網(wǎng)絡(luò)安全自動(dòng)化 你需要這五步
三周前,瑞典汽車制造商沃爾沃宣布將在2021年推出4級(jí)自動(dòng)駕駛汽車。按照美國(guó)國(guó)家公路交通安全管理局劃分的自動(dòng)化等級(jí),4級(jí)汽車就是高級(jí)自動(dòng)化了的了。這意味著車輛本身在一定條件下執(zhí)行所有駕駛功能,而駕駛員也可以選擇控制汽車。也就是說(shuō),3年后,沃爾沃駕駛者就可以在行駛的同時(shí)打瞌睡、吃東西、講電話、看書(shū),甚至看電影了。4級(jí)以下的自動(dòng)化水平下,駕駛員還得不同程度上地參與駕駛過(guò)程,到了5級(jí),那就真的完全用不到人類駕駛員的存在了。
從沃爾沃CEO的言論上看,沃爾沃似乎完全跳過(guò)了3級(jí)自動(dòng)化,覺(jué)得3級(jí)是不安全的。自動(dòng)化等級(jí)低,就有可能出現(xiàn)責(zé)任和控制上的混亂,可靠性上有風(fēng)險(xiǎn)。在我們生活的其他領(lǐng)域中應(yīng)用自動(dòng)化也有類似的問(wèn)題,比如安全運(yùn)營(yíng)自動(dòng)化。哪個(gè)級(jí)別才是正確的?我們應(yīng)做些什么才可以恰當(dāng)?shù)貞?yīng)用自動(dòng)化?
安全自動(dòng)化這個(gè)議題我們已經(jīng)談?wù)摱嗄辏撛诤螘r(shí)、哪方面、怎樣進(jìn)行自動(dòng)化也是安全界一直在探索的問(wèn)題。人機(jī)對(duì)戰(zhàn)話題更是經(jīng)久不衰。而且某些特定情況下,當(dāng)我們“被”自動(dòng)關(guān)閉出錯(cuò)系統(tǒng)時(shí),我們就會(huì)想知道到底要不要實(shí)現(xiàn)自動(dòng)化。但從內(nèi)心深處發(fā)出的聲音告訴我們,自動(dòng)化是人類的未來(lái),這個(gè)未來(lái)近在眼前。而且,有鑒于當(dāng)前網(wǎng)絡(luò)安全人才短缺的現(xiàn)狀,如果我們想要更好地發(fā)揮現(xiàn)有安全人員的作用,就必須自動(dòng)化某些耗時(shí)的手動(dòng)任務(wù)。
于是,我們應(yīng)怎樣推進(jìn)自動(dòng)化,獲得正確應(yīng)用自動(dòng)化所帶來(lái)的價(jià)值呢?簡(jiǎn)單5步即可,從上下文開(kāi)始。
1. 上下文用以理解威脅并劃分威脅優(yōu)先級(jí)
安全運(yùn)營(yíng)中,上下文來(lái)自于將內(nèi)部威脅及事件數(shù)據(jù)與外部威脅饋送相聚合和加成。通過(guò)將內(nèi)部環(huán)境中的事件及相關(guān)指標(biāo)(比如源自SIEM系統(tǒng)、日志管理庫(kù)和案例管理系統(tǒng)的事件和指標(biāo))與外部有關(guān)攻擊者、攻擊指標(biāo)、攻擊方法的數(shù)據(jù)相關(guān)聯(lián),就可以獲得有助于理解攻擊者、攻擊對(duì)象、目標(biāo)位置、攻擊時(shí)間、攻擊動(dòng)機(jī)和攻擊方法的相關(guān)上下文了。
2. 劃分優(yōu)先級(jí)以確定重點(diǎn)
可以基于與自身環(huán)境的相關(guān)性來(lái)劃定優(yōu)先級(jí)。但事件相關(guān)性各公司不同。基于自己設(shè)立的參數(shù)評(píng)估并調(diào)整風(fēng)險(xiǎn)得分很重要。過(guò)濾掉不重要的噪音可以幫助公司理清應(yīng)該首先著手處理哪些事件,將時(shí)間精力集中到對(duì)公司而言最重要的事務(wù)上,不至于舍本逐末。
3. 抓住重點(diǎn)做出明智決策
沒(méi)有了噪音和誤報(bào)的干擾,就能更集中精力在分析和理解重要事務(wù)上。無(wú)論是在SIEM及評(píng)估警報(bào)工作中,還是在事件響應(yīng)平臺(tái)觀察案例,你都有上下文、重點(diǎn)和喘息空間以做出更明智的決策。
4. 明智決策帶來(lái)更強(qiáng)信心
到了這一步,你就能更高效地開(kāi)展工作了。你知道需要做什么,也開(kāi)始了解怎么做能做得更好。隨著時(shí)間進(jìn)程,隨著成功經(jīng)驗(yàn)的累積,你會(huì)越來(lái)越自信,意識(shí)到自己不再需要手動(dòng)處理那些已認(rèn)定為重復(fù)性和低風(fēng)險(xiǎn)的事件了。
5. 信心驅(qū)動(dòng)自動(dòng)化
成功可以孕育出邁向自動(dòng)化所需的信心。你充分理解了這些安全任務(wù),不懼怕做出改變會(huì)對(duì)業(yè)務(wù)造成負(fù)面影響。你可能會(huì)決定自動(dòng)化整個(gè)過(guò)程或僅選擇其中某幾個(gè)方面加以自動(dòng)化,比如說(shuō)警報(bào)排序、評(píng)分和重評(píng)分威脅饋送、鞏固傳感器網(wǎng)絡(luò)等等。
5級(jí)自動(dòng)化和完全自治汽車的前景尚在爭(zhēng)論之中。但人類因素將依然是安全運(yùn)營(yíng)中的關(guān)鍵部分。自動(dòng)化可以加速?zèng)Q策過(guò)程和提升響應(yīng)速度,但只有上下文及其背后的人在驅(qū)動(dòng)自動(dòng)化,我們才有可能獲得自動(dòng)化轉(zhuǎn)型的成功。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
