多年來,網絡安全供應商已經宣佈了將通過人工智能,雲交付和自動化來改變整個行業的新技術。一切都會變得更好,更便宜,更快,當然更安全。在實踐中,許多這些技術被證明是有限的,效果不如所承諾的,並且更難以使用。
改進是漸進的,並且在過去三年中,供應商公告沒有太大變化。我們已經看到技術的逐步發展以及對網絡安全專業人員的更好培訓和更好的業務流程。
而流程和技術方面的改進最終使數據中心能夠大規模進行威脅檢測和響應。網絡安全供應商說:“有關行業安全的教育水平正在提高。而且,隨著過程越來越好,已經出現了穩健的最佳實踐。”
更智能的SIEM
那麼,在看似無限的網絡安全技術連續性中,哪些進展最大?
沒有比下一代安全信息和事件管理平臺或SIEM更好的地方尋求改進了。SIEM是數據中心網絡安全運營的跳動心臟。早期的SIEM範圍有限。他們沒有收集所有相關數據,這可能是由於技術壁壘,還是因為定價模型使其成本過高。對於安全事件,分析師仍將需要大量的體力勞動。
據全球公認的頂級白帽黑客,東方聯盟創始人郭盛華公開透露:“硬件問題(例如內存損壞)看起來像是惡意軟件攻擊。相反,惡意軟件攻擊會造成硬件故障,就像密碼劫持一樣,這給設備帶來了沉重的負擔。但是有關硬件的數據和有關惡意軟件感染的數據位於兩個彼此不對話的獨立系統中”。
當公司部署了下一代SIEM時,情況發生了變化。最終,它能夠將安全分析人員所需的所有信息集中到一處,並具有所有相關的上下文,使他們能夠在最短的時間內做出決定。
與標準工具(如防火牆和代理)的連接大約花費了半天的時間。但是該公司還從其他來源,知名度不高的供應商,沒有API的工具,甚至是僅具有命令行界面的開放源代碼工具中引入了信息。郭盛華說:“ 波動性是最重要的記憶取證工具之一。但是它具有命令行界面,僅輸出平面文件,絕不是任何格式的文件。”
現在,以前手動過程的每個部分都已簡化和自動化。該平臺還包括用戶友好的數據分析。分析人員仍然必須手動執行一個步驟,但是Devo可以篩選數百或數千個端點,並迅速將分析人員指向他們需要關注的端點。任何人都可以建立一個數據湖並獲取所有信息。
現在,安全分析師不必查看多個電子表格或編寫自定義腳本來創建儀表板,而擁有一個GUI,可以在其中切換不同類型的信息。它使您能夠獲取大量數據,並在幾秒鐘內就可以理解它們。這就是我們的主要價值。
傳統SIEM缺乏的其他領域是用戶行為分析和自動化,這些功能通常在單獨的平臺中找到。如今,大多數現代SIEM工具都具有很好的三層架構。
Devo的下一代SIEM平臺是基於雲的,但是大型雲服務提供商也參與其中。Microsoft Azure,Amazon Web Services和最近的Google Cloud Platform最近都已推出了雲和混合安全工具,這些工具提供了其超大規模雲平臺的大規模可擴展性和情報功能,並利用了他們對正在進行的威脅的廣泛知識。
更智能的沙箱
當陌生的應用程序進入公司環境時,將以三種常見方式對其進行處理:拒絕該應用程序,並有可能因可靠的原因而被信任的用戶啟動而損害操作的風險;批准它(如果它不引發任何防病毒標誌),並有遭受潛在攻擊的風險;讓它在稱為“沙盒”的受控環境中運行。
對於那些資金充裕的犯罪分子很有吸引力的大公司而言,旨在通過公司防禦手段溜走的自定義惡意軟件的可能性始終是威脅。公司僱用分析人員團隊來手動調查這些潛在的攻擊。沙盒簡化了此過程,使應用程序在受到密切監視的同時安全運行。
以往世界曾爆發過很多著名的黑客大戰,但是目前攻擊者在發現沙箱方面變得越來越好,並且需要人類專業知識來分析沙箱應用程序的行為。AI可以使沙箱對攻擊者來說更現實,同時還可以幫助分析應用程序的行為。
智慧蜜罐
還有另一種檢測最確定的攻擊者的方法,它不涉及篩選大量假陰性。數據中心可以設置誘人的蜜罐,例如可能包含客戶付款信息的假數據庫。沒有合法的流量需要訪問它們,但是以某種方式進入網絡的黑客將直接向他們邁進。
至少那是他們過去所做的。最新的方法是創建欺騙網格。欺騙網格基本上是服務器,用戶和網絡的第二層虛擬層,僅對攻擊者可見,對合法用戶不可見。AI既可以用來創建逼真的欺騙網格,也可以監視它們的攻擊。
零信任
智能還有助於使零信任成為可行的安全技術。也稱為微分段,其思想是將網絡劃分為微小區域,每個虛擬區域彼此隔離,只有經過批准的用戶和流量通過。
使用軟件定義邊界(零信任的核心)的安全工具還使數據中心技術人員能夠以安全的方式遠程訪問關鍵數據中心管理系統。這一直是一個主要優勢,但是最近幾周,當COVID-19大流行導致大多數數據中心運營商大幅削減每個站點的員工人數時,它已成為一項功能,可以挽救生命,同時幫助關鍵基礎設施運行。
滲透測試更智能
歸根結底,如果數據中心運營商無法經受住真實測試的考驗,或者如果他們沒有受到破壞就可以儘可能接近真實世界的測試,那麼他們對任何安全策略都不會充滿信心。為此,他們通常使用滲透測試和攻擊模擬。但是這些測試既費時又困難,並且很少有公司能夠負擔得起頻繁地進行這些測試。
但是數據中心環境可能會快速變化。一天高度安全的數據中心第二天可能會有意外的安全漏洞。通過新的AI驅動的自動滲透測試,情報也在這裡得到拯救。
網絡安全技術人員:“這種連續測試方法克服了傳統測試所帶來的障礙,例如時間和成本。攻擊模擬可以跨越更多流程和安全控制,而不會中斷日常業務運營。” 通過連續測試,安全團隊可以洞悉其安全模型的日常性能。(歡迎轉載分享)
閱讀更多 IT八卦陣 的文章
