在几乎一切安全事件当中,同样的问题都在不断重演:安全设备发出攻击活动提醒,但由于警报数据过于庞大,分析师不具备充足的时间或专业知识处理相关结果,导致真正重要的警报被淹没在噪音当中。
在大多数安全运营中心(简称SOC)当中,能够生成警报的设备数量正以远超工作人员数量的速度迅猛增长。大多数组织机构都意识到了这一问题,并认为只有两种方案能够解决这一难题:1)减少警报数量(或在部分情况下,组织机构由于缺少必要的响应人员而被迫选择忽略大部分警报); 2)增加员工人数。但在现实当中,我们还拥有第三个选项,即利用自动化手段最大限度提升分析师的工作效率。
如果您曾认真研究过安全运营中心分析师们的日常工作,就会发现他们的工作内容实际主要分为两大类:1)常规分析,即基本遵循一套脚本从而以可重复方式执行任务; 2)需要专业知识并利用分析能力以回应并解决问题的任务。二者之间存在着巨大的差异,这一点在分析处理所需要的时间量层面体现得尤为明显。在日常分析当中,脚本将尽可能减少偏差量,从而以统一的方式处理工作。本文将重点介绍第一类任务并讨论如何改善其执行结果。
日常分析具备可重复性,亦可实现系统化与自动化,但同样的自动化手段亦有可能引发潜在风险乃至误报——即屏蔽合法流量或将其归类为攻击活动。无论结果如何,其都有可能对日常运营造成影响。因此,多数组织机构会尽可能避免使用自动化机制。然而面对不断增长的安全威胁,人们发现自动化已经无法忽略。举例来说,Target网站与Home Depot遭遇的安全违规事件确有触发攻击警报,但相关企业却没有足够的人员对警报优先级作出正确排列及响应。
尽管自动化已经被广泛视为一种“非此即彼”的方法,但企业仍然可以采取一系列自动化因素来平衡自身风险,同时保证其有能力始终控制警报监视与响应的具体方法。其基本思路在于立足不同警报之间找寻平衡点,从而将低影响警报交由自动化方案处理,高风险警报则由分析师进行人工解析。
自动化的优势
随着大量流量持续通过网络,组织机构将永远聘用足够的人手来处理所有警报信息。面对这样的窘境,一种方法在于调整设备以减少警报数量,但这亦会同时降低所检测到的攻击活动的数量。另一种解决方案则为引入自动化机制。安全运营中心的分析师们往往需要执行大量具有重复性的任务,我们有理由考虑利用计算机自动加以处理。自动化的显著优势包括以下几点:
• 对警报与申请的响应更为一致
• 更高申请关闭量与事件响应量
• 确保分析师更好地关注高优先级事务
• 提升对当前所发生事件的可见性
• 覆盖面更大,申请处理数量更可观
自动化一般在低影响警报领域更受青睐,而考虑到诸如公共事业以及医疗卫生等高风险领域所肩负的重大责任,自动化机制造成的误报很可能造成严重的负面影响。
自动化的缺点
所谓误报,即系统将合法流量解释了攻击活动并加以屏蔽。在某些行业当中,误报状况很可能由拒绝服务攻击等状况所导致。但在其它行业当中,此类问题甚至有可能令公共事业企业医院或者空中交通管制机构的关键性业务组件受到影响。自动化机制的风险包括以下几点:
• 关闭运营流程
• 对攻击活动进行错误分类,导致采取的处理行动亦不正确
• 对本应需要以手动方式处理的申请进行自动化处理
• 关键性信息或数据缺失
• 作出错误或不当决策
各类组织机构通常会研究自动化的潜在缺点,并据此尽可能避免使用自动化方案。虽然这种方法看似更为安全,但如今组织机构正逐渐意识到,如果不使用自动化工具,那么攻击活动所造成的危害很有可能远高于自动化带来的负面影响。考虑到这种情况,从业人员应该根据具体情况以自动化方式执行部分任务,从而尽可能降低攻击风险。
最适合自动化方案的任务/申请
实现安全性保障的核心规则之一,在于始终避免极端状况的发生。因此,我们有必要着眼于自动化的处理能力,同时考虑将风险水平保持在可接受的范围之内——这一点在运营乃至安全层面皆同样适用。更具体地讲,应避免将自动化推向一种极端,即对一切施以自动化并通过强调分析师无力处理一切警报或申请来证明这种作法的合理性。
相反,理想的解决办法应该是找到一个平衡点,即将目前需要耗费分析师大量精力且具备高度重复性的任务/申请处理工作交由自动化机制负责。其中的诀窍在于管理并控制误报问题,而非指望将其彻底消除。常见的误报包含以下几类:
• 对网络与系统进行扫描
• 指向非运行在系统之上的各服务的干扰性攻击/扫描
• 作出尝试但并未成功的攻击活动
• 在遭遇入侵后不致造成重大后果的低优先级系统
各组织机构应避免将可能导致重大影响的警报信息交由自动化方案处理,具体包括以下几类:
• 关键性应用程序或系统缺失
• 可能导致严重不利后果的高影响系统
• 任何包含大量敏感数据的系统
• 大规模违规指标
鉴于相较于警报数量,实际威胁数量可能要少得多,请考虑利用部分自动化手段帮助提升安全运营中心工作的执行效率。
迷你案例研究
在本次案例研究当中,我们以医院为例来探讨如何为自动化机制找寻适当的平衡点。即使您所在的机构并不属于医院或医疗卫生组织,下面得出的逻辑与推理结论也同样适用于几乎一切组织机构。
一般来讲,考虑到误报状况可能导致关键系统遭到屏蔽或者下线,因此医院往往会尽可能避免使用自动化方案。如果某一攻击被错误分类且导致生命支持系统下线,那么由此产生的影响或将给病患的生命安全带来影响。而这类问题还只是整个组织机构因此类问题而可能面临的不利影响中的一小部分。
从勒索软件攻击的角度来看,上述方法已经成为医院所存在的一大固有问题。由于勒索软件攻击的推进速度极快,导致我们几乎不可能以手动方法作出快速响应,更遑论控制相关危害。惟一可行的方式只有利用自动化方法管理并控制由这些快速出现的攻击活动所引发的危害与影响。事实证明,勒索攻击已经令医院当中70%的数据陷入不可用状态,而医院也开始学习如何在手动与自动化保护方案之间找寻平衡点,从而切实巩固关键信息网络体系。2017年5月英国有16所医院遭遇勒索软件攻击,并因此被迫关闭。
自动化的未来前景
根据攻击活动发生与变化的速度来看,忽视自动化方案的组织机构将在安全保障工作当中进一步落后,并成为大多数攻击行为的目标。安全运营中心永远无法启用足够的人手来响应所有警报。这意味着我们只能从以下两个选项中作出选择:1)减少生成的警报数量,但这同样有可能导致攻击活动漏网; 2)利用自动化手段处理大部分警报信息,确保分析师仅专注于解决部分高危警报或者自动化方案无法处理而提交上来的警报。第二种选项无疑更适合大多数组织机构的实际情况。
正如我们之前所提到,在成功实现自动化,必须首先找到平衡点。您应当首先以低优先级项目为起点尝试引入部分自动化机制,这不仅能够向所在机构的高管层证明其实际价值,同时也是为了强调自动化并不致令组织的正常运营陷入瘫痪。随着信心的增加,您可额外添加更多自动化功能,但请千万记住,永远不要误认为可以将一切都交由自动化方案打理。
结论
在考虑将自动化机制引入安全运营中心时,请首先回答以下两个问题:1)您目前在网络安全保障工作中是输是赢?2)您想继续这种输家的命运吗?随着违规手段与方法的转变,我们加以应对的技能也必须随之改变。各类组织机构遭受攻击影响的机率正日益提升,特别是考虑到攻击活动入侵网络的速度正不断增加——这意味着人类根本不可能追及计算机的处理速度。击败计算机的惟一方法就是同样使用计算机技术。
在安全运营中心内部运用自动化机制时,最重要的是建立一项经过深思熟虑的策略以解决以下关键问题:
• 哪些层面产生的警报数量最大?
• 哪些警报占用了分析师们的大部分时间?
• 哪些响应结构表现良好,分析师会以怎样可预测的方式响应其中部分警报?
• 是否能够建立剧本或者操作手册,从而利用安全自动化方案协调并处理某些事件?
• 如果发生误报,哪些事件产生的影响较为轻微?
通过上述问题,大家即可着手确定组织之内最适合作为起点的自动化部署领域。
作者:Eric Cole。博士,SANS研究院的研究员、课程作者兼导师,亦担任麦克菲公司CTO兼洛克希德-马丁公司首席科学家。他拥有超过20项专利,身兼多个执行咨询委员会成员职位,亦为第44届国际战略与国际研究委员会网络安全委员会成员。Eric的论著包括《Advanced Persistent Threat》、《Hackers Beware》、《Hiding in Plain Sight》、《Network Security Bible and Insider Threat》等。作为Secure Anchor Consulting公司的创始人,Eric结合其20多年的安全实践工作经验,旨在帮助客户针对高级威胁建立动态防御体系。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
