多年來,網絡安全供應商已經宣布了将通過人工智能,雲傳遞和自動化來改變整個行業的新技術。一切都會變得更好,更便宜,更快,當然更安全。在實踐中,許多這些技術被證明是有限的,效果不如所承諾的,并且更難以使用。
改進是漸進的,并且在過去三年中,供應商公告沒有太大變化。我們已經看到技術的逐漸發展以及對網絡安全專業人員的更好教育訓練和更好的業務流程。
而流程和技術方面的改進最終使資料中心能夠大規模進行威脅檢測和響應。網絡安全供應商說:“有關行業安全的教育水準正在提高。而且,随着過程越來越好,已經出現了穩健的最佳實踐。”
更智能的SIEM
那麼,在看似無限的網絡安全技術連續性中,哪些進展最大?
沒有比下一代安全資訊和事件管理平台或SIEM更好的地方尋求改進了。SIEM是資料中心網絡安全營運的跳動心髒。早期的SIEM範圍有限。他們沒有收集所有相關資料,這可能是由于技術壁壘,還是因為定價模型使其成本過高。對于安全事件,分析師仍将需要大量的體力勞動。
據全球公認的頂級白帽黑客,東方聯盟創始人郭盛華公開透露:“硬體問題(例如記憶體損壞)看起來像是惡意軟體攻擊。相反,惡意軟體攻擊會造成硬體故障,就像密碼劫持一樣,這給裝置帶來了沉重的負擔。但是有關硬體的資料和有關惡意軟體感染的資料位于兩個彼此不對話的獨立系統中”。
當公司部署了下一代SIEM時,情況發生了變化。最終,它能夠将安全分析人員所需的所有資訊集中到一處,并具有所有相關的上下文,使他們能夠在最短的時間内做出決定。
與标準工具(如防火牆和代理)的連接配接大約花費了半天的時間。但是該公司還從其他來源,知名度不高的供應商,沒有API的工具,甚至是僅具有指令行界面的開放源代碼工具中引入了資訊。郭盛華說:“ 波動性是最重要的記憶驗證工具之一。但是它具有指令行界面,僅輸出平面檔案,絕不是任何格式的檔案。”
現在,以前手動過程的每個部分都已簡化和自動化。該平台還包括使用者友好的資料分析。分析人員仍然必須手動執行一個步驟,但是Devo可以篩選數百或數千個端點,并迅速将分析人員指向他們需要關注的端點。任何人都可以建立一個資料湖并擷取所有資訊。
現在,安全分析師不必檢視多個電子表格或編寫自定義腳本來建立儀表闆,而擁有一個GUI,可以在其中切換不同類型的資訊。它使您能夠擷取大量資料,并在幾秒鐘内就可以了解它們。這就是我們的主要價值。
傳統SIEM缺乏的其他領域是使用者行為分析和自動化,這些功能通常在單獨的平台中找到。如今,大多數現代SIEM工具都具有很好的三層架構。
Devo的下一代SIEM平台是基于雲的,但是大型雲服務提供商也參與其中。Microsoft Azure,Amazon Web Services和最近的Google Cloud Platform最近都已推出了雲和混合安全工具,這些工具提供了其超大規模雲平台的大規模可擴充性和情報功能,并利用了他們對正在進行的威脅的廣泛知識。
更智能的沙箱
當陌生的應用程式進入公司環境時,将以三種常見方式對其進行處理:拒絕該應用程式,并有可能因可靠的原因而被信任的使用者啟動而損害操作的風險;準許它(如果它不引發任何防病毒标志),并有遭受潛在攻擊的風險;讓它在稱為“沙盒”的受控環境中運作。
對于那些資金充裕的犯罪分子很有吸引力的大公司而言,旨在通過公司防禦手段溜走的自定義惡意軟體的可能性始終是威脅。公司雇用分析人員團隊來手動調查這些潛在的攻擊。沙盒簡化了此過程,使應用程式在受到密切監視的同時安全運作。
以往世界曾爆發過很多著名的黑客大戰,但是目前攻擊者在發現沙箱方面變得越來越好,并且需要人類專業知識來分析沙箱應用程式的行為。AI可以使沙箱對攻擊者來說更現實,同時還可以幫助分析應用程式的行為。
智慧蜜罐
還有另一種檢測最确定的攻擊者的方法,它不涉及篩選大量假陰性。資料中心可以設定誘人的蜜罐,例如可能包含客戶付款資訊的假資料庫。沒有合法的流量需要通路它們,但是以某種方式進入網絡的黑客将直接向他們邁進。
至少那是他們過去所做的。最新的方法是建立欺騙網格。欺騙網格基本上是伺服器,使用者和網絡的第二層虛拟層,僅對攻擊者可見,對合法使用者不可見。AI既可以用來建立逼真的欺騙網格,也可以監視它們的攻擊。
零信任
智能還有助于使零信任成為可行的安全技術。也稱為微分段,其思想是将網絡劃分為微小區域,每個虛拟區域彼此隔離,隻有經過準許的使用者和流量通過。
使用軟體定義邊界(零信任的核心)的安全工具還使資料中心技術人員能夠以安全的方式遠端通路關鍵資料中心管理系統。這一直是一個主要優勢,但是最近幾周,當COVID-19大流行導緻大多數資料中心營運商大幅削減每個站點的員勞工數時,它已成為一項功能,可以挽救生命,同時幫助關鍵基礎設施運作。
滲透測試更智能
歸根結底,如果資料中心營運商無法經受住真實測試的考驗,或者如果他們沒有受到破壞就可以盡可能接近真實世界的測試,那麼他們對任何安全政策都不會充滿信心。為此,他們通常使用滲透測試和攻擊模拟。但是這些測試既費時又困難,并且很少有公司能夠負擔得起頻繁地進行這些測試。
但是資料中心環境可能會快速變化。一天高度安全的資料中心第二天可能會有意外的安全漏洞。通過新的AI驅動的自動滲透測試,情報也在這裡得到拯救。
網絡安全技術人員:“這種連續測試方法克服了傳統測試所帶來的障礙,例如時間和成本。攻擊模拟可以跨越更多流程和安全控制,而不會中斷日常業務營運。” 通過連續測試,安全團隊可以洞悉其安全模型的日常性能。(歡迎轉載分享)