網(wǎng)絡(luò )威脅的發(fā)展超過(guò)了安全團隊的適應速度。來(lái)自數十個(gè)安全產(chǎn)品的海量數據也超過(guò)了安全團隊的處理能力。而且預算和人才短缺也限制了安全團隊的快速發(fā)展。
問(wèn)題是,網(wǎng)絡(luò )安全團隊如何在處理日益復雜的攻擊矢量的同時(shí),提升擴展能力,并將數據泄露的風(fēng)險降至最低?
答案就是自動(dòng)化。
自動(dòng)化與安全
根據Radware的2017-2018年全球應用及網(wǎng)絡(luò )安全報告 http://images.global.radware.com/Web/Radware/%7b47ac4a1d-9899-46b2-81fa-98358875037f%7d_ExecutiveReport_FINAL_compressed_CN.pdf,80%的企業(yè)稱(chēng),在2017年曾遭遇了某種形式的基于網(wǎng)絡(luò )或應用的網(wǎng)絡(luò )攻擊。該報告還指出,2017年,零日惡意軟件、僵尸網(wǎng)絡(luò )和脈沖式攻擊的使用也有大幅增加,這些都是自動(dòng)化攻擊矢量。
數字是不會(huì )說(shuō)謊的。網(wǎng)絡(luò )犯罪分子越來(lái)越精明,他們的攻擊也越來(lái)越自動(dòng)化。此外,隨著(zhù)自動(dòng)化網(wǎng)絡(luò )攻擊的出現,在保護敏感數據安全時(shí),基于速率或手動(dòng)調整的防護措施等傳統的DDoS緩解方法明顯都已過(guò)時(shí)。
現在,IT企業(yè)面臨著(zhù)高級持續性威脅,這些威脅不是由人類(lèi)發(fā)起的,而是自動(dòng)化的機器人程序。安全人員無(wú)法應對這些持續不斷的猛烈攻擊,也無(wú)法跟上即將到來(lái)的海量威脅容量。利用基于規則的事件關(guān)聯(lián)的老舊DDoS緩解解決方案在24小時(shí)內就可以生成數千條警報。情況好的時(shí)候,一個(gè)SOC也只能調查其中的約100個(gè)。
此外,他們也無(wú)法快速有效地做出手動(dòng)處理這些攻擊的決策。研究表明,現在在某些情況下,機器學(xué)習僵尸網(wǎng)絡(luò )能夠掃描網(wǎng)絡(luò )中的漏洞,并在20秒內成功突破其防御系統。
這就是自動(dòng)化成為網(wǎng)絡(luò )安全中強有力組成部分的原因。為了對抗即將到來(lái)的威脅的沖擊,企業(yè)必須雇傭一支實(shí)力和老練程度相當的團隊。
攻擊者如何利用自動(dòng)化
網(wǎng)絡(luò )犯罪分子將自動(dòng)化和機器學(xué)習作為武器,創(chuàng )建了越來(lái)越難以捉摸的攻擊矢量,同時(shí),物聯(lián)網(wǎng)(IoT)也已被證實(shí)是推動(dòng)這一趨勢的催化劑。IoT是許多新型自動(dòng)化機器人程序和惡意軟件的發(fā)源地。
最重要的就是越來(lái)越復雜的僵尸網(wǎng)絡(luò ),已經(jīng)成為在企業(yè)網(wǎng)絡(luò )中胡作非為的高度自動(dòng)化且致命的數字軍隊。例如,在發(fā)動(dòng)攻擊之前,黑客已經(jīng)可以利用僵尸網(wǎng)絡(luò )進(jìn)行早期的漏洞利用和網(wǎng)絡(luò )偵察。
因應用在2016年針對DNS提供商Dyn的攻擊中而聞名的Mirai僵尸網(wǎng)絡(luò )及其后續的變體,也體現了其中的許多特征。該僵尸網(wǎng)絡(luò )利用了臭名昭著(zhù)的水刑攻擊,可以在DNS基礎架構上生成隨機域名。隨后出現的變體采用了自動(dòng)化,使得惡意軟件可以實(shí)時(shí)生成惡意查詢(xún)。
現代惡意軟件是一個(gè)同樣復雜的多矢量網(wǎng)絡(luò )攻擊武器,可以利用一系列規避工具和偽裝技術(shù)躲避檢測措施。黑客可以利用機器學(xué)習創(chuàng )建能夠擊敗惡意軟件防御系統的自定義惡意軟件。其中一個(gè)例子,是可以繞過(guò)黑箱機器學(xué)習模型的生成式對抗網(wǎng)絡(luò )算法。在另一個(gè)例子中,一家網(wǎng)絡(luò )安全公司采用了Elon Musk的OpenAI框架 ,創(chuàng )建一些緩解解決方案無(wú)法檢測到的惡意軟件。
檢測和緩解措施自動(dòng)化
因此,網(wǎng)絡(luò )安全團隊該如何提高其處理這些日益多樣化的網(wǎng)絡(luò )攻擊的能力呢?并以以其人之道還治其人之身。自動(dòng)化網(wǎng)絡(luò )安全解決方案就提供了可以緩解這些高級威脅的數據處理能力。
高管清楚地了解這一點(diǎn),并準備利用自動(dòng)化的優(yōu)勢。根據Radware的最高管理層視角:網(wǎng)絡(luò )攻擊趨勢、安全威脅及業(yè)務(wù)影響報告,大多數高管(71%)稱(chēng),他們將更多的網(wǎng)絡(luò )安全預算轉移到了采用機器學(xué)習和自動(dòng)化的技術(shù)上。保護日益多樣化的基礎架構的需求、網(wǎng)絡(luò )安全人才的短缺以及越來(lái)越危險的網(wǎng)絡(luò )威脅都是造成這一財政政策轉變的主要因素。
此外,信任因素也在增加。該報告指出,在保護企業(yè)免受網(wǎng)絡(luò )攻擊侵擾時(shí),與人工相比,40%的高管更信賴(lài)自動(dòng)化系統。
傳統的DDoS解決方案采用了速率限制和手動(dòng)特征碼生成來(lái)緩解攻擊。速率限制可能有效,但也可能帶來(lái)大量的誤報。因此,手動(dòng)特征碼就可以用來(lái)攔截攻擊型流量,減少誤報數量。此外,由于只有在攻擊開(kāi)始后才能識別攻擊型流量,因此手動(dòng)特征碼的創(chuàng )建需要時(shí)間。現在,機器學(xué)習僵尸網(wǎng)絡(luò )可以在20秒內突破防御系統,因此這種手動(dòng)策略也起不到什么作用了。
自動(dòng)化,尤其是機器學(xué)習,可以通過(guò)自動(dòng)生成特征碼并根據不斷變化的攻擊矢量調整防護措施的方法克服手動(dòng)特征碼生成和速率限制防護措施的缺陷。機器學(xué)習利用了先進(jìn)的數學(xué)模型和算法來(lái)查看基本網(wǎng)絡(luò )參數,評估網(wǎng)絡(luò )行為,自動(dòng)生成攻擊特征碼并調整安全配置和/或策略,進(jìn)而緩解攻擊。機器學(xué)習將企業(yè)DDoS防護策略從手動(dòng)、基于比率和速率的防護措施轉變成了基于行為分析的檢測和緩解措施(見(jiàn)圖1)。
圖1:機器學(xué)習將DDoS防護模型從左向右移動(dòng)
自動(dòng)化是網(wǎng)絡(luò )安全的未來(lái)。由于網(wǎng)絡(luò )犯罪分子變得更精明,并且越來(lái)越多地依靠自動(dòng)化來(lái)實(shí)現他們的惡意目的,自動(dòng)化和機器學(xué)習就將成為網(wǎng)絡(luò )安全解決方案的基石,用以有效應對下一代攻擊的沖擊。它將幫助企業(yè)提高擴展網(wǎng)絡(luò )安全團隊的能力,最小化人工錯誤,保護數字資產(chǎn),從而確保品牌聲譽(yù)和客戶(hù)體驗。
關(guān)于Radware
Radware是為虛擬數據中心和云數據中心提供應用交付和應用安全解決方案的全球領(lǐng)導者。Radware屢獲殊榮的解決方案為關(guān)鍵業(yè)務(wù)應用提供充分的彈性、最大的IT效率和完整的業(yè)務(wù)靈敏性。Radware解決方案幫助全球上萬(wàn)家企業(yè)和運營(yíng)商快速應對市場(chǎng)挑戰,保持業(yè)務(wù)的連續性,在實(shí)現最高生產(chǎn)效率的同時(shí)有效降低成本。
