2019年3月份,SANS针对安全自动化做过一次调研。近几年,安全自动化是一个很热门的概念,包括 SOAR产品市场的出现,得到了业内人士的很多关注。一年之后,再看一遍SANS的这份安全自动化调研报告,依然能够给到我们很多启发。
安全自动化的五个误解
这份SANS报告首先列举了安全自动化的五个误解,分别是:
误解1:啥都可以自动化。实际上:安全的复杂性决定了100%自动化是不可能的。
误解2:自动化可以实现用机器取代人。实际上:自动化是帮助人而不是取代人。
误解3:现有的工具可以很容易地集成并自动化。实际上:工具集成(即工具的API封装)很重要,并且不简单。
误解4:自动化很容易度量。实际上:要实现客观的度量关键还在于度量指标本身,而非自动化。
误解5:自动化实现过程很快。实际上:实现自动化需要付出很多努力,实现的过程可能很长。
关键术语
重点是对于编排和自动化两个术语的定义。
Orchestration invokes and coordinates functionality across diverse technologies and independent tools to create an overall workflow. Orchestration depends on automation and integration.
编排会调用和协调各种技术和独立工具之间的功能,以创建完整的工作流程。编排取决于自动化和集成。
Automation refers to the execution of a sequence of tasks without human intervention.
自动化指在无须人工干预的情况下执行一系列任务的过程。
这里插入一段笔者个人的理解。简单地说,编排就是将不同的技术/工具/能力整合到一起,协同工作的一种方法。而自动化就是让机器在尽可能少的人工参与的条件下执行任务的一种方式。
还需要注意的是,这里的编排和自动化前面都是有默认定语的。编排这里通常是指安全运维过程的编排,而自动化是指安全编排任务执行的自动化。如果不加上这些限定,容易产生范畴上的歧义。譬如,十几年前我们就在SIEM中实现了自动日志采集、范式化和关联分析,安全自动化早就以各种形式存在于我们身边。又譬如我们可以在SIEM中定义关联分析规则,将不同的安全事件通过逻辑的、统计的方式关联起来,并可以反复进行关联,而这也可以说是一种安全编排,是关联分析规则的编排。笔者认为,需要区分编排和自动化的粒度和尺度。
安全自动化程度分析
安全自动化成熟度模型
SANS参照卡梅的CMMI模型,构造了一个安全自动化的成熟度模型。如下图所示:
这个模型从自动化水平(横轴)和集成度(纵轴)两个维度来递进。
安全自动化程度总体水平
根据SANS调研,46%的受访者(超过6成的受访者来自北美)表示其安全自动化程度为低,可见当前国际上安全自动化总体水平都是偏低的,中国应该更低。
按系统类型划分的安全自动化程度
如下图所示,针对服务器、网络及安全设备、单位所有的桌面设备、云系统的自动化程度较高,而针对员工自带设备、物联网及工控设备的自动化程度较低。
据此基本可以认为安全自动化的目标系统主要就是服务器、网络安全设备和桌面PC。
按阶段和活动划分的安全自动化程度
SANS参照CSF构建了一个安全阶段及其活动的划分模型:
基于这个划分,SANS对各个阶段及其活动的自动化程度进行了调研,结果如下:
可以发现,上表是按照活动使用的频度从高到低来排序的,系统监控与检测这个活动的使用率最高,而其安全自动化程度也是最高的(中等35%,高27.1%)。安全自动化程度第二高的活动是数据保护与监控(中等32.1%,高17.1%)。排第三的是资产管理。此外,IR(应急响应)和修复作为很重要的安全活动(表中位居第二和第三),其自动化程度却较低。而当前业界热门的SOAR产品主要就是实现IR和修复的自动化。
按工具划分的安全自动化程度
下图展示了不同的工具的安全自动化程度:
这个表格是按照工具使用频度从小到大排序的,可以看出,基本上越常使用的工具自动化程度越高。调研显示,告警和日志分析类工具的自动化程度最高。
如何将这些工具集成起来
针对这些工具的集成方法,SANS进一步进行了分析,如下图:
由图可知,21.3%的受访者没有使用编排及自动化工具来对前面提及的工具进行自动化集成,10.6%是求助于MSSP,34%是靠自己开发集成与编排系统来集成现有工具,6.4%采购相关的自动化工具,还有26.2%及采购工具也自己开发。
不论是自己开发还是购买现成自动化平台,都涉及到集成各种现有工具的问题,通常是借助API功能或者消息总线来集成各个工具。SANS发现API的标准化程度较差,即便是当前已有的开源标准——譬如SCAP和OpenC2——采纳率也很低,可能是因为这些标准并不适合真正广泛意义上的自动化的场景需求,而更多集中于响应场景。
SANS针对工具集成提出了几点实践建议:
1)采用标准的数据格式,譬如json,xml;
2)API功能化;
3)采用消息框架;
4)采用通用的数据分类,譬如可以沿用SIEM的数据分类和数据模式,将其用到SOAR上;
5)尽量使用开放标准。
对安全自动化的投资和预算
SANS报告显示,超过57%的受访者表示未来1年将会加大对安全自动化的投资,其中银行及金融业、网络安全企业和政府行业的意愿最强烈。
影响自动化领域投资的主要因素
如下图所示,影响用户投资安全自动化的主要因素包括:预算和管理层支持、集成并运行自动化工具的技能、技术人员的数量,等等。简单来说,首要的问题是人的问题。
上马安全自动化的的基本需求
如下图所示,59%受访者认为是为了提升威胁调查的速度和质量,其次是为了让安全运维相关的工作流和策略执行实现自动化(53%),以及更有效的关联分析(42%)。
实施安全自动化(项目)的风险
首先就怕预算不足,说明大家基本认同安全自动化花费不菲。其次是担心资源不足,其实就是各种软性的约束条件。第三是对IT运维流程及工具的依赖,第四是缺少跨工具集成标准,等等各种技术风险。
SANS认为,落地一个安全自动化项目是是一个漫长的过程,需要经过艰苦的工作,而不论你采用哪种技术路线。
安全自动化对人的影响
一般人对于自动化的直接反应都是“自动化将减少对人的需要”,“自动化的目标是取代人”。事实上,根据SANS的分析,自动化程度高的企业雇佣的人比自动化程度低的要多,但自动化程度高的企业的人干的活不一样。
一种情况是同样的人干的活量更大了,因为自动化助力。
还有一种情况是干活的内容变了,低价值、重复性工作让机器去干,转而去干高价值的工作。事实上,原本就有很多高价值工作需要人去干,只是由于人手不足,自动化程度低,人都陷于低价值工作中了。
安全自动化落地
安全自动化在各个阶段的落地情况
如上图所示,如果我们将安全运营分为PDRP(参考Gartner的自适应安全架构),那么可以发现当前自动化主要用于检测于阻止阶段(参见上图蓝色柱子),而非响应。但对于响应和预测的自动化的规划(绿色柱子)是最多的。
安全自动化给secops和IR团队带来的价值
从上图可知,价值最高的依次是告警监控与优先级排序、持续监控、降低MTTD/MTTR、提升可见性、系统性更新自动化安全流程,等等。SANS再次强调,安全对抗工作依然需要人工操作,需要分析师的批判性思考能力,每个团队要找到适合自身的机器自动化与分析师操作的平衡点。
剧本
什么是剧本?SANS给出了一个定义(也比较晦涩):the collection of processes and operating procedures that conform with the policies and culture of an organization to ensure a consistent response to a stimulus or trigger. 【剧本是符合组织策略和文化的一系列过程和操作规程的集合,以确保对于安全响应触发及操作的一致性。】
相较而言,我没有在Gartner的报告中找到剧本的定义。在《安全编排初学者指南》中,Demisto将剧本定义为:task-based graphical workflows that help visualize processes across security products. 剧本是一组图形化工作流程,以帮助跨安全产品协作过程的可视化。剧本可以自动、半自动或者人工执行。
一般地,剧本可以与偏技术的术语——workflow(工作流)——通用。
SANS在调研问卷中有一个开放性问题:你们组织中有什么关键流程自动化了?结果发现,大家对于什么是流程产生了歧义。的确,在安全运营实战中,不同的人会产生不同的理解。
SANS认为,要实现有效的安全自动化需要分析、回答和理解以下三个关键问题:
1)现有什么工作流程?哪怕是纯手工的。
2)当前的工作流程有什么不足(譬如有效性、瓶颈等)?有哪些地方可以改进?
3)使用自动化和集成工具(譬如SOAR)的工作流长啥样?
SANS给剧本开发提出了几点建议:
1)剧本的建模方法和工具很重要;
2)一段选择了一个建模方法,就要深入学习它,并不断分析和优化你自动化流程的质量;
3)在创建剧本之前先仔细分析那个流程。对于一个不好的流程,你再怎么用剧本去自动化实现都是不好的,甚至会更糟;
4)在复用的基础上不断改进和扩充剧本。不断从现有剧本中吸收经验,逐步扩充。
度量指标
度量的意义和作用自不必多言。安全自动化的效果也需要通过指标来度量。
如上图所示,显示了受访者认定的主要度量指标,以及这些指标当前应用现状。通过绿色柱子可以看出来,很多需要的指标都没有真正建立起来。
此外,针对不用的用户角色,关注的指标也是不同的。譬如,分析师关注安全事件的生命周期,有多少新增?关闭?重开?数量?类型?SOC经理则可能会关注每个分析师的绩效和操作过程。企业和组织的管理层则更关心降低了多少风险和成本,提高了多少生产力,增强多少安全防护水平。
针对建立度量指标,尤其是度量自动化效果的指标,SANS给出了几点建议:
1)计算检测、响应和修复的平均时长/中位数时长;
2)计算新流程(自动化流程)节省的时间;
3)分析出哪种类型的事件花费的时间最长?是否需要更多培训,更好的工具或改进的流程?
4)自动化对安全团队有什么影响?与自动化应处理的普通任务相比,人工操作的时间花费如何?
小结
自动化的本质是将人、流程和技术整合到一起。三者密不可分,都是实现自动化必不可少的组成部分。
参考
Ponemon调研报告揭示安全自动化和AI的价值定位以及与人的关系
声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
