2021年8月,SANS发布了第三次(2021年)的自动化与集成调查报告。
SANS认为安全自动化与集成技术属于安全领域比较难的领域,但随着新冠疫情的持续,尽管安全预算受到影响,但总体上安全自动化与集成的需求呈现了较大的增长。根据报告,2021年的调研结果跟2020年相比,有较大差异,说明安全自动化与集成的应用实践进入到了新的阶段。
注意:SANS这里的自动化与集成不等于SOAR,而是更广义的安全自动化。包括SOAR、EDR、NDR、XDR、关联分析、UEBA等都属于安全自动化。
SANS的报告显示:
1)企业和组织正在转向更广泛的自动化安全运行,尤其是在自动化事件响应处理和自动化告警及防护控制方面。譬如,2020年调查报告中有58%受访者表示在未来12个月内计划对关键的安全运行或者IR流程进行自动化,而2021年调查报告中这个比例上升到了85.3%。
2)近50%的受访者认为风险处置自动化的关键过程可能会因为依赖IT运行流程和工具而受到拖累。笔者认为,这说明,一方面安全运行流程跟IT运行流程有很多需要协同的地方,两个团队必须紧密合作;另一方面这种跨职责和跨部门的流程处理始终是一个挑战,国内如此,国际上亦如此。SANS报告还特别指出了从安全和IT在职责上都十分看重但视角却各不相同的资产清点与资产管理两个关键能力。这种交叉的能力如果协调不好,就会很麻烦,自动化的水平会大打折扣。
3)报告建议客户从简单的自动化开始,逐步完善,从小的成功迈向大的成功【笔者注:这种建议是常见套路,但如何小步快跑却没有必然的成功路径】。近50%的受访者认为最基本的自动化需求是“获得实现简易自动化的通用实践和最佳实践”【笔者注:现在的人都差不多,缺的不是平台和工具,而是知识、经验和内容,对乙方而言,要及时调整投入的分布】。
2021年度的调研对象主要包括网络安全企业、银行和金融业、教育行业和技术企业,重点涵盖北美地区,也包括欧洲、亚太和非洲地区的企业和组织。同时,为了更好地度量调研对象的规模大小,不仅询问了这些单位的员工人数,还考察了这些单位的端点(包括服务器和终端)数。经统计,本调研对象的端点数主要分布在100~5000这个范围内。【笔者注:这个看终端数来衡量单位大小的方式比传统的数人头的方式更贴合网络安全领域的调研分析。譬如很多制造业企业人头数很多,但端点数量不一定很多。还有的单位人不一定多,但端点数量可能很多。而端点数量多,基本上IT网络基础设施的规模就会大】
调研中,SANS发现有一些用户答复说不知道自己的单位有多少端点。SANS表示,如果你连自己有多少端点都不清楚,肯定是做不好安全自动化与集成的。资产清点是安全自动化与集成的基本前提,甚至可以说是任何安全项目的前提!
安全自动化程度
SANS报告显示,2021年度的企业和组织自动化水平大幅上升,如下图所示:
对比2020年和2019年的如下:
可以发现,自认为自动化水平为高(意指关键的安全和响应流程广泛自动化)的比例从2020年的9%飙升到2021年的33.9%,中等级别比例也上升到了48%。SANS认为这个迹象表明某些流程的自动化和集成已经成熟。
照例,SANS进一步调研了三个核心领域(安全运行中的事件/告警处理、事件响应处理、网络暴露面缓解)的自动化水平,如下图所示:
对照一下2020年的三个核心领域自动化水平图如下:
可以发现,三个领域的自动化水平都有明显提升。
SANS建议客户在拥抱自动化的时候,可以优先考虑从上述三个领域入手。
如何落地自动化技术?
2021年的调研显示,跟2020年相比,用户在考虑如何落地自动化的问题上发生了较大变化,从外购自动化工具为主转向了自建和寻求MSSP的委托方式。
为何会有这种变化?SANS的报告并未深入分析。笔者认为,有一点可以估计的是,国外随着云计算的普及应用,以云SaaS和服务的形式交付安全自动化的场景会越来越多,使得寻求MSSP的可能性增加。
投资与预算
下图对比展示了2020年和2021年的调研结果:
可以发现,在2021年调研时,用户对于安全自动化投资占整个安全预算的比重更加清晰了,2020年有超过40%的人不知道当时的占比,也不知道未来12个月的预期占比。同时,2021年的调研显示客户对安全自动化的投资已经越来越认为是理所当然的了。占比3%~4%是最多的一档,对未来12个月的占比预期也都比现在要高,说明未来占比还会继续提升。总之,原来客户对自动化还存在疑虑和不确定性的话,那么现在对其前景更加明确和看好了。
进一步地,在询问影响预算决策的因素时,2021年的调研结果与2020年也有较大差异。如下图是2021年的:
下图则是2020年和2019年的:
可以发现,以前更多的是认为跟人、跟管理、跟工具相关。而到了2021年,则变成了“建立围绕使用自动化的有效政策”,“确保当前企业和组织中使用的各种工具和技术之间的互操作性”,人的因素排到了次要的位置。笔者认为,这说明,对于自动化,客户已经从观望状态进入实操状态了,只有下场干起来,就会发现互操作性的重要性,否则自动化落不了地。而只有实际干起来,就会发现企业和组织对自动化的导向机制很重要。
上马安全自动化的的基本需求
如下图所示:
可以看出,排在前三位的是:
1)获得实现简易自动化的通用实践和最佳实践:客户想先从简单的自动化开始,看看业界有没有什么现成可行的实践和经验,有效的场景,先引入和借鉴,再慢慢自己深化;
2)将围绕安全运行的工作流程和策略执行过程自动化:需要运行相关团队之间的密切协作;
3)提升运行团队和外部的利益相关者之间的信息交换水平:提升整体的安全可见性。
有意思的是,对比2020年的调研报告,前三项需求变化也不小:
如上图所示,在2020年,只有“将围绕安全运行的工作流程和策略执行过程自动化”还居于前三,其他两个完全不一样,甚至当时排名都倒数。
自动化与集成的价值点(目标)的满意度评估
如下图所示,显示了安全自动化的14个价值点(目标)的2021年度满意度评估情况:
对比一下2020年对这14个价值点的满意度评估:
可以发现,两次的评估结果差异较大。主要原因并不是原来满意度高的降低了,而是一些原来满意度低的价值点现在满意度大幅提升了(当然,总体满意度提升了),尤其是满意度排名前四的价值点发生了较大变化。2021年的前四整体满意度价值点依次是:持续监测、提升对基础设施监测的可见性、通过与威胁情报的集成提升早期威胁预警能力、利用好企业和组织当前在用的各种安全工具。
SANS提醒读者,要关注那些满意度低的价值点,譬如消除告警疲劳、提升内部安全事件的处置能力、制定可以一致和精确执行的IR规程、减少检测/响应/修复的时间、告警优先级研判,等等。这些都是我们已知的安全运行过程中的难点和顽疾,客户寄希望于安全自动化与集成能够改善这些问题,但目前收效还不显著。笔者认为,安全自动化与集成是能够改进这些问题的,但还需要时间(梳理流程、更好的场景和剧本设计、更好的技术进入与集成)。
实施安全自动化与集成项目的风险
下图展示了受访者认为的做安全自动化可能会面临的主要风险排序:
对比去年的调研结果:
可以发现客户对自动化项目成败的风险越来越务实,原来排位较高的资源约束、跨部门政治等问题的风险都下降了,突出的风险聚焦在:风险处置自动化的关键过程可能会因为依赖IT运行流程和工具而受到拖累,实现工具厂商默认没有提供的跟客户自身业务相关的自动化场景所需的技能缺失,供应商的技术和工具缺乏开放性以至无法获得想要的数据。笔者认为,这些风险都很现实,只要是在自动化项目的实操中就会遇到。
针对第一个风险,SANS表示,协作是自动化设计成败的关键。运行相关的团队一定要紧密协作,共同设计出安全自动化的流程和剧本,将各自的工作职责有机的连接(协同)起来,而不要各自为战。
总结
SANS总结到,正如调研报告显示的,自动化的挑战不仅仅是来技术的:
1)既要理解企业和组织的需求,也要清楚自己的自动化目标。要有一个战略愿景,要认识到自动化是企业和组织安全框架的一大基础;
2)保持现实。不要在初始项目中试图实现所有自动化目标。从一个你确认能够成功的点开始做,然后不断扩展叠加,把自动化越做越大,越做越好。
3)不要低估将自动化融入您的安全文化的必要性——这不仅与策略有关,而且与利益相关者有关。尽力利用自动化来提高整个企业和组织的可见性和沟通水平,让相关者都了解安全部门正在采取哪些措施来进行保护、检测和响应。
【笔者对报告的读后体会小结】
1)安全自动化(尤其是SOAR)获得的关注和应用越来越多,去年是观战(看别人怎么做)为主,今年则有更多的人实战(上马SOAR项目)起来了。安全自动化是安全体系必不可少的一环,客户的战略和规划中必须有所体现,是时候开始进行试点了。
2)安全自动化还不够成熟,客户在试点此类项目时,还需小心谨慎,从一些基础的自动化做起,从告警处置、响应处置做起,充分借鉴自己或者业内同行的已有的得失、经验和教训,少走弯路,小步快跑,迭代演进。
3)要做好自动化,一定要梳理安全运行的流程,梳理流程环节中涉及到的不同部门岗位的人员的协作关系。一方面,流程是基础,是落地好自动化的前提,另一方面,通过自动化也能反过来促进流程的梳理和改进,二者是相辅相成的。
4)人永远是安全建设成败的关键,安全运行如此,安全自动化亦是如此。自动化不是取代人,是让人更强大更高效。自动化条件下的安全运行对人提出了更高的技能要求。
【参考】
Ponemon调研报告揭示安全自动化和AI的价值定位以及与人的关系
SANS最新报告
声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。