當自動化在人和機器之間取得平衡時，可以確保團隊始終擁有完成工作的最佳工具

隨著安全運營中心 (SOC) 縮小其使命的重點，成為檢測和響應組織，需要具備三個主要能力來為未來的 SOC做好準備。當安全性由數據驅動時，團隊可以專注于相關的高優先級問題，做出最佳決策并采取正確的行動。數據驅動的安全性還提供了一個持續的反饋循環，以便團隊可以捕獲和使用數據來改進未來的分析。開放式集成架構使數據能夠在整個基礎架構中流動，并確保系統和工具可以協同工作。

SOC 的第三個組成部分是自動化。有些人談論自動化 是SOC 內的一切。然而，這可能會帶來許多挑戰。需要一種平衡的自動化方法，因為如果沒有運行它們的專家分析師，SOC 就什么都不是。平衡自動化與人類智能和分析使團隊始終擁有最適合工作的工具。重復性、低風險、耗時的任務是自動化的主要候選者，而人類分析師則帶頭進行不規則、影響大、時間敏感的調查，自動化簡化了一些工作。

平衡自動化的好處很多，包括保留和更好地利用稀缺的高技能人力資源以及更好的結果，可以更快、更聰明地工作。人機之間的平衡還可以減輕當機器隔離系統或錯誤地阻止防火墻上的端口時被燒毀的恐懼。反過來，這會建立信心，以進一步實現自動化并為組織取得適當的平衡，從而帶來另一個好處——成本節約。2021 年數據泄露報告的成本按安全自動化部署級別查看數據泄露的平均成本，結果令人大開眼界。數據泄露的平均成本從沒有安全自動化的組織的 671 萬美元下降到具有一定程度安全自動化的組織的 385 萬美元。

平衡自動化是什么樣的?

任何關于網絡安全未來的討論都必須包括自動化，但是 SOC 內的平衡自動化是什么樣的呢?它在安全運營的所有階段都發揮了作用。

檢測。對手變得更加狡猾，并改變了策略來實現他們的目標。因此，檢測已經從尋找觸發攻擊的一個控制點或系統發展到涉及整個企業的多個點——時間至關重要。借助開放式集成框架，來自不同內部來源的數據可以自動聚合、擴充和豐富來自組織訂閱的多個來源的外部威脅數據——商業、開源、政府、行業和現有安全供應商。當所有這些數據都顯示在一個屏幕上并根據安全團隊設置的參數進行優先級排序時，分析師可以更輕松、更快速地識別關系并檢測整個企業的惡意活動。

調查. 自動化檢測的許多初始和重復方面加速了調查過程，這最好由人類驅動。通過將直覺、記憶、學習和經驗帶入流程，分析師將相關數據與內部和外部豐富資源(例如受影響用戶的身份和 MITRE ATT&CK 框架)關聯起來。例如，如果目標包括財務部門、人力資源或最高管理層，這可能表明存在更嚴重的威脅。從那里，他們可以轉向描述活動、對手及其策略、技術和程序 (TTP) 的 MITRE ATT&CK 等外部數據源，以了解有關惡意軟件的更多信息，然后進一步擴大搜索范圍。如果他們發現某個指標與特定的活動或對手相關聯，是否有相關的工件需要在其他工具中尋找以確認惡意活動的存在?還可以將哪些其他智能部署到基礎架構以進行未來攔截?這種復雜程度的調查需要通過自動化來增強人力。這是驗證數據和調查結果、連接點并揭示包括所有受影響系統的更廣泛圖景的最有效和最有效的方式，而不是單個系統上的單個事件。

回復. 現在，SOC 已準備好執行全面響應。在這里，某些方面也可以實現自動化，例如將數據翻譯并發送回防御網格中的工具，以更新策略、規則和簽名。但是根據安全控制和推薦的響應，有時需要人工在執行之前在他們自己的環境中查看和驗證建議。當涉及到關鍵的遺留系統(例如在工業環境中普遍存在的系統)時，人工必須完成整個過程，以確保任何操作都不會對運營產生影響，如果是，則確定并實施補償控制。作為閉環，現代響應方法還必須包括從響應中捕獲和存儲數據以進行學習和改進的能力。

當自動化在人與機器之間有意識地平衡時，我們可以確保團隊始終擁有完成工作的最佳工具。當與開放集成框架支持的數據驅動的安全方法相結合時，SOC 擁有了更高效、更徹底地工作以更好地管理當前和未來風險所需的基礎。