器可读的威胁情报提要,或资产和用户角色场景。
所有这些数据必须以正确的格式在需要时及时提供。我们还需要进一步的决策逻辑来编排自动响应过程,就像SOAR解决方案中的响应剧本一样。这个多序列过程的每一步都需要高水平的数据质量、完整性和可靠性。尤其是在自动化某些东西的时候,“坏数据输入,坏数据输出”这句格言有了更直接的含义。几乎任何事情都可以实现自动化,甚至是看似简单的过程,通常会导致复杂的剧本,其中有许多单点故障,尤其是数据故障。
模型的可解释性也变得越来越重要,尤其是在自动化中建立信任的时候。能够信任用于驱动自动化的数据至关重要。人们很难相信黑盒,尤其是当误报仍然很常见的时候。
为什么安全主管对自动化基本任务感到满意,但对更高级的任务持保留态度?这两个类别的区别是什么?
Rochford:我认为很难一概而论,因为对自动化的兴趣和对相关风险的容忍度取决于许多因素,包括过去的经验、竞争对手和同行的行为、业务压力,以及技术成熟度和能力。更普遍的是,企业作为一个整体如何实现自动化是一个重要的因素。安全团队很难在没有企业高管支持的情况下领导文化变革。
一些因素通常会促使人们愿意实现安全自动化。其中一个因素是,没有实现自动化的风险是否超过了自动化出错的风险:如果企业在高风险环境中开展业务,那么没有实现自动化时造成损害的潜在风险可能高于基于误报触发自动化响应的风险。金融欺诈就是一个很好的例子,银行通常会自动阻止他们发现可疑的交易,因为人工过程太慢了。
另一个因素是当自动化出错的潜在损害较低时。例如,当试图从远程系统获取不存在的文件进行取证分析时,没有潜在的损害。
真正重要的是自动化的可靠性。例如,当今的许多威胁行为者使用的是生存技术,例如使用常见的、良性的系统实用程序(例如PowerShell)。从检测的角度来看,沙箱中没有唯一可识别的特征,例如文件散列或恶意二进制文件。重要的是谁在使用这个工具。网络攻击者可能还窃取了管理员凭证,因此即使这样也不足以准确检测恶意行为。
同样重要的是如何使用PowerShell。然而,这需要深入了解其他用户通常做什么,他们通常处理哪些资产,等等。这就是人们通常会看到无监督机器学习被应用于这类问题的原因,因为它有助于检测异常,而不需要事先了解折衷指标。但这也意味着误报很常见。这是一种权衡。
所以归根结底就是决策逻辑的可靠性和可信度。遗憾的是,也没有太多硬性规定。检测到某些东西的难易程度并不总是与威胁所代表的风险大小有关。
然后还必须考虑到,我们面对的是真正的对手,他们经常改变攻击方式,对我们的防御也会试图躲避。检测和更普遍的自动化分析都是我们只解决了一部分的难题,即使是大型语言模型也不能完全提供帮助。
在考虑更复杂的安全流程的自动化时,您认为企业会感知到哪些潜在的风险或陷阱?
Rochford:从技术角度来看,经过多年失败的历史实验,例如反垃圾邮件过滤器和主动入侵防御系统,假阴性和假阳性的数量和比例被认为是至关重要的。如果企业最终将节省下来的时间用于错误检测的根本原因分析以及调整和优化自动化逻辑和规则,那么自动化的投资回报率将迅速下降。特别是更复杂的安全自动化现在依赖于机器学习或类似的数据分析技术,这可能会受到缺乏可解释性的影响,这一事实将会进一步复杂化。
可以选择性地只关注高度准确和可靠的自动化,但由于准确性与威胁类型无关,具有高度的可变性,这将使企业在覆盖范围内保持一组非常复杂的自动化和差距。这就是为自动化优先的方法选择正确的技术也是至关重要的原因。希望实现高度自动化的安全团队最好选择那些具有自动化功能的技术,并使其能够提高自动化程度。
许多网络安全团队似乎负担过重,承担着各种各样的责任。您如何看待自动化在不损害安全性的情况下帮助缓解这个问题?
Rochford:自从黑客攻击和确保网络安全开始,我们就开始尝试实现自动化,从第一个自动远程登录到TCP/IP端口的端口扫描仪,然后到代码检测。但由于缺乏数据和计算,我们一直受到阻碍。大多数自动化功能或者以随意的方式应用或者集成在一起。以SOAR为例。将自动化应用于一切事物,就像将大脑和身体分开一样有意义。虽然将一些过程实现自动化,但它并没有在数据所在的位置或工作完成的位置实现自动化,而且它依赖于必须人工创建和维护的剧本。除了一些最常见的剧本,创建更多的剧本可能节省更多的时间。我们需要转换一种自动化优先的思维方式,我们需要在解决方案的每个级别都包含自动化功能,并且还需要在解决方案之间启用自动化。
我们还需要学习如何最大限度地发挥人机合作的潜力,以及如何开发结合自动化和人类分析师优势的工作流程。这意味着将任务实现自动化,例如场景和智能丰富、将事件映射到威胁模型、预取取证数据或构建数据可视化,所有这些都是为了让数据变成正确的形状,以便人类理解它并决定下一步该做什么。
我们也有一些需要学习的事情,例如,我们如何使用人机交互的过程,使自动化更有效和安全。
最后,如果您要建议希望利用安全自动化的企业,他们的主要考虑应该是什么?他们应该避免或特别注意什么?
Rochford:我认为最重要的是,要有策略。培养自动化思维需要时间和可验证的成功。通过将日常和重复的任务实现自动化,从容易实现的目标开始,释放网络安全专家的时间,让他们专注于高价值的活动。这也将为企业提供构建业务案例的指标,以证明进一步自动化的合理性,并帮助说服怀疑论者。
需要从人体工程学角度考虑如何将自动化集成到工作流中,以支持安全分析师,使他们能够专注于分析和决策,同时最大限度地减少认知工作量和场景切换。
在自动化遏制的情况下,重点关注需要快速响应的威胁,其中人工响应可能不够快,例如机器速度的攻击和在杀伤链的后期阶段检测到的威胁。
如果企业正在使用机器学习或类似的方法来实现自动化,需要寻求具有良好可解释性的解决方案,以更好地理解决策过程并建立对结果的信任。自动化的采用依赖于信任。如果用户遇到一些错误警报,他们可能会开始怀疑每一个结果。
一般来说,选择嵌入自动化功能的自动化技术,并随着企业变得更加自信和成熟而增加自动化能力。通过在定义良好的工作流中结合自动化和人工分析师的优势,利用人机交互的过程,尝试最大限度地发挥人机团队的潜力。
最后,人们要有学习的心态,不断地衡量和改进自动化过程。
