未来 SOC 的第三个基石：平衡自动化

当自动化在人和机器之间取得平衡时，可以确保团队始终拥有完成工作的最佳工具

随着安全运营中心 (SOC) 缩小其使命的重点，成为检测和响应组织，需要具备三个主要能力来为未来的 SOC做好准备。当安全性由数据驱动时，团队可以专注于相关的高优先级问题，做出最佳决策并采取正确的行动。数据驱动的安全性还提供了一个持续的反馈循环，以便团队可以捕获和使用数据来改进未来的分析。开放式集成架构使数据能够在整个基础架构中流动，并确保系统和工具可以协同工作。

SOC 的第三个组成部分是自动化。有些人谈论自动化 是SOC 内的一切。然而，这可能会带来许多挑战。需要一种平衡的自动化方法，因为如果没有运行它们的专家分析师，SOC 就什么都不是。平衡自动化与人类智能和分析使团队始终拥有最适合工作的工具。重复性、低风险、耗时的任务是自动化的主要候选者，而人类分析师则带头进行不规则、影响大、时间敏感的调查，自动化简化了一些工作。

平衡自动化的好处很多，包括保留和更好地利用稀缺的高技能人力资源以及更好的结果，可以更快、更聪明地工作。人机之间的平衡还可以减轻当机器隔离系统或错误地阻止防火墙上的端口时被烧毁的恐惧。反过来，这会建立信心，以进一步实现自动化并为组织取得适当的平衡，从而带来另一个好处——成本节约。2021 年数据泄露报告的成本按安全自动化部署级别查看数据泄露的平均成本，结果令人大开眼界。数据泄露的平均成本从没有安全自动化的组织的 671 万美元下降到具有一定程度安全自动化的组织的 385 万美元。

平衡自动化是什么样的?

任何关于网络安全未来的讨论都必须包括自动化，但是 SOC 内的平衡自动化是什么样的呢?它在安全运营的所有阶段都发挥了作用。

检测。对手变得更加狡猾，并改变了策略来实现他们的目标。因此，检测已经从寻找触发攻击的一个控制点或系统发展到涉及整个企业的多个点——时间至关重要。借助开放式集成框架，来自不同内部来源的数据可以自动聚合、扩充和丰富来自组织订阅的多个来源的外部威胁数据——商业、开源、政府、行业和现有安全供应商。当所有这些数据都显示在一个屏幕上并根据安全团队设置的参数进行优先级排序时，分析师可以更轻松、更快速地识别关系并检测整个企业的恶意活动。

调查. 自动化检测的许多初始和重复方面加速了调查过程，这最好由人类驱动。通过将直觉、记忆、学习和经验带入流程，分析师将相关数据与内部和外部丰富资源(例如受影响用户的身份和 MITRE ATT&CK 框架)关联起来。例如，如果目标包括财务部门、人力资源或最高管理层，这可能表明存在更严重的威胁。从那里，他们可以转向描述活动、对手及其策略、技术和程序 (TTP) 的 MITRE ATT&CK 等外部数据源，以了解有关恶意软件的更多信息，然后进一步扩大搜索范围。如果他们发现某个指标与特定的活动或对手相关联，是否有相关的工件需要在其他工具中寻找以确认恶意活动的存在?还可以将哪些其他智能部署到基础架构以进行未来拦截?这种复杂程度的调查需要通过自动化来增强人力。这是验证数据和调查结果、连接点并揭示包括所有受影响系统的更广泛图景的最有效和最有效的方式，而不是单个系统上的单个事件。

回复. 现在，SOC 已准备好执行全面响应。在这里，某些方面也可以实现自动化，例如将数据翻译并发送回防御网格中的工具，以更新策略、规则和签名。但是根据安全控制和推荐的响应，有时需要人工在执行之前在他们自己的环境中查看和验证建议。当涉及到关键的遗留系统(例如在工业环境中普遍存在的系统)时，人工必须完成整个过程，以确保任何操作都不会对运营产生影响，如果是，则确定并实施补偿控制。作为闭环，现代响应方法还必须包括从响应中捕获和存储数据以进行学习和改进的能力。

当自动化在人与机器之间有意识地平衡时，我们可以确保团队始终拥有完成工作的最佳工具。当与开放集成框架支持的数据驱动的安全方法相结合时，SOC 拥有了更高效、更彻底地工作以更好地管理当前和未来风险所需的基础。