网络安全自动化：分析过程自动化策略

前 言

在网络安全分析中，常见的场景是网络分析师人工对网络中的数据进行分析和决策，这种分析方式在当下大数据时代是十分局限的。通过一些自动化设计，如一致、快速和重复执行条件逻辑等，可以使得整个网络安全分析过程自动化。因此实现过程自动化对于实现分类和优先级任务来说是必不可少的，使分析师可以快速关注与最大风险相关的信息和事件。

本文将主要介绍分析自动化的相关背景，自动化策略的基本方法及策略中的相关信息源，使读者可以对分析过程自动化策略有相应的了解。本文内容主要参考了文献[1]。

背 景

随着我国计算机网络技术应用领域的不断扩大，网络安全问题也逐渐成为人们关注的重要话题。计算机网络中包含了数以万计的接入点和成千上万的服务器、电缆连接，具有复杂和庞大的特点。一旦受到攻击，企业、个人或国家遭受的损失将会是非常大的。除此之外，通过互联网来进行网络信息窃取和毁坏也逐渐成为现在网络安全所必须要面临的问题。因此我们必须要采取有针对性的安全措施来对这些网络安全问题进行防范和消灭，只有这样互联网的风险才能够得到降低，用户的数据安全才能够得到更好的保障。但传统的网络监管，仅仅依靠网络安全分析师人工对网络中存在的安全威胁进行分析和处理已经逐渐不能满足当下大数据时代下的网络安全分析要求。

自动化技术在我国交通运输、工业、科学研究等领域都得到了非常广泛的应用，不仅能够提高劳动生产率，还能够将人从简单重复的工作中解放出来。因此将自动化技术应用于网络安全分析中显得十分必要，通过使用自动化技术，从而加强对网络安全的监管力度。

在网络安全防护中，需要保护计算机网络数据的完整性和保密性。当有病毒或者非法入侵现象发生的时候，要保证相关资料和数据安全。此外，一个科学的网络安全管理策略对于加强对网络风险的管理力度是十分有必要的，要包含攻击和入侵的检测和防御、网络安全相关的规章制度、病毒防范、防火墙配置、网络安全评估、网络监测设置等一系列内容，以应对随时可能面临的各种各样的安全问题，比如：系统攻击、物理威胁等。

当以上防护措施全部由安全分析师人工来进行分析处理时，其中一些无用的数据或者是一些简单的处理决策会大大浪费分析师的时间和精力，使之不能快速关注与最大风险相关的信息和事件。因此设计一个分析过程自动化策略来解决以上问题，使安全分析师摆脱那些无用和简单的任务处理，提高分析效率是十分有必要的。

基本方法

自动化策略的思路是确定安全操作，进而允许其根据本地风险策略以自动的方式处理警报、事件或外部提供的网络威胁情报。关键在于要尽可能多、尽可能快地确定不需要分析师调查的事件。因此这里有三个需要考虑的问题：

• 什么样的信息是必要的?
• 在什么条件下定义并批准完全自动化的响应?
• 依据什么特点来确定事件的优先级?

通过以上考虑从而使自动化策略丢弃不相关事件信息，执行自动化的响应操作，为分析人员提供自动化的建议以进行审查。

什么样的信息是必要的。在安全策略中我们首先要十分明确什么样的信息是必要的，从而根据这些信息来确定某个事件是不相关的或假阳性的，通过自动化决策逻辑自动丢弃或不显示相应的事件信息，为自动化分析人员节省时间和资源。例如，在由安全供应商实现的阻止列表中显示的折衷指示符(IOC)，或来自入侵检测系统(IDS)的警告，这些信息都说明存在试图对Linux资产进行的攻击，也即为我们所说的必要信息。

在什么条件下定义并批准完全自动化的响应。对于许多活动的威胁，响应的操作值直接与检测和响应的速度有关。能够处理更多警报和事件，并快速识别何时满足授权自动响应的条件，是防范这些威胁的关键步骤。例如，当一个可靠的源将其标记为恶意软件时，阻塞来自IDS警报的IOCs，该警报符合威胁标准，满足定义和批准完全自动化响应的条件。自动化可以有效地为分析师审查或批准构建丰富的凭据。凭据可以包含预先批准的建议、用于提出建议的信息，甚至还可以包含执行响应的代码。以前的经验表明，尽管不是完全自动化的，但使用自动化来推荐分析师审查和批准的响应会提高操作效率。随着时间的推移，可以确定完全自动化响应的条件。

依据什么特点来确定事件的优先级。使用与签名关联的严重性评级或资产的临界级别来确定事件的优先级。当前的大多数传感器配置、过滤器以及操作分析，都旨在识别高优先级警报或事件。将流程自动化，使其在最后而不是一开始就实现此逻辑，使设备能够处理更多的警报和事件，并将分析人员的注意力集中在调查和降低最高风险项上。

主要的，权威的和确证的信息源

通常，信息的来源决定响应是否被授权完全自动化，或者需要分析师的批准。用于做出响应决策的许多条件、特征或属性并不是从单一可靠的来源获得的。确定主要信息源是非常有价值的，这些信息源始终具有对某一类型的所有对象可用的相同信息，即使该信息并不总是精确到所需的水平。通常情况下，分析人员已经知道在环境中可以使用哪些其他信息(例如，确证信息)来确定这个信息源在什么时候对一个特定的响应决策来说是足够准确的。

大多数组织已经确定了作出响应决策所需的权威信息源，但没有考虑何时使用主要信息源更合适或更合理。权威信息源很少包含对所有对象的及时洞察，因为做出更准确的判断需要额外的资源。等到相应的信息源可以获得对特定对象的洞察时，可能会延迟响应的时效性，影响有效性。因此需要考虑哪些反应决定可以依靠主要的和确证的信息源，而不是总是使用有限的或不一致的权威信息源。

对于给定的属性，这些类型的源的一个例子是使用软件管理服务器作为主要源，端点代理作为确证源，以及经过认证的漏洞扫描器的输出，作为识别易受特定漏洞攻击的资产的权威来源。

某些软件应用程序版本或补丁可能明显与某些漏洞相关联，从而使软件管理服务器信息更适合某些决策(例如，运行红帽操作系统的设备不容易受到针对Windows服务器的攻击)。有时，关于安装了特定应用程序的设备上是否存在易受攻击的库的详细信息可以从端点管理服务器获得。有时，确定资产是否易受攻击的唯一方法是通过认证扫描。

考虑主要的、权威的和确证的信息源可以让设备更有效地自动化分类和优先级决策，使之与本地策略保持一致。

小 结

实现自动化是每一个希望解决现代网络攻击速度和规模的设备的关键组成部分。这就是为什么大多数组织都向安全操作的自动化投资。在开发自动化工作流时，重要的是要知道，人工流程是为分析人员优化的。重新设计流程，利用自动化来执行分类和优先级划分，允许计算机自动处理更多的警报/事件，减少分析师参与。本文中的基本方法期望可以帮助组织开发和部署更有效的自动化操作。这种方法很容易扩展，以支持在检测和响应过程中包含更高级的分析。

参考文献

[1]《Enabling Automation in Security Operations – Strategy for Efficient Process Automation》