安全自動化：資料比流程更重要

安全運營中心 (SOC)在轉變為檢測和響應組織時在資料、系統和人員方面面臨著諸多挑戰。所需的關鍵要素包括相關和優先的資料、跨系統的雙向整合以及被動和主動協作。而能夠將這一切結合在一起的是自動化，特別是在安全人員短缺的情況下。

目前出現了新的產品類別來應對自動化挑戰，包括安全編排、自動化和響應 (SOAR) 平臺和工具以及擴充套件檢測和響應 (XDR)解決方案。但事實是，安全行業的自動化方法忽略了檢測和響應用例的巨大不同需求，因為重點一直放在定義流程和自動化完成該流程所需的步驟上。如果您在靜態環境中一遍又一遍地做同樣的事情，那效果很好。但是對於動態和可變的檢測和響應，情況並非如此。從執行操作中學到的東西遠比操作本身重要，因此您需要檢視流程的輸入和輸出。

舉個例子，精英運動員知道如何進行他們選擇的運動，當他們參與到這個過程中時，肌肉記憶發揮了作用，推動他們更快更順利地完成動作。但是，飲食、運動和環境對錶現有著巨大的影響，從結果中學習也是如此--觀看和分析錄影帶，並結合教練的反饋意見，以便進行調整和改進。最終，運動員會出現高原反應，團隊會陷入困境。為了使他們的表現更上一層樓，他們會根據資料和學習結果對輸入做出更多的改變。因此，輸入和輸出推動了整個過程，並促進了預期結果。

這就是我們需要思考的自動化問題，以加速現代SOC運作的檢測和響應。自動化不能只是執行過程，而必須包括三個重要階段：

1. 輸入：定義應該對其採取什麼行動以及這些行動應該何時發生。

2. 執行：執行行動過程或定義的流程，直至完成。

3. 輸出/反饋：記錄所學到的用於分析和改進未來響應的內容。

為了進一步細分，輸入涉及確定正確的標準和觸發程式。這首先是將正確的內部資料自動彙總到一箇中央儲存庫，這樣分析師就可以全面瞭解他們所面臨的威脅以及他們必須防禦的東西。分析師可以利用他們訂閱的多種來源的威脅資料(商業、開源、政府、行業、現有安全供應商)以及MITRE ATT&CK等框架，自動增強和豐富這些資料。結合和關聯內部和外部資料，並應用自動評分框架，使你能夠根據與你的組織相關的內容，優先採取什麼行動。

有了正確的輸入，現在您可以簡化採取的行動並執行正確的流程。您可以專注於對您的組織真正重要的事情，而不是浪費時間執行對最新威脅沒有必要或無效的流程。您可以將正確的智慧部署到正確的工具上，立即自動更新您的感測器網格並減輕大部分手動和分散的工作。這種資料驅動的過程可以實現高效和有效的響應。

最後，對於檢測和響應，執行動作時的輸出和反饋遠比動作本身重要。定義您想要的結果以及應該從所採取的行動中學到什麼將改善未來的響應並有助於加強對未來類似威脅的保護。隨著新資料、反饋和學習新增到平臺，智慧會自動重新評估和重新確定優先順序，從而使自動化的輸入階段更加高效。

由於安全人才緊缺以及需要進行檢測和響應等高階安全操作，自動化是一項關鍵戰略。但為了效率和有效性，自動化必須採用資料驅動的方法，包括我們如何啟動響應並從中學習，而不僅僅是我們如何執行流程。這就是我們如何釋放安全自動化的全部力量。