“工欲善其事必先利其器”，自動化工具和機器學習(ML)對于網絡安全專家而言，正是此理。

當他們在工作中面臨海量數據時，他們也難以捉摸多樣的威脅類型和攻擊手法。如何高效處理這些不斷變化的數據，如何從中最有效地提取內容?安全自動化和基于ML的早期分流能夠減少數據量，提高工作效率，所以企業應該如何利用這一工具呢?

[[384952]]

眾多服務，松散連接

在當今多云解決方案的世界里，企業和其他組織發現自己正面臨著空前多樣的安全工具集。現在，安全運營團隊不僅需要覆蓋傳統數據中心和多云提供商，他們還需要管理新平臺的安全，比如容器安全、Kubernetes和OpenShift等。

取而代之的是，應用程序正在成為一個由API調用連接的多用服務的松散耦合組合體。更復雜的是，這些服務可以位于任何地方，跨越多個云和數據中心，甚至可能不是由同一公司運行。

所以對于安全運營團隊而言，數據的處理方式和“應用”的數據流變得較難理解。此外，為了溯源多種技術導致的安全事件，多個部署信息需融合成同一顯示畫面。因此，將不同工具獲取的信息整合到單一的總視圖中，通過處理呈現企業整體的安全態勢狀況。

這就是安全自動化發揮的作用，除了呈現整體安全態勢狀態，還可以幫助企業發現安全問題并順利地處理問題。做到安全自動化需要人們從多角度跟蹤事件，并將多個部署數據匯合到一張顯示圖上，還可以對互相連接的端點完整地進行查看和處理，幫助了解企業整體的安全狀況。

加快威脅響應速度

完全人工型任務時代正落下帷幕。

如今，海量的數據、變化莫測的威脅攻擊意味著人們無法在有限的時間范圍內處理這一切，因此，基于自動化和機器學習的的早期分流可將數據量降低到人類可控的范圍內。

IBM曾提出一種高級威脅處理評分的安全自動化解決方案。它使用多種機器學習算法分析威脅模式，并自行采取行動，提高和降低問題的優先級，供人類分析師審查。

該領域的另一個關鍵因素是IT自動化和網絡安全之間的整合。雖然網絡安全不僅僅是一個IT問題，但對發現的問題的反應和修復往往是屬于IT范疇。我們需要擺脫這樣一種觀念，即提出問題后就丟給IT團隊去處理，需要主要采取措施以應對問題。

相互聯動，自動響應

DevSecOps中提出了持續集成和持續部署(CI/CD)的概念，結合軟件定義的網絡和基礎架構，我們企業基礎架構的配置現在是由軟件驅動的，并且需要不斷更新。

企業使用自動化的IT配置工具，如Ansible、Jenkins或Puppet，并將其與安全編排、自動化和響應(SOAR)工具相連接，這樣就能使用預先商定的配置更改(稱為playbook)來自動響應。由于這些playbook必須經過IT團隊的預先批準，才能由安全運營中心(SOC)團隊來運行，因此，這些信息可快速同步到每一個人那里，審計采取的措施并保持嚴格的配置控制也變得相對容易，這些準備都縮短了安全事件的響應時間。

• 將檢測與響應聯系起來，有哪些優勢?
• SOC團隊可以主動保護企業，而不只是“提出問題”。
• 安全運營團隊和IT團隊之間更好的溝通、規劃和整合。
• 減少IT團隊的應急負擔。
• 可以在幾分鐘內做出事件響應，而不是幾小時或幾天。
• 還可以快速預防未知威脅

這種高度自動化的方法不僅縮短了響應時間，它還為安全運營和IT團隊提供了更多的時間來研究這個已經發生的問題。因為現在人們往往專注于以前沒有見過的新攻擊，而不是處理已知威脅的重復攻擊。

安全自動化需要合作發力

安全自動化需要各方的協作和努力。IT團隊的需求必須與安全團隊的需求保持平衡，如正常的運行時間、可靠性和彈性等。此外，IT團隊需要信任安全運營團隊，并允許他們每次都在不需要IT直接批準的情況下激活改變系統設置響應。兩個團隊都需要承擔責任，了解對方的需求，才能讓安全自動化充分發揮其潛力。

企業正面臨著越來越多、越來越精細的攻擊，他們所依賴的應用程序也變得越來越復雜。因此，攻擊檢測和響應的自動化不再只是美好的愿望，而是企業安全的重要組成部分。

參考來源

https://securityintelligence.com/posts/security-automation-enterprise-defense/