自動化是當前熱門話題，谷歌一搜就出來上億條有關安全自動化的結果。鑒于網絡安全人才的全球緊缺，和我們必須處理的威脅規模及復雜度的持續上升，單憑人力已無法應對。

[[205280]]

自動化可以幫助公司企業從現有人力獲得更多價值——自動化處理耗時手動事務，以便讓員工可以專注高價值的分析性工作。但是，自動化這班車也不是隨時隨地都能搭的，想要取得效果，就必須選擇安全生命周期中的正確時段來應用自動化。

安全界有句名言你或許聽過：“臟數據進，臟數據出。”直接跳到安全生命周期末端用自動化采取行動，比如自動化行動手冊和自動發送最新情報到傳感器網格(防火墻、IPS/IDS、路由器、Web和電子郵件安全、終端等等)，是會得到反效果的。缺了先期的情報匯總、評分和排序，你就等著臟數據問題惡化吧。

然而，設計一種能奏效的方法或許會很難——篩查數據所需的時間和精力都能超出你的資源承受力。畢竟，大多數公司企業，都被來自各種商業源、開源、行業及現有安全廠商的數百萬威脅數據點轟炸。更不用提自身各層防御及SIEM中每個產品產生的大量日志和事件數據了。

不是所有威脅數據都生來平等，總得對它們評個分排個序。這能有效降噪，凸顯有價值情報。情報饋送供應商或許會提供“總體”評分，但實際上，因為不是根據公司特定環境上下文評出的，該評分有可能僅僅是增加了噪音而已。更糟的是，上傳到公司SIEM或傳感器網格時，它們還可能以誤報的形式產生更多噪音，讓安全操作員以追蹤不存在的幽靈告終。臟數據進，臟數據出。這就是為什么自動化也需要發生在安全生命周期過程早期階段的原因。這樣不僅可以減小臟數據問題，也能節約寶貴的時間和資源。

舉個例子，假設公司4個月的時間段里從多個饋送源引入了100萬條入侵指標(IOC)。用自動化，可以將數據匯總到一個地方，然后用上下文進行增強和豐富。然后，可以基于公司的風險級別，應用自動化評分框架過濾該情報，形成易處理的情報子集——將可操作數據集減少95%以上?？梢栽O置多個參數，重新定義計分方式，參數包括：指標源、類型、屬性和上下文，以及敵方歸因。

在將威脅數據引入公司環境之前，需要的時候也可以自動重計算評分。因為隨時間流逝而增加的情報會提升或降低威脅評分，也可以定期重評估這些分數。100萬IOC的例子中，自動化優化了威脅情報的匯總、評分和排序過程，這些工作如果交由安全分析師人工完成，可能需要增加2-3名全職安全分析師。

至此，將正確的情報部署給正確的工具對讀者來說就不難了。因為你已經做好了準備工作，可以更自信更可靠地使用自動化了。真正著手的時候，你就能通過即時自動地更新傳感器網格并緩和大部分手動及碎片化工作，空出相當于1-2個全職員工的工作量。

上述案例中，節約的成本并不是按情報量來計的，而是按員工工作流被打斷的工時來計的。這包括了網絡工程師需要停下手頭工作去登錄每一個傳感器技術(例如：防火墻、路由器、電子郵件、Web代理、DNS、終端等等)，上傳并測試最新情報，再回到原先遺留工作的過程中，所消耗掉的每一個小時。自動化情報在傳感器棧上的應用，可以指數級提升防御強度，還能減輕安全團隊負擔，讓他們解放出來，持續關注自身優先事務。

自動化切入進安全過程中，對抵御當今復雜又持續的攻擊十分關鍵。但在威脅數據總量以驚人的速度攀升的情況下，我們需要從威脅開始——自動化我們收集、評分和排序威脅情報的方式。否則，我們就只是在放大噪音，浪費寶貴的資源還阻礙安全——這就是那“骯臟”的秘密。