网络威胁的发展速度超出了安全团队的适应能力。来自数十种安全产品的数据激增速度超过了安全团队处理数据的能力。预算和人才短缺限制了安全团队快速扩张的能力。
问题是网络安全团队如何提高扩展和最小化数据泄露的能力,同时处理日益复杂的攻击向量?
答案是自动化。
自动化与安全****
根据 2017-2018 年 全球应用和网络安全报告,五分之四的组织报告称在 2017 年面临某种形式的基于网络或应用的网络攻击。根据同一份报告,零日恶意软件、僵尸网络和突发攻击——都是自动化攻击向量的典型例子——在 2017 年的使用量显着增加。
数字不会说谎。网络犯罪分子变得越来越精明,他们的攻击越来越自动化。此外,很明显,传统的 DDoS 缓解方法(例如基于速率或手动调整的保护)是过时的解决方案,用于在自动网络攻击之后保护敏感数据。
IT 组织现在面临高级持续威胁,这些威胁不是由人类攻击者发起,而是由自动机器人发起。安全人员无法应对这些激烈、持续的攻击,并且无法跟上大量传入的威胁。利用基于规则的事件关联的传统 DDoS 缓解解决方案可以在 24 小时内生成数千个警报。在好的一天,一个 SOC 只能调查大约一百个。
此外,他们做出快速且有影响力的决策以手动解决攻击的能力同样低效。研究表明,机器学习僵尸网络现在能够在某些情况下扫描网络中的漏洞并在不到 20 秒的时间内成功突破其防御。
这就是为什么自动化正在成为网络安全中如此强大和有效的组成部分。为了应对即将到来的威胁的冲击,组织必须使用一支实力相当、成熟度相当的军队。
攻击者如何利用自动化****
网络犯罪分子正在将自动化和机器学习武器化,以创建越来越规避的攻击向量,而物联网 (IoT) 已被证明是推动这一趋势的催化剂。物联网是许多新型自动化机器人和恶意软件的诞生地。
最前沿的是僵尸网络,它们是越来越复杂、致命和高度自动化的数字化军队,在公司网络上肆虐。例如,黑客现在利用僵尸网络在发动攻击之前进行早期利用和网络侦察。
Mirai 僵尸网络因其在2016 年对 DNS 提供商 Dyn 的攻击而闻名,其后续变体体现了许多这些特征。它利用臭名昭著的 Water Torture 攻击在 DNS 基础设施上生成随机域名。后续变体使用自动化来允许恶意软件实时制作恶意查询。
现代恶意软件是一种同样复杂的多向量网络攻击武器,旨在使用一系列规避工具和伪装技术逃避检测。黑客现在利用机器学习来创建自定义恶意软件来击败反恶意软件防御。一个例子是可以绕过黑盒机器学习模型的生成对抗网络算法。在另一个例子中,一家网络安全公司采用了 Elon Musk 的 OpenAI 框架来创建缓解解决方案无法检测到的恶意软件形式。
检测和缓解自动化****
那么网络安全团队如何提高应对这些日益多样化的网络攻击的能力呢?以火扑救。自动化网络安全解决方案提供了数据处理能力来缓解这些高级威胁。
高管们清楚地了解这一点,并准备好利用自动化。根据 Radware 的C-Suite Perspectives: Trends in the Cyberattack Landscape, Security Threats and Business Impacts,绝大多数高管 (71%) 表示将更多的网络安全预算用于使用机器学习和自动化的技术。保护日益多样化的基础设施的需求、网络安全人才的短缺和日益危险的网络威胁被认为是这一财政转变的主要驱动力。
此外,信任因素正在增加。根据同一份报告,十分之四的高管比人类更信任自动化系统来保护他们的组织免受网络攻击。
传统的 DDoS 解决方案使用速率限制和手动签名创建来缓解攻击。速率限制可能是有效的,但也可能导致大量误报。因此,然后使用手动签名来阻止违规流量,以减少误报的数量。此外,创建手动签名需要时间,因为只有在攻击开始后才能识别违规流量。由于机器学习僵尸网络现在可以在不到 20 秒的时间内突破防御,这种动手策略是不够的。
自动化,更具体地说是机器学习,通过自动创建签名和使保护适应不断变化的攻击向量,克服了手动签名创建和速率限制保护的缺点。机器学习利用先进的数学模型和算法来查看基线网络参数、评估网络行为、自动创建攻击签名并调整安全配置和/或策略以减轻攻击。
自动化是网络安全的未来。随着网络犯罪分子变得越来越精明并越来越依赖自动化来实现他们的恶作剧目标,自动化和机器学习将成为网络安全解决方案的基石,以有效对抗来自下一代攻击的冲击。它将允许组织提高扩展网络安全团队的能力,最大限度地减少人为错误并保护数字资产,以确保品牌声誉和客户体验。
