由于人類智能在網(wǎng)絡(luò)安全中仍然至關(guān)重要,那么如何將自動(dòng)化與人類的判斷和專業(yè)知識(shí)策略性地結(jié)合起來(lái),以更有效地識(shí)別威脅和分析模式?
Rochford:在理想情況下,我們希望將盡可能多的瑣碎和重復(fù)的工作實(shí)現(xiàn)自動(dòng)化,從而讓網(wǎng)絡(luò)安全專家騰出時(shí)間專注于完成高價(jià)值的任務(wù)。在需要場(chǎng)景或?qū)I(yè)知識(shí)的行為分析中,或者在不容易對(duì)情況進(jìn)行分類時(shí),為了確定正確的行動(dòng)方案,人類的認(rèn)知是不可替代的。
實(shí)際上,這可能意味著自動(dòng)化子任務(wù),而不是將整個(gè)過(guò)程完全實(shí)現(xiàn)自動(dòng)化,例如關(guān)聯(lián)或豐富事件數(shù)據(jù),獲取額外的取證證據(jù),或打開(kāi)和注釋事件票據(jù)。關(guān)鍵是設(shè)計(jì)符合人體工程學(xué)的工作流程,其中自動(dòng)化以這樣一種方式嵌入,以幫助安全分析師和其他專業(yè)安全人員專注于分析和決策,同時(shí)減少他們的認(rèn)知工作量并避免場(chǎng)景切換。它是關(guān)于利用每個(gè)人的優(yōu)勢(shì)——能夠解析、處理、關(guān)聯(lián)和分析機(jī)器的大量數(shù)據(jù),并通過(guò)人類理解這些數(shù)據(jù)。
但是,企業(yè)越來(lái)越需要采用一種更積極的自動(dòng)化策略來(lái)抵御機(jī)器的攻擊,或者在殺傷鏈的后期階段檢測(cè)攻擊,例如數(shù)據(jù)泄露。在這種情況下,人工過(guò)程可能不夠迅速。威脅行為者也在積極采用自動(dòng)化技術(shù),而速度將變得越來(lái)越重要。
需要哪些關(guān)鍵元素來(lái)確保支持安全自動(dòng)化的數(shù)據(jù)是可信的?
Rochford:例如,如果我們想要將威脅響應(yīng)和遏制實(shí)現(xiàn)自動(dòng)化,通常只能容忍非常少量的誤報(bào)。首先,我們必須確保收集正確的數(shù)據(jù)源,并且收集的數(shù)據(jù)是可靠和一致的。然后,我們還需要一種方法來(lái)確定何時(shí)通過(guò)檢測(cè)或相關(guān)規(guī)則啟動(dòng)響應(yīng),或者更常見(jiàn)的是使用像機(jī)器學(xué)習(xí)模型這樣的東西。準(zhǔn)確的檢測(cè)可能需要額外的數(shù)據(jù)源,例如機(jī)器可讀的威脅情報(bào)提要,或資產(chǎn)和用戶角色場(chǎng)景。
所有這些數(shù)據(jù)必須以正確的格式在需要時(shí)及時(shí)提供。我們還需要進(jìn)一步的決策邏輯來(lái)編排自動(dòng)響應(yīng)過(guò)程,就像SOAR解決方案中的響應(yīng)劇本一樣。這個(gè)多序列過(guò)程的每一步都需要高水平的數(shù)據(jù)質(zhì)量、完整性和可靠性。尤其是在自動(dòng)化某些東西的時(shí)候,“壞數(shù)據(jù)輸入,壞數(shù)據(jù)輸出”這句格言有了更直接的含義。幾乎任何事情都可以實(shí)現(xiàn)自動(dòng)化,甚至是看似簡(jiǎn)單的過(guò)程,通常會(huì)導(dǎo)致復(fù)雜的劇本,其中有許多單點(diǎn)故障,尤其是數(shù)據(jù)故障。
模型的可解釋性也變得越來(lái)越重要,尤其是在自動(dòng)化中建立信任的時(shí)候。能夠信任用于驅(qū)動(dòng)自動(dòng)化的數(shù)據(jù)至關(guān)重要。人們很難相信黑盒,尤其是當(dāng)誤報(bào)仍然很常見(jiàn)的時(shí)候。
為什么安全主管對(duì)自動(dòng)化基本任務(wù)感到滿意,但對(duì)更高級(jí)的任務(wù)持保留態(tài)度?這兩個(gè)類別的區(qū)別是什么?
Rochford:我認(rèn)為很難一概而論,因?yàn)閷?duì)自動(dòng)化的興趣和對(duì)相關(guān)風(fēng)險(xiǎn)的容忍度取決于許多因素,包括過(guò)去的經(jīng)驗(yàn)、競(jìng)爭(zhēng)對(duì)手和同行的行為、業(yè)務(wù)壓力,以及技術(shù)成熟度和能力。更普遍的是,企業(yè)作為一個(gè)整體如何實(shí)現(xiàn)自動(dòng)化是一個(gè)重要的因素。安全團(tuán)隊(duì)很難在沒(méi)有企業(yè)高管支持的情況下領(lǐng)導(dǎo)文化變革。
一些因素通常會(huì)促使人們?cè)敢鈱?shí)現(xiàn)安全自動(dòng)化。其中一個(gè)因素是,沒(méi)有實(shí)現(xiàn)自動(dòng)化的風(fēng)險(xiǎn)是否超過(guò)了自動(dòng)化出錯(cuò)的風(fēng)險(xiǎn):如果企業(yè)在高風(fēng)險(xiǎn)環(huán)境中開(kāi)展業(yè)務(wù),那么沒(méi)有實(shí)現(xiàn)自動(dòng)化時(shí)造成損害的潛在風(fēng)險(xiǎn)可能高于基于誤報(bào)觸發(fā)自動(dòng)化響應(yīng)的風(fēng)險(xiǎn)。金融欺詐就是一個(gè)很好的例子,銀行通常會(huì)自動(dòng)阻止他們發(fā)現(xiàn)可疑的交易,因?yàn)槿斯み^(guò)程太慢了。
另一個(gè)因素是當(dāng)自動(dòng)化出錯(cuò)的潛在損害較低時(shí)。例如,當(dāng)試圖從遠(yuǎn)程系統(tǒng)獲取不存在的文件進(jìn)行取證分析時(shí),沒(méi)有潛在的損害。
真正重要的是自動(dòng)化的可靠性。例如,當(dāng)今的許多威脅行為者使用的是生存技術(shù),例如使用常見(jiàn)的、良性的系統(tǒng)實(shí)用程序(例如PowerShell)。從檢測(cè)的角度來(lái)看,沙箱中沒(méi)有唯一可識(shí)別的特征,例如文件散列或惡意二進(jìn)制文件。重要的是誰(shuí)在使用這個(gè)工具。網(wǎng)絡(luò)攻擊者可能還竊取了管理員憑證,因此即使這樣也不足以準(zhǔn)確檢測(cè)惡意行為。
同樣重要的是如何使用PowerShell。然而,這需要深入了解其他用戶通常做什么,他們通常處理哪些資產(chǎn),等等。這就是人們通常會(huì)看到無(wú)監(jiān)督機(jī)器學(xué)習(xí)被應(yīng)用于這類問(wèn)題的原因,因?yàn)樗兄跈z測(cè)異常,而不需要事先了解折衷指標(biāo)。但這也意味著誤報(bào)很常見(jiàn)。這是一種權(quán)衡。
所以歸根結(jié)底就是決策邏輯的可靠性和可信度。遺憾的是,也沒(méi)有太多硬性規(guī)定。檢測(cè)到某些東西的難易程度并不總是與威脅所代表的風(fēng)險(xiǎn)大小有關(guān)。
然后還必須考慮到,我們面對(duì)的是真正的對(duì)手,他們經(jīng)常改變攻擊方式,對(duì)我們的防御也會(huì)試圖躲避。檢測(cè)和更普遍的自動(dòng)化分析都是我們只解決了一部分的難題,即使是大型語(yǔ)言模型也不能完全提供幫助。
在考慮更復(fù)雜的安全流程的自動(dòng)化時(shí),您認(rèn)為企業(yè)會(huì)感知到哪些潛在的風(fēng)險(xiǎn)或陷阱?
Rochford:從技術(shù)角度來(lái)看,經(jīng)過(guò)多年失敗的歷史實(shí)驗(yàn),例如反垃圾郵件過(guò)濾器和主動(dòng)入侵防御系統(tǒng),假陰性和假陽(yáng)性的數(shù)量和比例被認(rèn)為是至關(guān)重要的。如果企業(yè)最終將節(jié)省下來(lái)的時(shí)間用于錯(cuò)誤檢測(cè)的根本原因分析以及調(diào)整和優(yōu)化自動(dòng)化邏輯和規(guī)則,那么自動(dòng)化的投資回報(bào)率將迅速下降。特別是更復(fù)雜的安全自動(dòng)化現(xiàn)在依賴于機(jī)器學(xué)習(xí)或類似的數(shù)據(jù)分析技術(shù),這可能會(huì)受到缺乏可解釋性的影響,這一事實(shí)將會(huì)進(jìn)一步復(fù)雜化。
可以選擇性地只關(guān)注高度準(zhǔn)確和可靠的自動(dòng)化,但由于準(zhǔn)確性與威脅類型無(wú)關(guān),具有高度的可變性,這將使企業(yè)在覆蓋范圍內(nèi)保持一組非常復(fù)雜的自動(dòng)化和差距。這就是為自動(dòng)化優(yōu)先的方法選擇正確的技術(shù)也是至關(guān)重要的原因。希望實(shí)現(xiàn)高度自動(dòng)化的安全團(tuán)隊(duì)最好選擇那些具有自動(dòng)化功能的技術(shù),并使其能夠提高自動(dòng)化程度。
許多網(wǎng)絡(luò)安全團(tuán)隊(duì)似乎負(fù)擔(dān)過(guò)重,承擔(dān)著各種各樣的責(zé)任。您如何看待自動(dòng)化在不損害安全性的情況下幫助緩解這個(gè)問(wèn)題?
Rochford:自從黑客攻擊和確保網(wǎng)絡(luò)安全開(kāi)始,我們就開(kāi)始嘗試實(shí)現(xiàn)自動(dòng)化,從第一個(gè)自動(dòng)遠(yuǎn)程登錄到TCP/IP端口的端口掃描儀,然后到代碼檢測(cè)。但由于缺乏數(shù)據(jù)和計(jì)算,我們一直受到阻礙。大多數(shù)自動(dòng)化功能或者以隨意的方式應(yīng)用或者集成在一起。以SOAR為例。將自動(dòng)化應(yīng)用于一切事物,就像將大腦和身體分開(kāi)一樣有意義。雖然將一些過(guò)程實(shí)現(xiàn)自動(dòng)化,但它并沒(méi)有在數(shù)據(jù)所在的位置或工作完成的位置實(shí)現(xiàn)自動(dòng)化,而且它依賴于必須人工創(chuàng)建和維護(hù)的劇本。除了一些最常見(jiàn)的劇本,創(chuàng)建更多的劇本可能節(jié)省更多的時(shí)間。我們需要轉(zhuǎn)換一種自動(dòng)化優(yōu)先的思維方式,我們需要在解決方案的每個(gè)級(jí)別都包含自動(dòng)化功能,并且還需要在解決方案之間啟用自動(dòng)化。
我們還需要學(xué)習(xí)如何最大限度地發(fā)揮人機(jī)合作的潛力,以及如何開(kāi)發(fā)結(jié)合自動(dòng)化和人類分析師優(yōu)勢(shì)的工作流程。這意味著將任務(wù)實(shí)現(xiàn)自動(dòng)化,例如場(chǎng)景和智能豐富、將事件映射到威脅模型、預(yù)取取證數(shù)據(jù)或構(gòu)建數(shù)據(jù)可視化,所有這些都是為了讓數(shù)據(jù)變成正確的形狀,以便人類理解它并決定下一步該做什么。
我們也有一些需要學(xué)習(xí)的事情,例如,我們?nèi)绾问褂萌藱C(jī)交互的過(guò)程,使自動(dòng)化更有效和安全。
最后,如果您要建議希望利用安全自動(dòng)化的企業(yè),他們的主要考慮應(yīng)該是什么?他們應(yīng)該避免或特別注意什么?
Rochford:我認(rèn)為最重要的是,要有策略。培養(yǎng)自動(dòng)化思維需要時(shí)間和可驗(yàn)證的成功。通過(guò)將日常和重復(fù)的任務(wù)實(shí)現(xiàn)自動(dòng)化,從容易實(shí)現(xiàn)的目標(biāo)開(kāi)始,釋放網(wǎng)絡(luò)安全專家的時(shí)間,讓他們專注于高價(jià)值的活動(dòng)。這也將為企業(yè)提供構(gòu)建業(yè)務(wù)案例的指標(biāo),以證明進(jìn)一步自動(dòng)化的合理性,并幫助說(shuō)服懷疑論者。
需要從人體工程學(xué)角度考慮如何將自動(dòng)化集成到工作流中,以支持安全分析師,使他們能夠?qū)W⒂诜治龊蜎Q策,同時(shí)最大限度地減少認(rèn)知工作量和場(chǎng)景切換。
在自動(dòng)化遏制的情況下,重點(diǎn)關(guān)注需要快速響應(yīng)的威脅,其中人工響應(yīng)可能不夠快,例如機(jī)器速度的攻擊和在殺傷鏈的后期階段檢測(cè)到的威脅。
如果企業(yè)正在使用機(jī)器學(xué)習(xí)或類似的方法來(lái)實(shí)現(xiàn)自動(dòng)化,需要尋求具有良好可解釋性的解決方案,以更好地理解決策過(guò)程并建立對(duì)結(jié)果的信任。自動(dòng)化的采用依賴于信任。如果用戶遇到一些錯(cuò)誤警報(bào),他們可能會(huì)開(kāi)始懷疑每一個(gè)結(jié)果。
一般來(lái)說(shuō),選擇嵌入自動(dòng)化功能的自動(dòng)化技術(shù),并隨著企業(yè)變得更加自信和成熟而增加自動(dòng)化能力。通過(guò)在定義良好的工作流中結(jié)合自動(dòng)化和人工分析師的優(yōu)勢(shì),利用人機(jī)交互的過(guò)程,嘗試最大限度地發(fā)揮人機(jī)團(tuán)隊(duì)的潛力。
最后,人們要有學(xué)習(xí)的心態(tài),不斷地衡量和改進(jìn)自動(dòng)化過(guò)程。
