2020年5月,SANS发布了2020年度(也是第二次)自动化与集成的调研报告。
这次的报告的受访者相较于去年翻番还多,参与者更加踊跃。同时,受访者更多是一线运维人员,管理层人员有所减少,因此报告调研结果更接地气。
报告显示,用户对安全自动化与集成的兴趣日益浓厚,加大了这方面的投入和预算,以期通过改进的流程来提升运维人员和组织的效率。
整体来说,SANS开启自动化与集成的调研,目的在于回答以下三个问题:
1)你的单位跟上当前威胁发展的形势了吗?
2)你的单位依然靠手工流程来运维/运行/运营吗?
3)你的单位还在因为缺少资源、工具和预算而挣扎吗?
针对2020年的调研,SANS还着重聚焦了另外两个问题:
1)自动化和集成对改进安全运维起了多大帮助作用?
2)如果没有,那么该怎么办?理想和现实的差距有多大?如何弥合这个差距?
为此,在2020年的调研问卷中,SANS新增了12个问题,并设计了更多的主观题(开放式回答,而非选择题)。
通过与2019年的报告对比分析,SANS形成了如下关键发现:
1)采用了专门的安全自动化工具的客户比上一年增长了11.8%,预算也增长了3~10%;
2)相较于过去的项目,用户对现在的自动化与集成项目的信心普遍下降;
3)用户越来越重视提升安全运营的项目,而非部署FW或者IDS;
4)自动化不会减少对人的需求,相反还有增加的需求;
5)自动化的预算更多了;
6)SecOps和IR的自动化越来越受到关注。
【笔者注:观察国内市场,其实也可以发现一些端倪,随着大规模网络空间安全基建的逐步到位,以及人们对于对抗和实战化的日益重视,安全运营(SecOps),包括安全响应必然越来越受到客户的重视;安全平台类系统的需求会越来越多,客户会逐渐从如何买好向如何用好转变;未来衡量安全建设水平的高低不是用了多少技术和产品,而是如何将这些技术和产品用起来的。】
这次的调研再次回顾了安全自动化的演进历史。从两次的报告可以看出,SANS的自动化和集成是一个更加宽泛的概念,并非跟SOAR的自动化范畴相对应。安全领域自动化其实很早就有了,SIEM的采集和分析属于SANS的自动化范畴,NAC的准入研判也属于SANS的自动化范畴。
笔者将SOAR中的自动化称作安全编排的自动化执行,是安全自动化的一个子集。
SANS再次重申了对于编排、集成和自动化三个概念的定义。笔者在2019年SANS报告分析中进行了介绍,在此不再赘述。这里只是再次强调一下自动化不是完全的自动化,而是尽可能的自动化。根据笔者的理解,Automation不等于Automated,Automated是自动化了的,而Automation是使什么向自动迈进。
1、安全自动化程度
通过两年对比,可以发现企业和组织的安全自动化水平总体上在不断提升(中等水平和高水平自动化比重提升,无自动化受访者减少),如下图:
进一步地,SANS分析了三个核心领域的自动化水平。SANS认为安全运行和事件及告警处理、IR处理、弱点处置(SANS称作阻断网络安全暴露)是安全自动化的三个重点目标。
可以发现,从中高级程度自动化水平线来看,目前,安全运行的自动化水平相对最高,其次是弱点处理,再次是IR处理。
这也说明,目前对于安全运营团队(secops teams)而言,安全事件和告警处理依然是工作重点,他们希望通过自动化技术来消除告警疲劳的困扰,让团队的人员工作更加聚焦于有价值的工作和更高难度的工作。
笔者稍感疑惑的是上述三个核心领域的自动化水平评估与总体水平评估的数据是怎么关联的?不过这不影响我们的结论。
2、如何落地自动化技术?
由上图可知,与上次调研相比,没有使用自动化或编排工具的用户减少了11%,说明更多的用户在使用各种方式落地自动化技术。同时,投资于特定自动化工具的用户增加了12%,说明安全自动化产品市场在兴起。此外,自建方式落地自动化技术的用户在减少(降低了5.5%),也说明了这个领域技术的迅速发展(但还不够成熟)。
3、自动化对人的影响
这个问题去年的调研也做过,但是调研问题有所不同。不过,两次调研都说明了同一个事实,即:安全自动化没有取代人,而是对人进行赋能和助力,甚至还需要增加人员。
报告显示,仅有5%的受访者预计自动化项目会导致人员减少,有49.4%的受访者预期自动化和集成项目会提升人的效率。此外,64%的受访者表示自动化项目和单位人员变化无关联。
4、自动化对流程的影响
2020年SANS重新设计了这个问题,设定了14类关键的安全运维活动和服务(流程),通过问卷获悉每种活动的自动化程度以及落地自动化的进展情况。
针对上图,可以重点关注两头。从上看,可以发现自动化水平高的活动是入侵检测、弱点管理、数据保护与监测。从下看 ,BAS(泄露与攻击模拟)、取证、威胁猎捕的自动化水平相对较低,这符合这些技术本身的发展成熟度和对人的依赖程度。
上图显示了不同活动(流程)自动化所处的主要阶段。入侵检测、弱点管理和平台健康监控是目前已经落地自动化技术程度最高的。从实施(Implementing)阶段来看,占比高的是IR、网络威胁集成、资产管理。从规划阶段(未来12个月内)看,占比高的还是IR。
总之,笔者认为,未来几年内IR是自动化的热点,这也符合人们对于SOAR的定位和预期。
5、自动化对技术工具的影响
这个调研2019年的也做过,因此可以对照着来看。
下图是2020年的调查结果:
下图是2019年的调查结果:
可以发现,两次结果差别不大。总的来说,当前自动化系统中使用最多的还是安全设备告警、SIEM关联分析,EDR、日志分析。
6、客户对未来上马自动化项目的规划
SANS调研显示,15%的受访者表示来年不计划做安全运行或者IR流程的自动化。这15%的受访者中有三分之一表示不做的原因是预算问题。而大部分(58%)受访者表示来年计划对关键的安全运行或者IR流程进行自动化。针对这些人,SANS认为:凡事预则立,不预则废。因此,SANS提出了一个自动化项目的规划建议。
1)确定什么需要自动化?哪些地方可以通过自动化来改进?譬如:
2)整理自动化需求,将需要自动化的流程进行解构,厘清需要自动化的任务(活动)。
3)向过去学习。充分吸取过去项目和别人项目的经验。
4)充满信心地规划未来。
7、上马安全自动化的的基本需求
由上图可知,首要的需求是让安全运维相关的工作流和策略执行实现自动化(56%),其次是提升威胁调查的速度和质量(47%),再次是更高效的事件关联(43%)。
SANS表示,排名前三的需求都直接跟告警和事件处理相关。其次,所有需求都涉及让分析师有更好的可见性,为事件处置提供更多的上下文/情境信息,减少告警疲劳。
笔者发现,在谈到未来的时候,人们更多关注IR自动化;但在谈到当下的时候,人们更关心告警分诊自动化。这跟笔者之前的判定是一致的。因此,我们的SOAR产品有两个核心应用场景,第一个就是告警分诊,第二个是基于案件管理的IR。
8、安全自动化给secops和IR团队带来的价值点的满意度评估
2019年,SANS投票选出了用户认为安全自动化的价值点排序。2020年SANS对这些价值点的达成情况进行了满意度评估。从评估来看,跟当初的预期还是有些不同的。SANS希望通过这个预期和实际的对比,来帮助用户调整心态,通过对过去的经验教训总结,树立一个靠谱的预期和相关价值点。
满意度排名前四的价值点是:提升可见性、告警监测与分级、减低检测/响应和修复的时间、提升团队成员在处理事件过程中的协同性。SANS认为,这个结果表明“组织已成功使用自动化和集成项目来更好地利用其安全设备(从而改善了ROI状况)并进行了必要的改进”。
对比下图是2019年的预期价值点排序:
可以看到,实际满意度跟预期是有差别的。当初对于提升secops团队协同性是没有太高预期的(33%),但实际上自动化在这方面的表现挺好。此外,当初对于减少告警疲劳还是有所期待的(55%),但实际上自动化在这方面的帮助并不好(41%,排在最后)。
此外,SANS针对满意度调查还提出了一个开放式问题,让受访者谈谈自己对于如何做好安全自动化与集成项目的感受。SANS对这些回复进行了总结,归纳为三个方面:
1)要对自动化保持积极的心态;
2)要重视用例;
3)保持对自动化的需求。
下图显示了2020年度的对自动化与集成的价值点的预期程度排序,以及这个预期跟2020年度实际满意度的对比。这个对比其实也可以看作是对未来的和对现实的对比。
笔者需要指出的是,SANS的上图图例写错了。红色的应该是满意度,绿色的才是信心。
对比图中值得一提的是“提升对安全运行活动的优先级分级”,以及“利用好现有的安全工具”。这个预期与现实的差距比较大。
此外,在信心最不足的几个价值点中,需要关注“消减告警疲劳”和“厘清流程与流程的Owner”两个问题。无论是现实还是预期,这两点都不高。SANS认为这两点其实很关键,也是困扰SOC发展的两个障碍。
9、自动化效果的度量指标
下图显示了受访者对于IR自动化与集成的指标喜好:
上图呈现了两个最有价值且在使用的指标:通过监测程序识别出来的事件数量,以及事件影响的端点数量。这有点超乎笔者的想象。因为像MTTD和MTTR这类指标是我们耳熟能详的高价值指标,但实际上使用的受访者占比不到50%。SANS给出的解释是这类指标计算比较困难。
比较有争议的指标是:每个安全分析师处理的事件数量。
10、安全自动化与集成的预算
报告显示,2020年的安全自动化与集成预算相较于去年有明显的增长。增长幅度主要集中在3-4%和7-10%之间。同时,预测未来一年的增长更可观,有16.4%的受访者表示未来1年将会有超过10%的涨幅。
11、实施安全自动化与集成项目的风险
对照去年的调查结果,可以发现预算风险不再是突出风险,而其他风险的认同度都有所下降。
12、总结
1)实现自动化需要前期投入。如果你是第一次开展自动化项目,要小心谨慎,用渐进式的方式去取得成功,避免复杂项目,基于现有条件和约束下去开展项目,少做定制开发。
2)不断缩小新项目和老项目之间的满意度差距。要搞清楚为什么相似的项目在同行间的满意度会有差异。
3)但凡可能,采用标准的集成接口,譬如JSON标准。
4)认真思考如何度量自动化项目,要设计出具体的、可落地的度量指标。
以下补充几点笔者个人的感悟:
1)安全自动化一直是安全所追求的,这个不算热点。热点是安全编排的自动化执行,安全响应的应用化、编排化、剧本化、知识化。
2)国外SOAR已经发展了几年的,虽仍为成熟,但却积累了不少经验和教训,值得国内的客户方和平台/服务供给方参考借鉴。很关键的一点就是还是要聚焦于解决告警疲劳问题,其次是响应自动化的问题。
3)SOAR是面向安全运营(secops)的产品,因此必须是实战化的,能解决实际问题的,其价值点是以效果来衡量的,建立度量指标很重要。
4)尽管未来很光明,但现在要慎重。甲方上马项目要认真思考,要做好为前期探索进行更多投入的准备,从失败中成长的准备。乙方也要认真思考,选择合适的技术路线,靠谱的需求和能够共同成长的客户,要对客户诚恳些,不要勉强。
参考
Ponemon调研报告揭示安全自动化和AI的价值定位以及与人的关系
SANS最新报告