端点设备和网络的自动缓解可能会很棘手

-精选财经经济类资料- -最新财经经济资料-感谢阅读- 1 端点设备和网络的自动缓解可能会 很棘手 对网络和端点设备的应急响应和 缓解过程实现自动化是一个棘手的难题 中国论文网 /8/view-12944589.htm 许多公司都有自动化系统用于预 防、检测和调查安全事件，但对网络和 端点设备的应急响应和缓解过程实现自 动化一直是一个棘手的难题。 这包括端点设备自动重新镜像， 将设备与公司网络隔离，或者关闭某一 网络进程以便快速高效地对攻击做出响 应等措施。 Forrester Research 分析师 Joseph Blankenship 说：“ 我认为在这方面有很 大的潜力。我们的确还处在探索时期， -精选财经经济类资料- -最新财经经济资料-感谢阅读- 2 但这一定会发生，一定会成为大规模主 流应用。 ” 他说，企业首先需要在安全自动 化工具方面获得更多的经验，看看这会 有什么影响。 他说，但是应急响应完全自动化 仍然需要三到五年的时间才能成为现实。 他说：“ 现在有一些早期的尝试。 比如说，如果每次看到相同的威胁指示 时，分析师都会从自动化工具或者机器 学习算法中获得行动建议，并做出相同 的选择，点击是 ，继续下一步。那 么，如果我们这样做 500 次或者 1000 次，我们就会觉得这是一个能够完全自 动化的过程，分析师可以完全从循环中 摆脱出来。 ” 在这一点上，分析师可以专注于 那些更困难、更复杂的情形。 但是，加利福尼亚州 Foster 市的 投资公司 Scale Venture Partners 合伙人 Ariel Tseitlin 指出，如果公司自己已经 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 3 有了应急响应规程，也可以不通过机器 学习系统实现自动化。 他说：“ 采用其中一个规程，使 用安全自动化工具，测试该规程在多大 程度上能够实现自动化。这是一个非常 实用而且现实的方式来确定一个工具是 否适用于个人环境，以及您可以从中获 得多少好处。 ” 他说，即使部分自动化也是非常 有效的。 他说：“ 假设您的一台端点设备 上有恶意软件，对此您的规程中 50 个 步骤。假如您能够实现 80%的自动化， 您会发现安全部门节省了大量的时间， 很快就能看到这样做的价值所在。 ” Tseitlin 说，他在决定是否投资 某一安全创业公司时，与客户进行了讨 论，他发现这方面已经实现了真正的价 值。 确定某一应急响应技术是否有效 的一个关键因素是企业本身是否准备好 进行自动化。 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 4 他说：“ 不同的公司处于不同的 安全成熟阶段。如果您没有想过这个过 程，那么可以认为自动化是不成熟的。 您首先要做的是筹划好风险、威胁和控 制，然后考虑如何实施每一项控制。但 是，当您经历了这一过程后，就会明白 自动化是加速和提高企业效率的好方法。 ” 清理端点设备 在端点设备上最早使用的自动化 功能之一是在恶意软件进行任何破坏之 前对其进行隔离或者删除。 现在几乎每台 PC 都安装了某种 形式的反病毒软件，很多公司也使用基 于行为的恶意软件探测技术来发现新的 威胁。 人工响应太慢，因为恶意软件能 够很快破坏设备，在人工做出响应之前 甚至就已经蔓延到了同一网络的其他计 算机上。 ISACA 董事会成员和安全顾问 Rob Clyde 说：“这不是一个新概念。 ” -精选财经经济类资料- -最新财经经济资料-感谢阅读- 5 但是，如果用户点击恶意链接或 者附件，并安装能够逃避所有防御的恶 意软件，将其安装在机器上，开始破坏， 那该怎么办呢？ 典型的响应措施是存储设备镜像 的副本以便以后进行取证分析，擦除机 器，从干净的镜像恢复，并从最新的备 份还原用户的文件。虽然这一切曾发生 过，用户仍然需要参加一些反网络钓鱼 培训，下一次会更加小心。 Clyde 说，有些公司实现这一过 程的自动化要比其他公司容易一些。 他说：“ 有些已经彻底实现了虚 拟桌面。实质上，他们的桌面总是可以 重新进行镜像，因为物理机器只是虚拟 桌面的主机。 ” 同样的，如果公司的员工使用 Office 365 等基于云的平台，并将所有 工作文档保存在自己的服务器或者云端， 那么重新镜像也会相对快捷轻松。 在这两种情况下，降低了在过程 中丢失有价值文件的风险，减少了实际 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 6 如果没有感染而可能带来的损害。 他说：“ 同时，我们有一些知识 型的员工，比如营销部门中的某个人， 他要经常性地开发新的广告文案和 PowerPoint 演示文稿。对于很多公司， 这些仍然通常存储在本地的个人机器上。 不必要的擦除机器，损失一天的工作， 这种想法是让一些公司不愿意采用这种 方法的原因。 ” 隔离威胁 自动缓解的另一常见技术是隔离 受感染的机器。 他说：“ 您不一定要擦除它，但 也不会再传播感染了。 ” 他说，但是，这样做不仅仅是为 了保护端点设备。 他说：“ 的确需要网络访问控制。 如果对被感染的端点设备进行检测时能 够连接到网络访问控制系统，那么该网 络访问控制系统可以自动链接回网络安 全产品，实际上能够让该设备无法连接 到网络。 ” -精选财经经济类资料- -最新财经经济资料-感谢阅读- 7 但是，部署具有这些功能的 产品时，往往无法实施。 他说：“ 在某些情况下，这有一 点对照检查的意思。没有人会问我是否 实现了网络访问控制。他们应该将其添 加到检查表中。 ” 在一个大型企业中，建立这类系 统可能会有另外的障碍，因为负责网络 的人员和负责端点设备的人员分属于两 个不同的部门。 他说：“ 这需要合作，有时太难 合作了。 ” 企业战略集团高级首席分析师 Jon Oltsik 说，此外，还有多少设备必 须被隔离的问题。 他说：“ 如果我隔离一个系统， 那没关系。但是如果我要隔离更多的系 统，那就会变得非常复杂。 ” 他说，必要的响应涉及的范围越 广，就会越复杂。 “您必须有信心，相信 自己做的事情是正确的。 ” 智能网络 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 8 目前有很多能够用于检测网络上 可疑活动的工具。 Oltsik 说：“您看到一个营销人员 已经启动了网络扫描这不应该发生， 因此，您可以隔离该系统。或者您看到 系统与已知的命令和控制服务器进行通 信，那么，您可以在系统级或者网络级 停止它们。这很普通，有很多公司都这 样做。 ” 他说，但是攻击越复杂，就越难 以通过自动化进行应对。 这并不意味着网络供应商不会去 尝试。 ISACA 的 Clyde 说，网络安全最 近一直是自动化领域的热点。 他说：“ 如果您参加过最近一次 RSA 展，您会看到，一家又一家的网络 安全公司大力宣传他们如何自动检测攻 击，并在某些情况下自动采取措施。 ” 但是，对于这是否是一个好主意， 还存在意见分歧。 他说：“ 有些人对在没有人参与 -精选财经经济类资料- -最新财经经济资料-感谢阅读- 9 的情况下采取措施表示担心，特别是如 果一个系统不是 100%确定的情形。可 能会出错，采取了一些可能阻止合法活 动的措施。但有的人会喜欢， 攻击者 跑得太快了，我们需要自动化 。 ” 如果误报率过高，企业更愿意将 警报发送给分析师，进行人工分析。 他说：“ 我们正在取得进展。但 是，最新的趋势是检测，而不是采取措 施，除非有 99.9%的把握才会采取措施。 ” 他说，好在由于技术的进步，人 类分析师能够处理和监控的东西比几年 前多得多。 他说：“ 这是个好消息。坏消息 是，我不确定我们能不能跟上攻击方的 创新。 ” Maria Korolov特约撰稿人 过去 20 年一直涉足新兴技术