安全自动化在于信任,而非技术

我们可以自动化动作,而不自动化决策……

一直以来的反馈都表明,至少安全团队是非常渴求自动化的。但这种渴望受制于怀疑和恐惧。怀疑威胁检测的准确性,恐惧威胁控制或缓解响应自动化的后果,以及自动化出错可能造成的不良影响和破坏。

长期工作于网络安全领域的人知道,这种现象并不新鲜。反垃圾邮件和入侵防御系统(IPS)的承诺尚历历在目,对其异常和攻击检测能力的过度自信所造成的混乱,就开始啪啪打脸。

安全自动化

很多公司都有IPS,但却以非阻塞模式运行,直接降级成入侵检测系统(IDS)使用。而且这种趋势至今未减:公司企业引入自动化功能到现有技术中,比如安全信息及事件管理(SIEM)、终端检测与响应(EDR)、安全自动化与编配(SAO)解决方案等,但却不相信它们的自动化能力,仅仅在发送通知或执行威胁情报查询之类基本任务上应用自动化。

这基本上无视了检测功能已大幅改进的事实,尤其是在应用了行为建模和机器学习驱动的方法之后。真是应了那句老话:千万别尝试用技术来解决社会问题。因为问题本身就不是基于技术的,而是基于信任——或者信任的缺失。这里面涉及的3个基本原则是:

安全运营团队可评估风险影响,但评估不出对生产的影响

安全运营团队深居象牙塔内,专注在威胁的风险和影响上,难以建立并维护对生产环节现状的感知。受影响系统是不是任务关键的?系统是否不稳定?是否遗留系统?系统当前是用于处理年度财务报告,还是在被付费客户使用?这些问题,安全运营团队往往难以感知。

禁用无关紧要的用户账户看起来很简单,但该用户账户很可能是用于执行关键过程的。依赖、复杂性和未知因素,都是自动化的痛脚。这些正好是大多数安全运营团队要么缺乏要么信息过时的数据点——但却对事件响应或修复过程的执行方式有影响。这并不是说事件或漏洞根本不用处理,而是强调需要额外的时间或特定的方式进行处理。

可以自动化动作,但不自动化决策

当然,可被自动化的东西,远不止实际控制或修复响应过程。很多工作,比如事件优先级划分、额外所需信息及上下文的获取、利益相关者通知等,都可以被自动化。另外,若动作已经过审查,也是可以自动化的。最简单的场景里,这意味着向IT运营团队发送事件通知——包括问题描述、潜在影响、解决问题所需的动作等,然后请他们确认动作执行,或者拒绝执行自动化动作而手动处理。我们可以自动化动作,而不自动化决策。

可随信任与信心的增加而扩展自动化

IT运营往往过载,于是从安全运营到IT运营的传递,往往在响应上有长长的延迟。在诸如勒索软件之类的事情情况下,这种延迟意味着,是控制住局面还是只能灾难恢复的差别,是单纯的事件还是完完全全的数据泄露的差别。工作过载的一队人会反对能让自己更轻松的办法,这简直是违反人类直觉的事,然而,人性就是这样。不过,即便如此,我们依然可以帮助缓解疑虑和担忧,建立信任和信心。

方法就是:记录哪些动作是手工执行的——同个动作由人代替机器执行的次数,并计算出人和机器做同个动作在所消耗时间与资源上的差异。其思想精髓在于:如果多次接到需要相同手工动作的类似事件通知,那么此类事件便可以很安全地自动化处理。毕竟,我们有审计线索来证明这一点,也有数据来建立业务案例。更重要的是,我们也能收集数据,勾勒出哪些事务或位置不能安全地自动化。

或许在某个业务部门可以安全进行的自动化,在另一个业务部门就是完全不可接受的。自动化过程必须支持粒度,无论是指标收集,还是自动化配置时。理想状态下,不管使用哪种自动化技术,都必须支持该方法,并提供所需的各项指标。技术可以辅助建立信任,但最终,必须让你期望信任你的对象感受到。

本文作者:nana

来源:51CTO

时间: 2024-09-11 22:24:53

安全自动化在于信任,而非技术的相关文章

“内淘网”依托透明的公司身份搭建白领群体生活信息、交易平台,核心是“信任经济”

摘要: 昨天聊 了个项目叫内淘网,觉得有意思的地方是它搭建的围绕公司白领群体的信任经济,要求用户通过公司邮箱注册,而内淘网则帮助用户解决一系列生活问题,目前深耕的重点是自产 昨天聊 了个项目叫"内淘网",觉得有意思的地方是它搭建的围绕公司白领群体的"信任经济",要求用户通过公司邮箱注册,而"内淘网"则帮助用户解决一系列生活问题,目前深耕的重点是"自产自销"和"单身"两个问题.其它包括"闲置二手&q

创业,如何使你的团队具有吸引力

众所周知,微软公司使数百计的雇员成了百万富翁.可是,鲜为人知的是,他们中许多人在取得了经济独立之后,却仍继续留在微软工作.大多数人认为,发财就等于取得了辞职的资格证书.但事实证明,微软公司的百万富翁们并不那样认为.微软为何能让百万富翁为它打工?因为微软有一种独特的团队吸引力,可以让百万富翁级的员工获得满足.如何使你的团队具有如此吸引力呢,是本文要讨论的问题. 一.何为团队吸引力 团队的吸引力来自于团队内部的合作力.沟通力和信任力的交集.也就是说当一个团队同时具备信任力.合作力和沟通力以及平民文化

创业成功源于简单 - 马云

创业者没有先.没有后.没有大.没有小,每一个人都是在同一起跑线上,往往最简单的最容易成功,因为最简单的最容易被忽略. 创业者首先要有一个梦想 马云说:"我觉得创业者首先要有一个梦想,这很重要,你没有梦的话,为做而做,别人让你做是做不好的,要坚强,第二要有毅力,没有毅力做不好,从我自己的经验,我每次创业的时候,有一个美好设想的过程,但是往往你走到那儿它不一定美好.所以你要告诉自己,自己走的路上面每天碰上的事情特别多.我95年创办黄页,然后又开始创业做阿里巴巴,我觉得自己反正已经倒霉,这个不成,那个

互联网进化后,巨头们注定消失?

这个话题在当下正如日中天的BAT3们来说显得优点不合时宜,连我也怀疑这些巨头好像跟神明差不多,应该是永生的.然而,有了诺基亚这个前辈的例子,还有看看IBM,也许我们不难推断,也许前者就是巨头们的未来. 其实这个推断是有理可循的,从互联网未来的进化来看,未来的人类是没有隐私的,信息的不透明性会降到最低.就拿实名制举例,政府推动的网站实名制备案,微博实名制,上网实名制不仅收效甚微,还搞得互联网乌烟瘴气.但从PC到LBS,微信却奇迹般的成为一款真正的网络实名制产品,一切都是用户自发进行的,绝大多数正常

传Google有可能开发Google Mine

  传言 Google 正在开发一款名为 Google Mine 的网络服务以及应用.它将记录你现实中所喜欢的东西,包括全套星际迷航.超人公仔或是富春山居图等等,并分享给 Google+ 的好友,允许别人对你的分享发表评论,搜索同样喜欢该东西的人,查看最近的热门分享以及将自己分享东西归集到一个列表里. 这是一个与豆瓣"东西"非常相似的产品,不过也有所不同,Google Mine 能够让人标记该东西的状态,到底是"借出去"."不见了"."

“内淘网”帮助用户解决一系列生活问题

摘要: 昨天聊 了个项目叫内淘网,觉得有意思的地方是它搭建的围绕公司白领群体的信任经济,要求用户通过公司邮箱注册,而内淘网则帮助用户解决一系列生活问题,目前深耕的重点是自产 昨天聊 了个项目叫"内淘网",觉得有意思的地方是它搭建的围绕公司白领群体的"信任经济",要求用户通过公司邮箱注册,而"内淘网"则帮助用户解决一系列生活问题,目前深耕的重点是"自产自销"和"单身"两个问题.其它包括"闲置二手&q

热点推荐:成功程序员的8个习惯

对成功的渴望或许是我们与生俱来写在基因里的一部分.成功会让人幸福,并且几乎每个人都在争取幸福.当我们感到幸福的时候,我们大脑中的化学物质会迸发积极的情感,激励我们获取更多的成功. 成功的职业生涯通常是指规定时间内,发布高质量且被认可的工作.这对于IT开发人员也没什么不同.成功的开发人员能在预估范围内编写出高质量的代码,并通过发布伟大的产品让利益相关者满意. 那么开发人员如何才能做到这一点呢?有些人认为开发人员是魔术师,按几个按钮就能让计算机变魔法.现实情况则要复杂得多:我们得遵循一定的原则来编写

B2C应该向传统零售学点什么

最近在一家传统企业做B2C,这家企业是行业的龙头,去年销售额有30个亿,B2C项目是刚刚启动的.在做这个B2C项目的过程中,深刻感受到了当前传统企业拓展线上业务面临的种种困难,同时,又因为传统企业在传统零售行业独有的优势和经验,他们又完全有可能在B2C领域里面做出一番成绩.那么,传统企业做B2C有哪些经验是可以借鉴的呢?下面一篇文章非常值得电子商务行业的朋友们一读: 经常有朋友和我诉苦,网站的流量太低了.其言下之意就是说,网站不出销量,主要原因还在于没有流量,我相信这是许多做电子商务的主流认识.

云计算安全漫谈:云端加密数据的利与弊

随着云计算的普及,企业将越来越多的核心业务以及重要数据都存储在了云端,然而,企业对于存储在云端的数据的担心也越来越高.这时,更多的云加密服务供应商如雨后春笋般的出现. 很多研究都显示关于谁应该承担客户数据的安全责任方面,云服务供应商及其客户之间存在很大分歧:供应商将责任交到客户手中,但客户通常不同意. 根据Ponemon研究所去年的调查显示,十个云服务供应商中有七个供应商将客户数据的安全责任交给客户,只有30%的客户同意. 云安全供应商CipherCloud公司首席执行官兼创始人Pravin K