安全自动化里面的“脏”秘密

自动化是当前热门话题，谷歌一搜就出来上亿条有关安全自动化的结果。鉴于网络安全人才的全球紧缺，和我们必须处理的威胁规模及复杂度的持续上升，单凭人力已无法应对。

[[205280]]

自动化可以帮助公司企业从现有人力获得更多价值——自动化处理耗时手动事务，以便让员工可以专注高价值的分析性工作。但是，自动化这班车也不是随时随地都能搭的，想要取得效果，就必须选择安全生命周期中的正确时段来应用自动化。

安全界有句名言你或许听过：“脏数据进，脏数据出。”直接跳到安全生命周期末端用自动化采取行动，比如自动化行动手册和自动发送最新情报到传感器网格(防火墙、IPS/IDS、路由器、Web和电子邮件安全、终端等等)，是会得到反效果的。缺了先期的情报汇总、评分和排序，你就等着脏数据问题恶化吧。

然而，设计一种能奏效的方法或许会很难——筛查数据所需的时间和精力都能超出你的资源承受力。毕竟，大多数公司企业，都被来自各种商业源、开源、行业及现有安全厂商的数百万威胁数据点轰炸。更不用提自身各层防御及SIEM中每个产品产生的大量日志和事件数据了。

不是所有威胁数据都生来平等，总得对它们评个分排个序。这能有效降噪，凸显有价值情报。情报馈送供应商或许会提供“总体”评分，但实际上，因为不是根据公司特定环境上下文评出的，该评分有可能仅仅是增加了噪音而已。更糟的是，上传到公司SIEM或传感器网格时，它们还可能以误报的形式产生更多噪音，让安全操作员以追踪不存在的幽灵告终。脏数据进，脏数据出。这就是为什么自动化也需要发生在安全生命周期过程早期阶段的原因。这样不仅可以减小脏数据问题，也能节约宝贵的时间和资源。

举个例子，假设公司4个月的时间段里从多个馈送源引入了100万条入侵指标(IOC)。用自动化，可以将数据汇总到一个地方，然后用上下文进行增强和丰富。然后，可以基于公司的风险级别，应用自动化评分框架过滤该情报，形成易处理的情报子集——将可操作数据集减少95%以上。可以设置多个参数，重新定义计分方式，参数包括：指标源、类型、属性和上下文，以及敌方归因。

在将威胁数据引入公司环境之前，需要的时候也可以自动重计算评分。因为随时间流逝而增加的情报会提升或降低威胁评分，也可以定期重评估这些分数。100万IOC的例子中，自动化优化了威胁情报的汇总、评分和排序过程，这些工作如果交由安全分析师人工完成，可能需要增加2-3名全职安全分析师。

至此，将正确的情报部署给正确的工具对读者来说就不难了。因为你已经做好了准备工作，可以更自信更可靠地使用自动化了。真正着手的时候，你就能通过即时自动地更新传感器网格并缓和大部分手动及碎片化工作，空出相当于1-2个全职员工的工作量。

上述案例中，节约的成本并不是按情报量来计的，而是按员工工作流被打断的工时来计的。这包括了网络工程师需要停下手头工作去登录每一个传感器技术(例如：防火墙、路由器、电子邮件、Web代理、DNS、终端等等)，上传并测试最新情报，再回到原先遗留工作的过程中，所消耗掉的每一个小时。自动化情报在传感器栈上的应用，可以指数级提升防御强度，还能减轻安全团队负担，让他们解放出来，持续关注自身优先事务。

自动化切入进安全过程中，对抵御当今复杂又持续的攻击十分关键。但在威胁数据总量以惊人的速度攀升的情况下，我们需要从威胁开始——自动化我们收集、评分和排序威胁情报的方式。否则，我们就只是在放大噪音，浪费宝贵的资源还阻碍安全——这就是那“肮脏”的秘密。