網路安全自動化的 4 種應用方式
現代網路攻擊已高度自動化。如果 組織嘗試以手動方式防禦這些攻擊,這場戰鬥就會變成人與機器的對戰,對組織非常不利。為了成功防禦自動化攻擊,將自動化融入網路安全工作中,以火攻火是非常重要的,在這種情況下,也就是以機械對機械。自動化讓競爭環境更公平、減少威脅的數量,並能更快速地防護新的和先前 未知的威脅。
許多安全供應商將自動化視為提高效率的方法,以及節省人力或員工的手段。儘管如此,自動化也應該被視為一種工具,可以而且應該用來更好地預測行為和更快地執行防護措施。如果實作得宜並使用正確的工具,自動化可協助預防成功的網路攻擊。以下是四種應該使用自動化的方式:
1.相關性資料
許多安全供應商收集大量的威脅資料。然而,除非將資料組織成可執行的下一個步驟,否則資料所提供的價值不大。為了有效地做到這一點,組織首先需要收集所有攻擊媒介的威脅資料,並從自身基礎架構內的安全技術,以及基礎架構外的全球威脅情報中收集威脅資料。
然後,他們需要在大量資料中辨識出行為類似的威脅群組,並利用這些資料來預測攻擊者的下一步。使用這種方法時,收集的資料越多,結果就越準確,也降低了所識別的群組只是異常的可能性。因此,分析也必須具備足夠的運算能力,才能大規模擴充現今的威脅數量 - 這是手動無法做到的。機器學習和自動化讓資料排序更快、更有效、更精準。最後,將這種方法與動態威脅分析結合,是精確偵測複雜且前所未見的威脅的唯一方法。
2.以比攻擊擴散更快的速度產生防護措施
一旦識別出威脅,就需要以比攻擊蔓延至整個組織網路、 端點、 或雲端更快的速度建立並發佈防護措施。由於分析會增加時間上的懲罰,因此阻止新發現攻擊的最佳地點不是在發現攻擊的地點,而是在攻擊預測的下一步。手動為不同的安全技術和執行點建立一整套能夠對抗未來行為的保護措施,是一個冗長的過程,不僅進度緩慢,而且在環境中相關性不同的安全供應商,以及沒有適當的控制和資源時,也是非常困難的。自動化可以加快建立防護的程序,而不會造成資源緊張,同時又能跟上攻擊的步伐。
3.實作防護的速度比攻擊進展的速度更快
一旦建立了防護措施,就需要實作以防止攻擊在其生命週期中進一步發展。防護措施不僅要在發現威脅的地點執行,也要在組織內的所有技術中執行,以針對攻擊的目前和未來行為提供一致的防護。在分發防護措施時利用自動化,是比自動化且協調良好的攻擊行動更快,並阻止攻擊的唯一方法。透過自動化、大資料攻擊順序及自動產生和發佈防護措施,您能更準確地預測未知攻擊的下一步,並快速採取行動加以預防。
4.偵測網路中已存在的感染
當威脅進入網路的那一刻,計時器就會開始倒數,直到它變成入侵為止。要在資料離開網路前阻止攻擊,您必須比攻擊本身行動得更快。為了識別受感染的主機或可疑行為,您必須能夠分析環境中的資料,從時間上向前向後,尋找顯示環境中主機已被感染的行為組合。與分析嘗試進入網路的未知威脅類似,手動將整個網路、端點和雲端的資料相關性並進行分析,難以大規模進行。自動化可加快分析速度,若網路中的主機受到攻擊,也可加快偵測和介入。
攻擊者利用自動化快速移動,以驚人的速度部署新的威脅。跟上並有效防禦這些威脅的唯一方法,就是將自動化作為網路安全工作的一部分。 下一代安全平台 可快速分析資料,將未知的威脅轉化為已知的威脅,建立攻擊 DNA,並透過組織自動建立以及強制執行一整套保護措施,以阻止攻擊生命週期。