红帽谈为什么今年必须考虑安全自动化
红帽谈为什么今年必须考虑安全自动化
作者:Kevin Casey
来源:转载 红帽
2023年,安全自动化已成为自动化的首要任务。让我们解释一下为什么,以及为什么您应该考虑安全自动化,如果还没有这样做的话,下面的内容会为你提供参考。 第一,威胁太多,手动处理跟不上 虽然我们无法确定这个问题何时成为事实,但可以肯定的是,那些有着最深厚资源的大型组织已经远远超过了只依靠人力和创新来处理IT安全的能力阈值。威胁和风险的数量和种类太庞大而且在不断变化,需要更多的帮助。 “除了自动化,没有其他方式可以处理这种大规模任务、实现可重复性并使安全流程连续,”Haff表示。 即使是IT安全领域的老牌防御措施——比如终端保护或入侵检测——如今也需要增加自动化才能发挥效力,部分原因是潜在入侵的速度和严重程度仍然超过人力的能力。 “对于组织而言,安全漏洞的机会和端点实在太多了,没有任何借口可以解释为什么现在不实施所需的自动化,”Beachhead Solutions的软件工程师Dan Makim表示,并补充说,安全自动化需要尽早在流程中实施。他还表示,“在阻止手动干预已经来不及的安全事件方面,正确的策略尤为关键。” 正确实施安全自动化通常不意味着取代人类的智能和能力,而是赋予人们必要的权力来加强组织的安全并减轻威胁。 安全自动化不一定要很奇特。尤其是在刚开始时,一些最简单的自动化可能会产生相当大的影响。 例如,如果员工的笔记本电脑上有一系列无效的登录尝试,预先确定的自动干预措施可以警告IT工作人员,或以对话框的形式提供用户指导,或者如果多次登录失败后还在尝试,则自动禁用他们在该设备上的访问权限,Makim表示。 另一个例子是,如果设备超出了预设的地理范围,自动化操作可以立即禁用对数据的访问和/或向用户发送信息,或者执行符合组织政策的任何其他自动化步骤。 如果你已经使用像Ansible这样的IT自动化平台,它可以与各种安全工具和流程一起工作,让各种安全操作自动化,例如让企业防火墙中的特定流量阻止自动化。 第二,你已经在到处部署自动化 近期报道称,软件供应链安全仍是2023年的主要关注点。因此,软件管道中充满了安全自动化的机会,尤其是因为许多团队已经自动化了大部分管道的其他工作。 Permiso的联合创始人兼联合首席执行官Paul Nguyen说:“过去几年,工程团队已经在CI/CD管道中自动化了几乎所有开发和部署流程,不过,安全通常是后续的考虑因素。”他补充说,“相应地,攻击者利用窃取的API密钥和受损的服务令牌作为渗透网络或服务并横向移动的方法。” 当然,校正方向不是放弃DevOps和CI/CD管道 - 而是更好地保护它们,自动化是关键,DevSecOps也是如此。 Nguyen表示:“是时候让安全团队拥抱自动化并加强其防御,以应对不良行为者的策略行动。” 安全策略通常关注人类因素,这是正确的 - 人们会犯错误,这可能导致各种风险。钓鱼邮件之所以仍然存在,是因为它们有效。 但是,在越来越自动化的软件管道和整体自动化的组织背景下,机器与机器之间的通信同样重要。 “如果我们退一步思考,会发现大部分网络、云服务和互联网的通信实际上是系统与系统、机器与机器之间的交互,这些系统可能是云工作负载、容器、虚拟机、微服务、传感器、更传统的本地服务器、工业物联网设备等,” Corsha的联合创始人兼CEO Anusha Iyer说。 在这样动态和自动化的环境下,如果不进行安全自动化,就几乎不可能保护好它们。同时,机器与机器(或系统与系统)之间的交互与人与机器之间的交互一样重要。 Iyer表示,机器身份需要被提升为“一等公民”,以超越传统安全边界,并在自动化的方式下,在所有这些混合环境中规模化地保护数据和控制的移动。 不是说人类不能监控网络流量或阻止可疑活动,而是自动化可以更快地完成,而速度在安全领域至关重要。 将自动化操作与安全或IT团队成员需要手动采取行动进行比较:响应时间的差异(立即与非立即)至关重要,Makim说,“显然,负责安全的人无法无时无刻地到达所有地方,让正确的安全任务自动化可以在眨眼之间将本来吓人的威胁情景变得无害。” 第三,攻击者也使用自动化工具 你可能听说过“以火攻火”的表述。在今天的IT安全领域,意味着用自动化工具来对抗自动化攻击。 Inigo的CEO兼联合创始人Shahar Binyamin指出:"攻击者越来越多地使用更自动化和更强大的工具,手动执行的安全防御根本无法跟上这些威胁在数量上和复杂性的增加。" 在Inigo的安全领域——GraphQL API安全中,攻击者已经将对弱点GraphQL端点的搜索自动化了。 “他们会同时探测这些端点的大部分,从最常见的位置开始。”Binyamin 说,“如果不用自动化工具进行匹配,那你就是自讨苦吃。从攻击检测和缓解到加固攻击面和访问控制,组织现在需要尽可能地自动化。” 这种原则在不同的系统和威胁表面上都适用——不仅仅是API安全。自动化的攻击方法需要自动化的防御。 “安全AI、分析和自动化非常重要,以跟上黑客和罪犯每小时或每秒钟制造和执行的自动化攻击,”Sisense的首席执行官Amir Orad表示。 Orad指出,自动化和人工智能正在帮助攻击者以更高的速度和复杂性使用老派的方法,例如钓鱼邮件。他甚至预计攻击者将开始使用ChatGPT来创建更有效的钓鱼信息。 正如谚语所说,如果你想用火攻火,安全自动化正在成为基本要求 - 如果它还没有成为的话。自动化的攻击方法与信息过载 - 大量的输入源、警报、通知、新闻和原始数据 - 团队如果手动处理所有这些问题,太难了。 “当警报被看到并进行手动调查时,战斗已经开始了,双方都是自动化系统,”Orad 说,“这是事情发展的方式,并且已经在某种程度上出现了。” 第四,自动化有助于合规 除了攻击者越来越多地使用自动化之外,Binyamin认为,许多组织的合规要求日益复杂也是2023年实现安全自动化的主要驱动因素之一。 “在合规方面,跨行业的日益严格和具体的监管意味着出现错误的空间越来越小,”Binyamin说。 尽管合规是一个独立的领域,但它显然与安全相关。这是因为,如果经历了安全漏洞,接下来可能会进行审计,尤其是如果涉及敏感的客户数据。(当然,这取决于您的管辖区域、行业和其他因素。) 安全自动化可以帮助组织展示它们正在采取适当的步骤来保护其系统和数据。 “如果出现漏洞并对您的组织进行审计,需要证明您已经建立了必要的安全流程,”Binyamin说,“尽可能自动化这些流程可以使报告更容易处理,让您晚上睡得更香。” 第五,自动化还可以帮助进攻 以上讨论的大部分都集中在加强防御姿态和事件响应或缓解上。但是,安全自动化也可以在进攻方面发挥作用。 这特别重要,Nguyen说过去团队有时会通过加倍利用威胁狩猎等进攻策略来弥补缺乏安全自动化的不足——威胁狩猎是主动寻找可能为组织带来重大风险的问题的实践。 通常来说这是一个好的实践,但根据Nguyen所说,许多团队在当今动态的IT环境中要么缺乏适当的工具、时间或经验来有效地执行这项任务——除非他们采用自动化。 "大多数团队正忙于管理来自现有工具套件的警报或通知,这些工具像圣诞树一样点亮了仪表板,密密麻麻到处都是。"Nguyen说。 打个比方:如果您要在一个巨大的干草堆中寻找一根危险的针,难道不希望有一台机器帮助您清理干草吗? "组织需要开始采用自动化来识别威胁,确保你的网络安全不是基于人的响应时间或技能集合,并编排响应以增强安全团队的规模检测能力,"Nguyen说。 |