由于人類智能在網絡安全中仍然至關重要,那么如何將自動化與人類的判斷和專業知識策略性地結合起來,以更有效地識別威脅和分析模式?
Rochford:在理想情況下,我們希望將盡可能多的瑣碎和重復的工作實現自動化,從而讓網絡安全專家騰出時間專注于完成高價值的任務。在需要場景或專業知識的行為分析中,或者在不容易對情況進行分類時,為了確定正確的行動方案,人類的認知是不可替代的。
實際上,這可能意味著自動化子任務,而不是將整個過程完全實現自動化,例如關聯或豐富事件數據,獲取額外的取證證據,或打開和注釋事件票據。關鍵是設計符合人體工程學的工作流程,其中自動化以這樣一種方式嵌入,以幫助安全分析師和其他專業安全人員專注于分析和決策,同時減少他們的認知工作量并避免場景切換。它是關于利用每個人的優勢——能夠解析、處理、關聯和分析機器的大量數據,并通過人類理解這些數據。
但是,企業越來越需要采用一種更積極的自動化策略來抵御機器的攻擊,或者在殺傷鏈的后期階段檢測攻擊,例如數據泄露。在這種情況下,人工過程可能不夠迅速。威脅行為者也在積極采用自動化技術,而速度將變得越來越重要。
需要哪些關鍵元素來確保支持安全自動化的數據是可信的?
Rochford:例如,如果我們想要將威脅響應和遏制實現自動化,通常只能容忍非常少量的誤報。首先,我們必須確保收集正確的數據源,并且收集的數據是可靠和一致的。然后,我們還需要一種方法來確定何時通過檢測或相關規則啟動響應,或者更常見的是使用像機器學習模型這樣的東西。準確的檢測可能需要額外的數據源,例如機器可讀的威脅情報提要,或資產和用戶角色場景。
所有這些數據必須以正確的格式在需要時及時提供。我們還需要進一步的決策邏輯來編排自動響應過程,就像SOAR解決方案中的響應劇本一樣。這個多序列過程的每一步都需要高水平的數據質量、完整性和可靠性。尤其是在自動化某些東西的時候,“壞數據輸入,壞數據輸出”這句格言有了更直接的含義。幾乎任何事情都可以實現自動化,甚至是看似簡單的過程,通常會導致復雜的劇本,其中有許多單點故障,尤其是數據故障。
模型的可解釋性也變得越來越重要,尤其是在自動化中建立信任的時候。能夠信任用于驅動自動化的數據至關重要。人們很難相信黑盒,尤其是當誤報仍然很常見的時候。
為什么安全主管對自動化基本任務感到滿意,但對更高級的任務持保留態度?這兩個類別的區別是什么?
Rochford:我認為很難一概而論,因為對自動化的興趣和對相關風險的容忍度取決于許多因素,包括過去的經驗、競爭對手和同行的行為、業務壓力,以及技術成熟度和能力。更普遍的是,企業作為一個整體如何實現自動化是一個重要的因素。安全團隊很難在沒有企業高管支持的情況下領導文化變革。
一些因素通常會促使人們愿意實現安全自動化。其中一個因素是,沒有實現自動化的風險是否超過了自動化出錯的風險:如果企業在高風險環境中開展業務,那么沒有實現自動化時造成損害的潛在風險可能高于基于誤報觸發自動化響應的風險。金融欺詐就是一個很好的例子,銀行通常會自動阻止他們發現可疑的交易,因為人工過程太慢了。
另一個因素是當自動化出錯的潛在損害較低時。例如,當試圖從遠程系統獲取不存在的文件進行取證分析時,沒有潛在的損害。
真正重要的是自動化的可靠性。例如,當今的許多威脅行為者使用的是生存技術,例如使用常見的、良性的系統實用程序(例如PowerShell)。從檢測的角度來看,沙箱中沒有唯一可識別的特征,例如文件散列或惡意二進制文件。重要的是誰在使用這個工具。網絡攻擊者可能還竊取了管理員憑證,因此即使這樣也不足以準確檢測惡意行為。
同樣重要的是如何使用PowerShell。然而,這需要深入了解其他用戶通常做什么,他們通常處理哪些資產,等等。這就是人們通常會看到無監督機器學習被應用于這類問題的原因,因為它有助于檢測異常,而不需要事先了解折衷指標。但這也意味著誤報很常見。這是一種權衡。
所以歸根結底就是決策邏輯的可靠性和可信度。遺憾的是,也沒有太多硬性規定。檢測到某些東西的難易程度并不總是與威脅所代表的風險大小有關。
然后還必須考慮到,我們面對的是真正的對手,他們經常改變攻擊方式,對我們的防御也會試圖躲避。檢測和更普遍的自動化分析都是我們只解決了一部分的難題,即使是大型語言模型也不能完全提供幫助。
在考慮更復雜的安全流程的自動化時,您認為企業會感知到哪些潛在的風險或陷阱?
Rochford:從技術角度來看,經過多年失敗的歷史實驗,例如反垃圾郵件過濾器和主動入侵防御系統,假陰性和假陽性的數量和比例被認為是至關重要的。如果企業最終將節省下來的時間用于錯誤檢測的根本原因分析以及調整和優化自動化邏輯和規則,那么自動化的投資回報率將迅速下降。特別是更復雜的安全自動化現在依賴于機器學習或類似的數據分析技術,這可能會受到缺乏可解釋性的影響,這一事實將會進一步復雜化。
可以選擇性地只關注高度準確和可靠的自動化,但由于準確性與威脅類型無關,具有高度的可變性,這將使企業在覆蓋范圍內保持一組非常復雜的自動化和差距。這就是為自動化優先的方法選擇正確的技術也是至關重要的原因。希望實現高度自動化的安全團隊最好選擇那些具有自動化功能的技術,并使其能夠提高自動化程度。
許多網絡安全團隊似乎負擔過重,承擔著各種各樣的責任。您如何看待自動化在不損害安全性的情況下幫助緩解這個問題?
Rochford:自從黑客攻擊和確保網絡安全開始,我們就開始嘗試實現自動化,從第一個自動遠程登錄到TCP/IP端口的端口掃描儀,然后到代碼檢測。但由于缺乏數據和計算,我們一直受到阻礙。大多數自動化功能或者以隨意的方式應用或者集成在一起。以SOAR為例。將自動化應用于一切事物,就像將大腦和身體分開一樣有意義。雖然將一些過程實現自動化,但它并沒有在數據所在的位置或工作完成的位置實現自動化,而且它依賴于必須人工創建和維護的劇本。除了一些最常見的劇本,創建更多的劇本可能節省更多的時間。我們需要轉換一種自動化優先的思維方式,我們需要在解決方案的每個級別都包含自動化功能,并且還需要在解決方案之間啟用自動化。
我們還需要學習如何最大限度地發揮人機合作的潛力,以及如何開發結合自動化和人類分析師優勢的工作流程。這意味著將任務實現自動化,例如場景和智能豐富、將事件映射到威脅模型、預取取證數據或構建數據可視化,所有這些都是為了讓數據變成正確的形狀,以便人類理解它并決定下一步該做什么。
我們也有一些需要學習的事情,例如,我們如何使用人機交互的過程,使自動化更有效和安全。
最后,如果您要建議希望利用安全自動化的企業,他們的主要考慮應該是什么?他們應該避免或特別注意什么?
Rochford:我認為最重要的是,要有策略。培養自動化思維需要時間和可驗證的成功。通過將日常和重復的任務實現自動化,從容易實現的目標開始,釋放網絡安全專家的時間,讓他們專注于高價值的活動。這也將為企業提供構建業務案例的指標,以證明進一步自動化的合理性,并幫助說服懷疑論者。
需要從人體工程學角度考慮如何將自動化集成到工作流中,以支持安全分析師,使他們能夠專注于分析和決策,同時最大限度地減少認知工作量和場景切換。
在自動化遏制的情況下,重點關注需要快速響應的威脅,其中人工響應可能不夠快,例如機器速度的攻擊和在殺傷鏈的后期階段檢測到的威脅。
如果企業正在使用機器學習或類似的方法來實現自動化,需要尋求具有良好可解釋性的解決方案,以更好地理解決策過程并建立對結果的信任。自動化的采用依賴于信任。如果用戶遇到一些錯誤警報,他們可能會開始懷疑每一個結果。
一般來說,選擇嵌入自動化功能的自動化技術,并隨著企業變得更加自信和成熟而增加自動化能力。通過在定義良好的工作流中結合自動化和人工分析師的優勢,利用人機交互的過程,嘗試最大限度地發揮人機團隊的潛力。
最后,人們要有學習的心態,不斷地衡量和改進自動化過程。
