在IT界,安全自动化是广泛且越来越重要的概念。它也是IT架构师有机会影响企业战略的另一个扩展领域。
让我们从一位从事此项工作的人所给出的定义开始:“安全自动化意味着计算机能够处理每天出现的数百万个警报中的模式识别问题,”Juniper Networks全球安全策略总监Laurence Pitt如是说。
这个不断增长的类别包括从自动化测试和运行时漏洞扫描,再到自动化工具(例如Ansible)和处理海量安全数据,并在适当时自动响应事件的机器学习算法等。
如果不讲讲“为什么需要安全自动化”的问题,任何安全自动化的定义都是不完整的。
简而言之:现代威胁环境复杂繁忙,单凭人力难以监控。特别是对于大公司而言,他们需要处理数十万甚至数百万个安全数据点和事件。手动处理所有这些信息,更不用说采取适当的事件响应和修复措施,同时还要努力构建强大的安全姿态以降低风险,这也太难了。
“实际上,在多向事件中生成的所有可操作安全事件中,人类将很难识别出来,” Radware全球业务拓展和运营商销售技术副总裁特Travis Volk说道,“这是新常态,因为复杂事件使用多种技术来绕过安全层,同时不断寻找合法凭据、升级权限并控制被保护的资产。”
企业架构团队需要针对这些新威胁开发新的技能。
实践中的安全自动化
安全自动化的主要目标是帮助安全专业人员、开发人员、SRE等各种角色筛选噪音,关注真正需要他们技能和注意力的信息和事件。在Volk的经验中,一家公司在一个季度可能有数十万个安全事件。通过机器学习和自动化,“可操作事件可以减少到20到50个相关事件,需要人类干预以确保长期纠正,从而改善安全架构”,Volk说。
需要额外强调的是:安全自动化并不意味着从您的安全计划中排除人员。相反,它是帮助安全分析师、工程师和其他利益相关者更有效地完成工作,避免在大量数据中淹没,其中很多可能实际上并不需要他们的注意。这也是为了努力实现让每个人都保持安全意识的理想,而不仅仅是那些工作名称中带有“安全”一词的人员。
Pitt表示:“当许多人考虑自动化时,他们认为它是‘在没有人类互动的情况下完成任务’,实际上不是这样的。良好部署的自动化将跨越组织的解决方案堆栈工作,以便数据和信息可以在产品之间共享,从而使它们整体更加有效。”
IT架构师在其职能的作用下已经跨越了团队和技术堆栈,因此在帮助组织解决问题方面处于独特的位置。他们可以帮助团队成员将安全性优先考虑并融入到其系统、工作流程和文化中。此外,多个领域的IT架构师可以帮助确保安全性成为任何新系统或产品早期阶段的一部分。这是IT架构师在其IT组织和整个公司中成为战略领袖的又一个方式。
软件供应链是关键
来自Juniper Networks的Pitt指出,软件供应链通常是在安全自动化方面寻找机会的一个很好的地方。同样,IT架构师在这里有着重要的角色要发挥,因为他们需要深入广泛地了解他们的环境和系统的各种依赖关系。当决定何时、在哪里以及如何将更多的自动化引入这些环境和系统时,他们还可以成为专家指导的关键来源。
Pitt说:“目标是在软件生命周期的每个阶段使用合适的工具将安全自动化嵌入到开发中,并为每个阶段增加价值。”
例如,Pitt指出,在软件供应链中引入更多的自动化本身并不复杂。复杂的是人员、流程和文化等方面,这也是架构师可以发挥影响力的领域。
Pitt说:“这是一项承诺。”
如果从一个一次性、高度手动的安全流程的基础上开始,可能会感到有些压力。但是,安全自动化不必一夜之间发生。事实上,您最好逐步推进。
四步走:迈向安全自动化
我向Kenna Security的安全研究总监Jerry Gamblin寻求建议,以确定安全自动化的长期承诺的“起点”(以及第二个和第三个步骤...)。他的建议应该能引起IT架构师的共鸣,他们可以规划和优先考虑短期改进以及持续的可持续进展。
首先,列出团队每天或经常执行的任务或流程。然后,按照以下框架进行分类:
此任务很简单,需要很少的时间来完成。
此任务很复杂,需要很少的时间来完成。
此任务很简单,需要很长时间来完成。
此任务很复杂,需要很长时间来完成。
Gamblin建议将#2或#3的任何内容留到以后的阶段。从#1中开始。以下是Gamblin的一个快速示例:“构建一个简单的Slack机器人,每天在漏洞扫描完成后发送警报,而不是让某个人手动登录进行检查,”他说。
正如红帽技术布道师Gordon Haff所写,从对公司最重要的事情开始是一个好主意。
“尽管实施更全面的安全方法可能是一个重大项目,但你可以通过一些相对较小的改进获得大的胜利。” ——Gordon Haff
例如,如果您还没有在生产中运行容器化工作负载,那么现在将自动化的容器运行时扫描器添加到您的工具链中就没有太大意义。同样,Haff建议从谚语所说的“容易摘取的果实”着手。
今天可用的安全自动化工具
“没有一个工具能帮助您实现所有安全自动化目标,”红帽首席顾问Muhammad Aizuddin Zali说道,“安全自动化需要一定程度的工具集成。通常最好与现有的安全工具集成。工具与系统的兼容性将决定集成是否可能。”
技术选项众多,包括各种免费和开源工具,更不用说您的组织所依赖的多个平台的原生安全功能。其中许多技术可以在DevOps管道的概念下找到。Kubernetes拥有丰富的安全功能,需要随着时间的推移进行正确的配置和优化。所有主要的云平台也是如此。
开源选项多的好处是,它们已植入您已经使用或将使用的其他平台和工具中。Pitt用Gauntlt举例:它与各种不同的工具和流程配合使用,还可以攻击您的代码以检查已知的漏洞。
Troy Ellis是红帽资深解决方案架构师,他解释了如何使用Ansible处理勒索软件事件并恢复系统。他建议按照以下步骤操作:
隔离机器。
创建加密文件系统的备份,以便在以后可能进行恢复时转移到可移动介质上。
从已知的良好系统备份或快照中擦除和还原系统。
扫描已恢复的系统以查找恶意软件、病毒或其他漏洞。
恢复系统以达到完全操作状态。
根据您的需求,还有许多其他工具和脚本可以使用,例如Open Web Application Security Project(OWASP)Dependency-Check工具。有些工具相对较广泛,而有些则更具体。例如,如果您正在使用Kubernetes容器,可以查看类似kube-hunter的开源工具,以自动对群集进行渗透测试。
当然,还有商业选项,以及已经使用的平台内置的安全工具,无论是公有云、编排器还是其他技术。
得到的奖励值得努力
“将安全自动化纳入软件开发的好处绝对超过了困难,”Pitt说,“此外,一旦添加了这些工具,它们就一直在那里,一次就搞定。”
再次提醒,从高度手动的安全计划转变为安全自动化不是一夜之间的事情。渐进式的进展是一个好迹象,尤其是在试图在一个无限(以好的方式)的项目背景下交付短期成果时。
这是IT架构师发挥所长的另一个地方,因此,即使安全不是您工作描述中的首要任务之一,也请将其视为另一个战略领导和职业发展机会。这不仅仅是将一些工具放入软件管道中,而是一种长期的承诺和思维方式,架构师可以推动需要的协作文化,使安全自动化得以实现。
上一条:为什么今年必须考虑安全自动化?
下一条:安全自动化_需要考虑的四大要素