自动化可以提供帮助，但并非所有事情都应该自动化，也不是每种自动化都能带来回报。对于CISO而言，真正的问题不是“我们能否实现自动化?”而是“我们是否应该实现自动化?”

以下是当前网络安全维护中值得自动化的内容，以及应如何划定界限。

从可见的内容开始

在实现任何自动化之前，请确保你能看清正在发生的事情，许多网络故障都源于可见性不足。如果你不知道系统的存在，就无法修补它;如果你不知道某个账户处于活动状态，就无法为其轮换密码。

资产发现应是你首先实现自动化的内容，优质的资产清单现在应包括云实例、员工笔记本电脑、移动设备、虚拟机、影子IT等。

暴露管理工具可以自动化网络安全维护计划的关键方面，例如验证是否启用了多因素认证、标记过时的软件以及检测弱密码。

许多CISO认为暴露管理工具只是另一种形式的持续漏洞扫描，但这种观点忽略了一个关键点。据Bitsight的客户倡导总监兼首席架构师Chris Poulin所述，这些工具提供了根本不同的东西：“它们提供了至关重要的外部视角——它们对企业认为自己拥有什么一无所知。”

正是这种外部思维模式使暴露管理如此强大。与基于现有资产清单假设运行的内部工具不同，暴露管理从零开始。“在没有先入为主的观念下，暴露管理工具采取全面方法来发现资产，”Poulin解释道。“它们利用多样化的来源——如互联网注册机构(如ARIN、RIPE、APNIC、LACNIC和AFRINIC)、域名注册商、DNS记录、BGP公告以及证书元数据(如主题和备用名称)——来暴露盲点或被忽视的资产。”

Poulin解释说，这些资产包括：

• 影子IT：任何留下数字足迹的影子资产(即DNS记录、注册商、注册机构文物等)。

• 悬空DNS记录：攻击者可以利用未正确退役的过时DNS记录。

• 云使用情况：暴露管理有助于识别资产集中可能带来风险的地方，无论是通过单点故障还是使用安全性控制较弱的云提供商。

• 域名抢注和停放：企业通常会为未来使用或防止域名类似误用(即域名抢注)而注册域名，并将其停放在注册商处。注册商会在这些停放域名上出售广告空间，但通常不会审查广告商——从而为攻击者留下了意想不到的攻击场所。

• 并购疏忽：当一家公司收购另一家公司或剥离部分业务时，应包括注册所有权。暴露管理有助于保持公共数据库的清洁和准确。

补丁管理：可以，但要注意复杂性

尽管企业会自动化补丁部署，但这并不总是意味着补丁能正确应用。例外情况不断累积，一些业务部门会推迟重启，遗留系统需要长达数周的测试周期。

如果你要自动化补丁管理，请建立回退机制，这意味着：

• 对失败的部署发出清晰警报

• 如果补丁导致应用程序崩溃，具备回滚能力

• 根据风险(例如，零日漏洞应优先处理)升级策略控制

此外，请将补丁管理节奏与业务日程安排保持一致。在高峰时段导致停机的自动补丁管理是迅速失去业务部门支持的方式。

请确保自动补丁管理也与漏洞管理相关联，没有上下文的补丁管理会浪费时间，请首先关注最易被利用的问题，并尽可能自动化分类。

与自动化程度较低或没有自动化的企业相比，具有高度安全自动化的企业在数据泄露方面的成本显著降低。

密码和凭证：自动化轮换，而非逻辑

凭证是大多数企业中的主要薄弱环节。旧的服务账户、共享的管理员凭证以及硬编码的密码在太多违规行为中出现。

你应该自动化以下内容的轮换：

• 服务账户密码

• 特权账户凭证

• API密钥和秘密

尽可能使用保管库工具，但不要自动化访问决策。人类仍需制定策略，特别是针对高特权访问。如果做得不好，自动化“谁有权访问什么”的逻辑可能会创建盲点或过度授权的账户。

此外，请自动化清理工作。一些企业在迁移或员工离职后会留下孤立的凭证。请设置规则，在设定时间或一段时间不活动后使凭证过期。

对于一直在应对持续的身份和访问管理挑战的CISO而言，自动化凭证轮换并为特权账户实施保管库工具正变得不可或缺。“这有助于消除企业内一些风险最高的攻击媒介，”1Password的全球咨询CISO Dave Lewis表示。一旦被攻破，旧的服务账户和共享管理员登录名就会为攻击者提供直接进入关键系统的途径，使其成为主要目标。

Lewis指出，手动凭证轮换“通常最多只是有些零散，容易出错，且难以审计”，使安全团队存在操作盲点。自动化流程可确保一致的政策遵守，并显著减少凭证泄露时的暴露窗口，它还使团队能够在不中断操作的情况下响应疑似违规行为，按需轮换凭证。

同样重要的是，保管库工具提供了关键的第二层保护。“它通过集中控制、执行严格的访问限制以及维护凭证使用情况的详细审计日志，防止密码重复使用、硬编码和未经授权的共享，”Lewis表示。现实世界中的违规行为经常利用脚本和配置文件中未管理的凭证——保管库解决方案几乎可以消除这些漏洞。

最终，Lewis强调，将自动化与保管库结合使用不仅能加强防御，还能让安全团队有喘息之机。“它有助于使安全团队能够更专注于通过主动安全措施来管理威胁检测和缓解风险，”他表示。“对于CISO而言，将凭证自动化置于优先地位不仅是一种良好的卫生习惯;它还是一种基本的防御策略。”

账户生命周期

员工入职和离职是高风险时刻。如果有人离职后仍能访问系统，那就存在漏洞。通过身份提供商和人力资源系统集成，自动化配置和取消配置，这确保访问权限与工作角色保持一致，并在应该结束时结束。

自动化常规任务可确保它们及时完成，并使安全人员能够专注于更复杂的问题。自动化在这里能提供帮助，但同样，人类需要设定逻辑。请确保访问权限与当前角色相关联，而不仅仅是过去的模板。

不要自动化策略例外

每个企业都有特殊情况，有时，系统无法立即修补，或者用户需要临时管理员访问权限，这些情况需要判断。

如果你自动化例外处理，就可能面临永久豁免的风险。那是随时可能发生的网络安全维护失败。相反，请使用自动化来标记例外情况，并要求人类定期批准或续签。

将其视为隔离过程，自动化有助于检测和隔离，但人类做出最终决定。

警报和报告

网络卫生数据很嘈杂，自动化系统可能会告诉你10000个端点缺少补丁。除非按严重性、可利用性和业务影响进行排序，否则这并无帮助。

使用自动化来：

• 根据风险对警报进行优先级排序

• 将工单路由到正确的团队

• 按业务部门生成报告

但请避免只显示卫生分数而没有上下文的仪表板。好的报告会讲述一个故事：哪些方面正在改善，哪些方面存在风险，以及下一步应关注哪里。

据Swimlane的CISO Michael Lyborg所述，与NIST CSF、ISO/IEC 27001/2或NIST 800-53等基础框架保持一致是至关重要的第一步。“采用全面、以框架为导向的方法可使团队能够优先处理风险、简化审计准备、进行差距分析，并通过持续监控提高态势感知能力。”Lyborg表示。

但仅合规是不够的，对于被噪音淹没的安全运营团队而言，警报优先级排序仍然是一个持续的挑战。Lyborg建议首先使用自动化根据严重性、频率和业务影响对警报进行分类。“通过上下文数据丰富警报，并使用AI进行决策支持，有助于团队精准定位最重要的事项，”Lyborg指出。“对于重复性、低风险的警报，实施自动响应以减少手动工作量。”

同样的自动化思维应扩展到网络安全维护。“专注于自动化补丁管理、漏洞扫描、用户账户治理和日志分析，”Lyborg建议。这些基础任务一旦自动化，就能使安全团队将精力集中在更高价值的战略计划上。

自动化还将报告过程——通常被视为时间消耗——转变为有价值的情报工具。“自动生成的漏洞扫描、补丁合规性、用户访问审查和事件响应文档提供了可操作的见解，”Lyborg表示。“可视化、定制化和与安全工具的集成提高了理解和实用性。”

最终，目标是提高效率并实现更主动的安全态势。“通过将标准化框架与智能自动化相结合，企业可以加强其安全态势和网络安全维护，减轻运营压力，并做出更明智、数据驱动的决策以缓解威胁。”Lyborg总结道。

从小规模开始，衡量一切

网络安全维护中的自动化并非要消除人类，而是要帮助他们在关键领域集中精力。对于大型企业而言，这意味着在不失去监督的情况下扩展基础操作。

最佳的自动化应从以下三个问题开始：

1. 这项卫生任务是否一致且可重复?

2. 它是否容易出错?

3. 自动化失败的风险是否低于手动操作的风险?

从小规模开始，衡量一切，并且不要设置后就置之不理。网络安全维护永远做不完，但智能自动化可以防止其崩溃。

bet188金宝搏(金宝博)官方网站D1net(www.tbyhdd.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为bet188金宝搏(金宝博)官方网站D1Net编译，转载需在文章开头注明出处为：bet188金宝搏(金宝博)官方网站D1Net，如果不注明出处，bet188金宝搏(金宝博)官方网站D1Net将保留追究其法律责任的权利。