問題出在哪里?我們離安全自動化到底還有多遠?解答這個問題我們不妨借鑒一下汽車行業的自動駕駛分級。
作為傳統行業的代表,汽車行業似乎在創新領域沒有什么資格“鞭策”科技行業,但是融合多個領域變革的自動駕駛汽車卻是個例外。
汽車行業和科技行業聯手為自動駕駛汽車制定了一個標準化框架,而網絡安全行業在制定自動化路線圖時也完全可以參考該框架。
血染的自動駕駛分級
今天,汽車比以往任何時候都更省油、更豪華、更安全。但有一件事情變得更糟了:駕駛員。根據美國國家公路交通安全管理局(NHTSA)的數據分析,94%的嚴重汽車事故是人為錯誤造成的。
為了提高道路安全性和駕駛員體驗,汽車制造商正在引入創新技術,例如雨水感應刮水器、自動大燈和盲點檢測系統,幫助駕駛員將更多的注意力集中在道路上。但這并不總是有效(甚至是有害的)。
例如,自動巡航系統(我們可以將其看作是某種程度的自動化)旨在減輕腳踩油門的疲勞。但一個常見的問題是,它降低了司機的環境感知度,用踩油門會迫使您多加注意。而更先進一些的自適應巡航控制(ACC),有了更多“自治”功能,如今已經成為一種標準,因為它解決了自動巡航控制1.0面臨一些挑戰(容易偏離車道、追尾等)。
這是從“自動化”演變為“自治”的一個很好的例子。實際上,汽車工程師協會(SAE)制定了描述汽車自動化水平的標準,該標準已被美國運輸部和聯合國采用。根據該自動駕駛分級標準,傳統的自動巡航控制系統為0級,ACC為1級。特斯拉的“自動駕駛”儀或凱迪拉克超級巡航系統被視為2級。
如果將該標準套用在網絡安全自動化成熟度上,則可映射如下:
0級:沒有自動化。零自治;安全分析師執行所有分類、狩獵和調查。
1級:分析師協助。大多數安全工作是手動的,但是工具集中可能包含一些分析師輔助功能。
2級:部分自動化。安全程序可自動執行諸如響應操作和策略執行之類的功能,但由于誤報的普遍存在,分析人員必須保持參與。
3級:有條件自動化。分析師是必不可少的,可以隨時進行控制,但是高保真檢測、自主搜尋、分類、調查和響應可以提高安全性和效率。
4級:高度自動化。在特定條件下,所有安全工具都可以自主運行。分析人員專注于定義和控制技術,然后由技術強制執行這些策略。
5級:全自動化。所有安全工具在任何情況下均可自主運行。該技術會自動定義并實施策略,分析人員可以覆蓋這些自治策略。
網絡安全的“無人駕駛”剛剛上路
正如號稱達到4級高度自動駕駛的特斯拉FSD8.2測試版在奧克蘭街頭“處處鳥驚心”的糟糕表現給自動化狂熱主義投機分子兜頭澆了一盆涼水,網絡安全的“無人駕駛”,也還有很長的路要走。
在網絡安全中,當今被視為標準的一種基本自動化是SIEM和網絡安全工具之間的關聯。例如,將與IP地址關聯的所有警報匯總到一個屏幕上,或者通過對共享源或目標的警報進行分組來標識攻擊活動。一些工具更智能,并使用其他上下文源,例如活動目錄(AD)或威脅情報,或過濾掉“非惡意內容”。但是,就像汽車最初的自動巡航控制一樣,在網絡安全的世界中,自動化會有很多意想不到的后果,這主要表現為大量的誤報或漏報。例如,隨著設備的移動性越來越強,在公司網絡的內部和外部“漫游”,在每個位置使用新的IP地址,同一設備在短時間內可能會有多個地址,這會大大增加誤報幾率。
對照SAE自動駕駛的0級——汽車自動巡航控制,可以肯定地說,IP相關在安全自動化的級別上是相同的。從更廣泛的角度來看網絡安全自動化,大多數行業可能僅處于1級水平。
SOAR(安全編排、自動化和響應)可以歸入2級(部分自動化)。此類技術可自動執行多項低影響的響應和補救任務,例如為IT服務臺創建支持工單,在多個安全工具之間自動關聯或將證據收集到事件數據存儲中。
達到第4級和第5級需要整個網絡安全行業大幅提高其競爭能力。目前,重點應該放在第3級:條件自動化上。
回到與汽車自動駕駛的類比,特斯拉的自動駕駛儀不僅會分析車輛環境數據速度、行駛車道、制動、加速等,還會分析其他車輛共享的道路數據,為駕駛員提供決策依據。
安全行業也需要類似的自動化能力,才能將網絡安全提升到3級自動化。根據我們從汽車中學到的知識,要達到此目標,需要滿足幾個基本要求:首先我們需要減少對人類的認知負擔,以便安全團隊可以專注于重要的事情,消除諸如單調任務之類的壓力,并以記錄決策路徑的方式專注于用戶體驗,從而使人類可以在需要的時間和地點進行更深入的挖掘。
其次,人工分析人員將繼續在安全操作流程中扮演重要角色,并且可能會在未來幾年內繼續發揮作用。通過破除最佳安全決策所需的知識和信息的藩籬和屏障,網絡安全人員的技能將被提到更高水平,這同時也將推動企業堅定地走上自治安全的道路。
