盗墓笔记小说下载,灵域,我欲封天耳根小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

網(wǎng)絡(luò)安全自動(dòng)化：評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力

前言

在網(wǎng)絡(luò)安全分析中，傳統(tǒng)的網(wǎng)絡(luò)安全在當(dāng)今時(shí)代背景下是十分局限的，這也造就了網(wǎng)絡(luò)安全自動(dòng)化的興起。網(wǎng)絡(luò)安全自動(dòng)化即，通過流程自動(dòng)化的產(chǎn)品和服務(wù)實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)安全分析過程自動(dòng)化，使安全分析師能快速地關(guān)注與最大風(fēng)險(xiǎn)相關(guān)的信息、事件。安全產(chǎn)品與服務(wù)將不可避免地要順應(yīng)自動(dòng)化的潮流，將自身與自動(dòng)化思想相互結(jié)合。但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動(dòng)化改造，因此評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力是十分有必要的。

10年積累的網(wǎng)站制作、做網(wǎng)站經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)制作后付款的網(wǎng)站建設(shè)流程，更有龍口免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

本文將主要介紹評(píng)估自動(dòng)化潛力的相關(guān)背景、API的可用性、功能方面的考慮和信息方面的考慮，使讀者可以對(duì)評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力有相應(yīng)的了解。本文內(nèi)容主要參考了文獻(xiàn)[1]。

背景

隨著安全自動(dòng)化的推廣，安全產(chǎn)品與服務(wù)將不可避免地要順應(yīng)自動(dòng)化的潮流，將自身與自動(dòng)化相互結(jié)合，但現(xiàn)有的產(chǎn)品和服務(wù)并不能完全支持自動(dòng)化改造。產(chǎn)生這一問題的主要原因是：通過應(yīng)用程序編程接口(API)獲得的功能和信息可能與通過用戶界面獲得的功能和信息不同。因此，評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力對(duì)于如今安全自動(dòng)化的實(shí)行是十分重要的。評(píng)估已經(jīng)部署或正處于開發(fā)階段的產(chǎn)品和服務(wù)，以確定它們是否具有有限的自動(dòng)化潛力。這種評(píng)估需要更多的細(xì)節(jié)，而不僅僅是確保有一個(gè)API，而且不容易從典型的供應(yīng)商演示中區(qū)分出來(lái)。評(píng)估自動(dòng)化潛力的流程如圖1所示。

圖1 評(píng)估自動(dòng)化潛力流程圖

圖1中的流程圖展示了兩組問題，分別為功能方面的問題和信息方面的問題。這些問題是產(chǎn)品和服務(wù)在自動(dòng)化操作流程時(shí)遇到的最常見的問題。當(dāng)評(píng)估產(chǎn)品支持自動(dòng)化的能力時(shí)，關(guān)鍵是評(píng)估API的可用性、來(lái)自API工具的功能和信息是如何通過API來(lái)呈現(xiàn)，而不是工具的一般用戶界面。

API可用性

首先，產(chǎn)品或服務(wù)必須具有供用戶大規(guī)模使用的API。在安全編排、自動(dòng)化和響應(yīng)(SOAR)市場(chǎng)出現(xiàn)之前，并不是所有的產(chǎn)品都為用戶提供了直接的API訪問。預(yù)期的設(shè)想是：用戶將與儀表板或控制臺(tái)交互，應(yīng)用程序?qū)⒃趦?nèi)部處理所有API請(qǐng)求。但當(dāng)用戶開始從幾十個(gè)產(chǎn)品中接收到數(shù)千個(gè)警報(bào)時(shí)，這種方法就不再是可行的網(wǎng)絡(luò)防御了?，F(xiàn)在，大多數(shù)產(chǎn)品都期望并支持用戶某種程度的自動(dòng)化，但是用戶通過產(chǎn)品或服務(wù)提供的圖形界面手動(dòng)與應(yīng)用程序交互的最初設(shè)計(jì)原則，導(dǎo)致了不同程度的自動(dòng)化支持。

許多產(chǎn)品現(xiàn)在都有兩個(gè)不同的API可用，一個(gè)設(shè)計(jì)用于與典型用戶交互，另一個(gè)設(shè)計(jì)用于支持組織管理功能和相關(guān)信息。在本文中，前者稱為前端API，后者稱為后端API。這種區(qū)別很重要，因?yàn)椴煌腁PI通常公開不同類型的信息和功能。因此，它們可能受到不同的許可限制，這些能力和訪問選項(xiàng)上的差異可能會(huì)影響條件操作流程或復(fù)雜操作流程的自動(dòng)化，這需要結(jié)合調(diào)用前端和后端API來(lái)實(shí)現(xiàn)。

將本地工具與基于云的產(chǎn)品進(jìn)行比較時(shí)，可能會(huì)出現(xiàn)類似的情況。許多供應(yīng)商在遷移到云時(shí)刪除、限制或修改API訪問策略和功能。如果一個(gè)組織依賴于API訪問，那么在考慮供應(yīng)商提供的遷移到基于云的工具版本時(shí)，必須評(píng)估這一點(diǎn)。

功能方面的考慮

隨著組織將操作安全流程自動(dòng)化，他們會(huì)遇到一組與API公開的功能相關(guān)的常見問題。以下三個(gè)方面的考慮事項(xiàng)，旨在幫助組織評(píng)估產(chǎn)品和服務(wù)，以確?？稍谶m當(dāng)?shù)臅r(shí)候啟用自動(dòng)化。

非限制性
綜合性
外部應(yīng)用性

非限制性。產(chǎn)品或服務(wù)在支持自動(dòng)化處理的規(guī)模上提供API訪問是十分重要的。在實(shí)現(xiàn)自動(dòng)化流程中，通常遇到的第一個(gè)問題是許可限制。前端API密鑰(用于以授權(quán)方式訪問API)可能不包含在初始許可協(xié)議中。同樣，有許多服務(wù)在分析師手動(dòng)訪問時(shí)是免費(fèi)的，但需要付費(fèi)升級(jí)以支持自動(dòng)訪問。即使組織為API的訪問付費(fèi)，它也常常與基于當(dāng)前手工操作的最大請(qǐng)求數(shù)量或有限的服務(wù)集相關(guān)聯(lián)。在所有這些情況下，對(duì)可用API的訪問在某種程度上受到限制，這影響了組織使用其所需的自動(dòng)化的機(jī)會(huì)。

綜合性。分析員可以在應(yīng)用程序中執(zhí)行的每個(gè)功能都需要可以通過API使用。在實(shí)現(xiàn)自動(dòng)化流程中，遇到的下一個(gè)問題是：API只公開了分析人員在操作中使用的功能的一個(gè)子集。即使有一組函數(shù)通過API可用，應(yīng)用程序支持的這些函數(shù)的功能和可以自動(dòng)化的功能之間也可能存在差異。這是因?yàn)閼?yīng)用程序可能通過一些專有方法來(lái)實(shí)現(xiàn)高級(jí)功能，而這些高級(jí)功能無(wú)法通過將可用API調(diào)用鏈接在一起來(lái)實(shí)現(xiàn)。分析師在操作期間執(zhí)行的任何操作或任務(wù)，如果不能通過API調(diào)用一致且準(zhǔn)確地實(shí)現(xiàn)，就會(huì)限制通過自動(dòng)化獲得的效率。

外部可用性。每個(gè)可以自動(dòng)化的功能都需要由API向應(yīng)用程序外部的源公開。某些供應(yīng)商包或應(yīng)用程序套件擁有只有其官方產(chǎn)品才能訪問的API，或者只能使用套件內(nèi)部生成的信息來(lái)調(diào)用這些API。操作流程可以從組織內(nèi)部和外部的多個(gè)來(lái)源接收相同的核心信息，相同的自動(dòng)化流程應(yīng)該能夠?qū)ο嗤愋偷男畔?zhí)行相同的操作，而不考慮信息的來(lái)源。如果需要為不同的源開發(fā)不同的自動(dòng)化流程，或者需要部署不同的功能來(lái)通過不同的API訪問相同的信息，那么自動(dòng)化操作的有效性將受到限制。

信息方面的考慮

隨著組織將操作安全流程自動(dòng)化，還會(huì)遇到一組與API公開信息相關(guān)的常見問題。以下為四種考慮事項(xiàng)，旨在幫助組織評(píng)估產(chǎn)品和服務(wù)，以確保它們支持適當(dāng)?shù)淖詣?dòng)化。

可獲得性
一致性
可控性
可用性

可獲得性。應(yīng)用程序分析人員可獲得的信息必須可通過適當(dāng)?shù)腁PI獲得。許多產(chǎn)品限制了使用API調(diào)用可以導(dǎo)出或返回的內(nèi)容，使得某些信息片段只能在應(yīng)用程序內(nèi)部使用。前端API和后端API提供的信息往往是不同的，每個(gè)API的可訪問性都受到法律、服務(wù)協(xié)議和安全策略的限制。生成或提供操作人員使用信息的產(chǎn)品和服務(wù)必須提供對(duì)這些信息的API訪問，否則自動(dòng)化的機(jī)會(huì)將受到重大影響。

一致性。任何導(dǎo)入操作流程中使用的信息的產(chǎn)品都需要通過API以一致的方式提供相同的信息。許多產(chǎn)品和服務(wù)提供類似的信息(例如，嚴(yán)重性評(píng)分，優(yōu)先級(jí))，但由于信息獲取的途徑可能是非常不同的，即使它們有著相同的含義，這些信息也可能意味著非常不同的事情。在導(dǎo)入過程中，有時(shí)會(huì)刪除或修改某些數(shù)據(jù)字段，如果沒有完善的數(shù)據(jù)檢測(cè)機(jī)制，將導(dǎo)致通過后端API導(dǎo)出的信息不一致。雖然人們可以使用上下文來(lái)推斷信息的含義，但自動(dòng)化通常不能。

可控性。通過API訪問的信息必須與應(yīng)用程序提供給分析人員的信息相匹配。圖形用戶界面使用戶操作可視，并且在視覺上進(jìn)行了優(yōu)化以支持推理。它們支持分析人員定制可見的字段、標(biāo)簽和顯示結(jié)果的順序。API是為響應(yīng)請(qǐng)求而設(shè)計(jì)的，并使用非常特定的結(jié)構(gòu)對(duì)處理響應(yīng)進(jìn)行了優(yōu)化，這將導(dǎo)致應(yīng)用程序中所請(qǐng)求和看到的信息可能與通過API返回的信息不同的情況。自動(dòng)化流程的能力直接與通過API重新生成分析人員獲得的信息的能力聯(lián)系在一起。

可用性。通過API公開的信息必須以某種格式提供，使其可用于產(chǎn)品和服務(wù)的自動(dòng)執(zhí)行。在某些情況下，在操作流程中使用自定義代碼之前，必須開發(fā)和維護(hù)自定義代碼來(lái)解析、翻譯、規(guī)范化或重新格式化從API調(diào)用接收到的信息。必須執(zhí)行的處理越多，自動(dòng)化流程的效率受到的影響就越大。隨著組織擴(kuò)大自動(dòng)化的使用，這種影響可能變得更加重要。

小結(jié)

實(shí)現(xiàn)自動(dòng)化是解決現(xiàn)代網(wǎng)絡(luò)攻擊速度和規(guī)模的關(guān)鍵組成部分。如果沒有通過安全工具精心安排的自動(dòng)響應(yīng)，通常不可能在一個(gè)能夠?qū)崿F(xiàn)網(wǎng)絡(luò)防御的時(shí)間框架內(nèi)對(duì)網(wǎng)絡(luò)威脅情報(bào)做出響應(yīng)。本文主要介紹了評(píng)估自動(dòng)化潛力的相關(guān)背景、API的可用性、功能方面的考慮和信息方面的考慮。期望讀者可以對(duì)評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力有所了解，可以判斷出產(chǎn)品和服務(wù)是否能夠成功獲得自動(dòng)響應(yīng)的顯著好處。

參考文獻(xiàn)

[1]《Enabling Automation in Security Operations - Assessing Potential》

標(biāo)題名稱：網(wǎng)絡(luò)安全自動(dòng)化：評(píng)估產(chǎn)品和服務(wù)的自動(dòng)化潛力
文章轉(zhuǎn)載：http://m.fisionsoft.com.cn/article/cdhpcge.html