终端设备和网络事件“自动化响应”到底有多么棘手？

很多企业都部署了自动化系统来预防、检测或调查安全威胁事件，但是实现网络系统和终端设备的事件响应以及威胁缓解的自动化仍是目前一个非常棘手的问题。

实现事件响应的自动化

这里所谓的事件响应及威胁缓解自动化，指的是自动恢复终端设备的系统、将设备从企业网络中自动隔离、或是停止特定的网络进程以快速有效地对攻击事件进行响应。这种自动化的应急响应机制在未来是非常有潜力的，但是在它能够得到广泛采用之前，我们还有很多棘手的问题需要去解决。

首先，企业还需要积累安全自动化工具的使用经验，并深入理解这些工具的运行机制，这样他们才能清楚这些工具的优势与劣势。但是如果想要实现完整的自动化事件响应，可能还需要三到五年的时间才能变为现实。

实际上，有些安全研究人员已经在这个方面进行过许多尝试了。如果每一次遇到的都是相同的威胁指标，那么安全分析师从自动化工具或机器学习算法那里所得到的操作建议都会是相同的，然后我们只需要点击“确认”按钮再进行下一步操作就可以了。但是如果同样的操作我们要进行500次或1000次的话，那么我们完全可以将这个过程自动化实现，这样就可以让安全分析人员将注意力放在一些更加困难或复杂的事件上了。

而企业同样可以在不使用机器学习系统的情况下实现这种事件响应的自动化，但前提是他们必须有自己公司的事件响应规范化流程，也就一种能够指导技术人员完成事件响应的手册。我们只需要拿出这份手册，选择一款安全自动化工具，然后通过测试来确定手册中有多少事件响应的步骤是否可以自动化完成的。这是一种非常有效的方法，这样我们就可以确定一款工具是否真的适用于我们的企业环境，以及它可以给我们提供多大的帮助。哪怕它只能实现部分操作步骤的自动化，那也可以提高我们的工作效率。

比如说你企业的终端设备感染了恶意软件，而根据响应手册的内容，你需要进行50步操作才可以清除这个恶意软件，这肯定会消耗你大量的时间。但是，如果其中80%的步骤可以自动化完成的话，那么你可以想象一下这将会给你的安全团队节省下多少的时间?如果你能做到的话，自动化所带来的价值将是不可估量的。

投资公司Scale Venture Partners的高管Ariel Tseitlin表示，他现在在决定投资哪一家安全初创企业之前，主要考虑的是这家公司是否已经准备好去接受并实现自动化事件响应技术。他认为，就安全成熟度这一点来看，不同的企业所处的阶段是不一样的。如果你从来没考虑过事件响应这个过程，那么讨论自动化想必就为时尚早了。首先你要做的就是整理出企业所面临的风险和威胁，以及你的安全控制方法，然后你才可以去考虑具体的事件响应步骤。但是当你已经考虑周全之后，自动化肯定是部署事件响应方案的最有效方法。

清理终端设备

自动化在终端设备上最早的使用是对恶意文件进行删除或隔离以避免其对设备造成损害。现在，几乎每一台PC上都安装了某种形式的反病毒产品，而且很多企业也采用了基于行为的恶意软件检测方案来发现新的威胁。

如果想要与恶意软件进行斗争，手动响应肯定是来不及的，因为恶意软件可以在短时间内迅速损坏我们的设备，甚至还可以扩散感染同一网络系统中的其他设备。但是，如果用户点击了一条恶意链接或打开了一个恶意文件，而此时他所感染的恶意软件又能够躲避所有反病毒产品的检测，那我们该怎么办呢?

常见的处理步骤就是保存设备系统的副本以便之后对其进行取证分析，擦除设备数据，然后用备份文件将系统恢复至之前干净的状态。完成这些操作之后，用户应该去接受一些反钓鱼培训，以避免同样的事情再次发生。

其实，某些企业实现这种自动化处理过程要轻松得多。有些企业采用了完整的虚拟桌面系统，从本质上来说，他们所使用的桌面系统永远是新的，因为物理设备只是用于托管虚拟桌面的主机而已。同样的，如果一家企业的员工使用的是类似Office365这样的云平台工作，并且将所有的工作文档都存储在云端或公司服务器中，那么恢复系统也是非常简单的。

无论是上述哪一种情况，丢失有价值文件的风险都是非常小的，就算员工一不小心感染了恶意软件，我们也能最大程度地降低它们所带来的损失。

但是对于那些重度脑力工作者来说，这个方案也许就不可行了。比如说某个在营销部门工作的人，他每天都要处理新的广告文案或PPT演示文件，而很多资料都保存在本地计算机中。这也就意味着，当他每天上班时面对的都是一台新的设备，这将给他们带来多大的不便，因此很多企业一直都不愿意采取这种方法。

隔离威胁

另一种常用的自动化缓解方案就是将受感染的设备从网络系统中隔离出来。你可以不擦除设备中的数据，而且它们也不会进一步感染网络系统中其他的主机设备。但如果你想做到这一点，那么就不只是采取终端保护技术那么简单了。

隔离设备需要涉及到网络访问控制，如果你在受感染设备与企业网络之间部署了网络访问控制系统，那么当你的设备受感染之后，它会自动将该设备从网络中隔离出去。

但是对于一个大型组织而言，这种系统的部署过程很可能非常的困难，因为负责设置网络的是一个部门，而负责管理终端设备的又是另一个部门。这就需要合作了，但部门之间的合作并没有我们想象的那么简单。

除此之外，我们还要确定到底有多少设备需要进行隔离。如果我只用隔离一个系统，那就很简单了。但是如果我现在需要处理一大堆的系统，那么情况就非常复杂了。

智能网络

现在，市场给我们提供了大量能够检测网络可疑活动的工具。当你发现企业营销部门有人在进行网络扫描，而这按理来说是不应该发生的，那么你就需要隔离这个系统。或者说，当你发现有系统正在与公司的命令控制服务器进行非法的信息传输，那么你可以从系统层或网络层切断它们的链接。这是很常见的处理方法，很多公司也正在这样做。

但是我们所面对的网络攻击越复杂，自动化响应也就会越困难。虽然困难，但这并不意味着网络厂商没有进行过尝试。如果你参加了上一届RSA大会，那么你就会发现很多网络安全厂商都在展示自己的自动化产品，有的产品可以自动化检测网络攻击的发生，而有的则能够自动化响应这些攻击，但是安全专家们意见的分歧就在于这种事件响应的自动化实现到底是不是一个好主意。

有些人担心，在没有人类参与的情况下采取行动，尤其是当一个系统没有得到100%确认时贸然采取措施的话，这样不仅会妨碍企业的正常运转，而且还有可能造成意想不到的后果。但也有其他的人认为，攻击者的行动实在是太快了，所以我们需要自动化工具来帮助我们抵御网络攻击。有的公司还表示，如果自动化工具的误报率(假阳性)过高，那么他们宁愿将警报信息交给安全分析师来进行手动响应。

但幸运的是，由于科学技术的不断进步，我们的安全分析专家所能处理和监控的内容相比几年前已经提升了很多，这无疑是一个好消息。但坏消息就是，我们无法确定自己是否能够跟得上攻击者创新的脚步。

作者：Alpha_h4ck
来源：51CTO