如今，許多安全運(yùn)營(yíng)中心(SOC)都在面臨著同樣的困境——警報(bào)太多，而處理它們的人員卻又太少。隨著時(shí)間的推移，這種問(wèn)題將會(huì)變得更加嚴(yán)重，因?yàn)樯删瘓?bào)的設(shè)備數(shù)量的增長(zhǎng)速度，要遠(yuǎn)遠(yuǎn)快于可用于分析它們的人員數(shù)量的增長(zhǎng)速度。如此一來(lái)，真正重要的警報(bào)可能就會(huì)淹沒(méi)其中，得不到響應(yīng)。

[[231092]]

大多數(shù)企業(yè)認(rèn)為應(yīng)對(duì)這個(gè)問(wèn)題只有兩種解決方案：即減少警報(bào)數(shù)量，或是增加人員數(shù)量。幸運(yùn)的是，還有第三種選擇：自動(dòng)化。它可以極大地提高分析師的時(shí)間效率，用更少地時(shí)間完成更多的工作量。

傳統(tǒng)意義上，人們習(xí)慣將自動(dòng)化視為“不全則無(wú)”(all-or-nothing)的主張。但是，如今時(shí)代已經(jīng)發(fā)生了變化。企業(yè)可以在事件響應(yīng)過(guò)程中的各個(gè)位置實(shí)施自動(dòng)化，幫助分析人員從繁復(fù)的任務(wù)中解脫出來(lái)，同時(shí)保持他們對(duì)警報(bào)監(jiān)視和響應(yīng)的人為控制。其最終目標(biāo)應(yīng)該是，在自動(dòng)化可以處理的低風(fēng)險(xiǎn)和人為應(yīng)對(duì)的高風(fēng)險(xiǎn)之間取得平衡。

但是，在部署某種程度的SOC自動(dòng)化之前，應(yīng)該認(rèn)真考慮以下幾點(diǎn)問(wèn)題：1)組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭(zhēng)?2)如果是贏了，它是否具備正確的工具來(lái)持續(xù)這種狀態(tài)?3)如果是輸了，它應(yīng)該怎么做?

不過(guò)，無(wú)論組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭(zhēng)，理解自動(dòng)化的優(yōu)缺點(diǎn)對(duì)于任何項(xiàng)目的成功與否都是至關(guān)重要的。

一、自動(dòng)化的優(yōu)點(diǎn)

自動(dòng)化在低影響(low-impact )環(huán)境中通常備受青睞，但是由于誤報(bào)可能導(dǎo)致的負(fù)面影響，其在諸如公用事業(yè)和醫(yī)療保健等高影響(high-impact)環(huán)境中一直備受質(zhì)疑。

SOC自動(dòng)化的主要優(yōu)點(diǎn)包括：

• 對(duì)警報(bào)和ticket的響應(yīng)更一致;
• 對(duì)于ticket關(guān)閉和事件響應(yīng)量更大;
• 提高對(duì)正在發(fā)生問(wèn)題的可視性;
• 覆蓋面積更大，ticket數(shù)量更多。

二、自動(dòng)化的缺點(diǎn)

沒(méi)有什么比處理假陽(yáng)性(即誤報(bào))更令人煩惱的了，所謂假陽(yáng)性就是系統(tǒng)將合法活動(dòng)標(biāo)識(shí)為惡意攻擊行為。在某些行業(yè)中，誤報(bào)會(huì)破壞業(yè)務(wù)流程，造成收入損失、工業(yè)組織停工等后果，在醫(yī)院環(huán)境中，這種誤報(bào)甚至?xí)＜吧?/p>

SOC自動(dòng)化的主要缺點(diǎn)包括：

• 關(guān)閉操作;
• 產(chǎn)生誤報(bào)，導(dǎo)致采取錯(cuò)誤的舉措;
• 自動(dòng)化處理本該手動(dòng)處理的 ticket;
• 關(guān)鍵信息或數(shù)據(jù)丟失;
• 做出錯(cuò)誤或不恰當(dāng)?shù)臎Q定。

三、自動(dòng)化的最佳實(shí)踐

過(guò)去，公司通常會(huì)因?yàn)榭紤]到自動(dòng)化的潛在缺點(diǎn)，而最終選擇放棄它，因?yàn)樗麄冋J(rèn)為這樣做更安全。然而，如今，越來(lái)越多的企業(yè)已經(jīng)意識(shí)到，如果他們沒(méi)有實(shí)現(xiàn)某種程度的自動(dòng)化，會(huì)增加其錯(cuò)失標(biāo)記攻擊行為的機(jī)會(huì)，這種情況所造成的損失，可能會(huì)比實(shí)施自動(dòng)化所帶來(lái)的潛在負(fù)面影響更為沉重。

鑒于這種情況，安全從業(yè)人員應(yīng)該考慮采用以下自動(dòng)化最佳實(shí)踐措施：

1. 創(chuàng)建一個(gè)全面的戰(zhàn)略

該計(jì)劃應(yīng)該旨在解決以下關(guān)鍵問(wèn)題：

• 哪些區(qū)域產(chǎn)生的警報(bào)最多?
• 什么樣的警報(bào)類型占據(jù)了分析師大部分的時(shí)間?
• 哪些響應(yīng)是非常有條理的，以及哪些警報(bào)分析師可以用可預(yù)測(cè)的方式做出響應(yīng)?
• 是否可以使用自動(dòng)化劇本(playbook)來(lái)處理某些事件?

2. 采取一種經(jīng)過(guò)實(shí)測(cè)的方法

安全的關(guān)鍵規(guī)則之一就是始終避免極端事件。例如，“自動(dòng)化一切”可能會(huì)招致一堆蠕蟲，然后迫使安全管理人員通過(guò)指責(zé)分析師來(lái)證明這一做法是正確的，他們會(huì)聲稱是由于分析師來(lái)不及分析ticket才導(dǎo)致的問(wèn)題。

通過(guò)自動(dòng)化人力密集型、高度重復(fù)型任務(wù)來(lái)實(shí)現(xiàn)平衡，將分析師從繁復(fù)的任務(wù)中解放出來(lái)，有精力實(shí)現(xiàn)更為重要的職能，這是一個(gè)非常好的起點(diǎn)。自動(dòng)化應(yīng)該允許公司提高SOC效率，同時(shí)保持可接受的風(fēng)險(xiǎn)水平——無(wú)論是在運(yùn)營(yíng)方面還是安全方面。

訣竅在于管理和控制誤報(bào)，而不是妄圖消除誤報(bào)。

3. 了解不需要自動(dòng)化而需要人工分析的任務(wù)

其主要包括影響如下系統(tǒng)的警報(bào)：

• 關(guān)鍵應(yīng)用程序或系統(tǒng);
• 業(yè)務(wù)流程、財(cái)務(wù)和運(yùn)營(yíng)系統(tǒng);
• 包含大量敏感數(shù)據(jù)的系統(tǒng);
• 大規(guī)模攻擊指標(biāo)。

四、結(jié)論

由于網(wǎng)絡(luò)攻擊對(duì)手也在利用軟件和硬件來(lái)開發(fā)和實(shí)施攻擊，威脅的演變速度和復(fù)雜性正在急劇上升，對(duì)于SOC自動(dòng)化的需求也在隨之增長(zhǎng)。想要跟上程序化攻擊的步伐，不可避免地需要自動(dòng)化某些SOC功能和流程。遵循上述列出的建議，可以幫助確定應(yīng)該自動(dòng)化和不應(yīng)該自動(dòng)化的內(nèi)容，以便發(fā)揮自動(dòng)化的最大功效。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文