自动化网络安全防御可快速、准确地识别并响应威胁,前景十分诱人。波耐蒙研究所的调查研究发现,数据泄露事件的平均成本已高达386万美元,平均检测和控制时间也固定在280天之久,丝毫不见缩短。可以说,企业对任何能够降低这些数字的系统都翘首以待。于是,人工智能(AI)和其他自动化防御技术的快速普及也就不足为奇了。
网络罪犯和其他黑客也可以使用同样的技术,或者操纵企业采用的自动化系统。由于这些技术并不成熟,或者普通IT部门对之不甚了解,也留下了错误配置和重叠系统间相互冲突的可能性。
不切实际的期望
网络安全的每一个新兴趋势都伴随着炒作。自动化防御技术浪潮被吹嘘为应对安全人才短缺和攻击不断升级的良药。安全编排、自动化与响应(SOAR)、扩展检测与响应(XDR)和用户及实体行为分析(UEBA)便是这股浪潮的风口浪尖。但问题是,这些技术的功能有时候被夸大了,而其引入的问题可能会多过好处。
大多数企业的规模和复杂程度增加了技术采用的难度。想要收获自动化系统的种种好处,离不开适当的规划和兼容的基础设施。而且,企业还存在将这些新技术“物尽其用”的危险想法,不管适不适用都想用上一把,尤其是在做出大笔投资之后。
尽管长期来讲这些新技术可以节约成本,但短期内自动化系统的恰当集成和管理可能反而会增加成本。不切实际的期望和自满有可能引发灾难。
缺乏了解
自动化网络安全赛道十分拥挤。360ResearchReports的报告显示,SOAR市场增长迅速,预计2026年市场规模将达13亿美元,远超今年的7.21亿美元。市场领导者天然想要保护他们的知识产权。很多机器学习系统也依赖黑箱模式,几乎无法窥探此类产品的内部工作机制。
如果连供应商都不了解决策是怎么做出的,其客户又从何得知呢?
对未经证明的自治系统赋予如此信任是极具风险的。更糟的是,自治系统还会产生连锁反应,挤占企业人才的生存空间。随着自治系统顶着可填补人才缺口的期望接管工程师的工作,人才招聘将变得越来越少,员工培训的意愿也会下降。
数据集中毒
信任自动化系统的几大危险之一,是自动化系统可能遭到黑客篡改。遭攻击的企业根本无法得知系统是否被篡改。用经篡改的数据集给自动化系统下毒太容易不过。数据集中毒可能会令机器学习算法随时间推移发生危险的扭曲,或者导致无辜流量在短期内被标记为异常。攻击者未必需要欺骗系统,他们只需要使之超载即可突然关停服务或网络,让所有人都不得其门而入。
即使没有恶意黑客的暗中谋划,一些自动化防御技术也可能与公司网络上的其他工具和系统发生冲突。以感染导致人体发烧为例。免疫系统升高体温,试图杀死侵入人体的细菌,但在极端情况下,发热可能导致失能甚或死亡。
怎样合理采用
尽管存在风险,自动化网络安全防御技术也代表着真实的机会。但如何采用却必须小心谨慎。采用自动化网络安全防御技术必须经过周密的计划,设置合理的期待值,并确保公司有内部人才可以正确配置和诠释自动化系统。
我们有必要评估这些系统的自治程度,并限制其在无人监督情况下关停服务的能力。信任建立必须缓慢而谨慎。应仔细审查自动化防御的依赖源,找到可以持续监测数据集的方法,防止中毒攻击尝试。
制定事件响应计划可以缓解风险,满足各种自动化系统故障的场景。排演这些响应计划并按需做出调整,这样可以确保计划有效。实施严格的测试和变更管理以减少对任何自动化系统的过度依赖也是明智之举。
毫无疑问,自动化网络安全防御将发挥越来越重要的作用,但我们必须忍住仓促上马的诱惑。想要充分发挥这项新兴技术的效用,就要选择经过深思熟虑的策略而非盲目信任,并且要适当调整自己对这项技术的期待值。