自動化是當(dāng)前熱門話題，谷歌一搜就出來上億條有關(guān)安全自動化的結(jié)果。鑒于網(wǎng)絡(luò)安全人才的全球緊缺，和我們必須處理的威脅規(guī)模及復(fù)雜度的持續(xù)上升，單憑人力已無法應(yīng)對。

[[205280]]

自動化可以幫助公司企業(yè)從現(xiàn)有人力獲得更多價值——自動化處理耗時手動事務(wù)，以便讓員工可以專注高價值的分析性工作。但是，自動化這班車也不是隨時隨地都能搭的，想要取得效果，就必須選擇安全生命周期中的正確時段來應(yīng)用自動化。

安全界有句名言你或許聽過：“臟數(shù)據(jù)進，臟數(shù)據(jù)出。”直接跳到安全生命周期末端用自動化采取行動，比如自動化行動手冊和自動發(fā)送最新情報到傳感器網(wǎng)格(防火墻、IPS/IDS、路由器、Web和電子郵件安全、終端等等)，是會得到反效果的。缺了先期的情報匯總、評分和排序，你就等著臟數(shù)據(jù)問題惡化吧。

然而，設(shè)計一種能奏效的方法或許會很難——篩查數(shù)據(jù)所需的時間和精力都能超出你的資源承受力。畢竟，大多數(shù)公司企業(yè)，都被來自各種商業(yè)源、開源、行業(yè)及現(xiàn)有安全廠商的數(shù)百萬威脅數(shù)據(jù)點轟炸。更不用提自身各層防御及SIEM中每個產(chǎn)品產(chǎn)生的大量日志和事件數(shù)據(jù)了。

不是所有威脅數(shù)據(jù)都生來平等，總得對它們評個分排個序。這能有效降噪，凸顯有價值情報。情報饋送供應(yīng)商或許會提供“總體”評分，但實際上，因為不是根據(jù)公司特定環(huán)境上下文評出的，該評分有可能僅僅是增加了噪音而已。更糟的是，上傳到公司SIEM或傳感器網(wǎng)格時，它們還可能以誤報的形式產(chǎn)生更多噪音，讓安全操作員以追蹤不存在的幽靈告終。臟數(shù)據(jù)進，臟數(shù)據(jù)出。這就是為什么自動化也需要發(fā)生在安全生命周期過程早期階段的原因。這樣不僅可以減小臟數(shù)據(jù)問題，也能節(jié)約寶貴的時間和資源。

舉個例子，假設(shè)公司4個月的時間段里從多個饋送源引入了100萬條入侵指標(biāo)(IOC)。用自動化，可以將數(shù)據(jù)匯總到一個地方，然后用上下文進行增強和豐富。然后，可以基于公司的風(fēng)險級別，應(yīng)用自動化評分框架過濾該情報，形成易處理的情報子集——將可操作數(shù)據(jù)集減少95%以上?？梢栽O(shè)置多個參數(shù)，重新定義計分方式，參數(shù)包括：指標(biāo)源、類型、屬性和上下文，以及敵方歸因。

在將威脅數(shù)據(jù)引入公司環(huán)境之前，需要的時候也可以自動重計算評分。因為隨時間流逝而增加的情報會提升或降低威脅評分，也可以定期重評估這些分?jǐn)?shù)。100萬IOC的例子中，自動化優(yōu)化了威脅情報的匯總、評分和排序過程，這些工作如果交由安全分析師人工完成，可能需要增加2-3名全職安全分析師。

至此，將正確的情報部署給正確的工具對讀者來說就不難了。因為你已經(jīng)做好了準(zhǔn)備工作，可以更自信更可靠地使用自動化了。真正著手的時候，你就能通過即時自動地更新傳感器網(wǎng)格并緩和大部分手動及碎片化工作，空出相當(dāng)于1-2個全職員工的工作量。

上述案例中，節(jié)約的成本并不是按情報量來計的，而是按員工工作流被打斷的工時來計的。這包括了網(wǎng)絡(luò)工程師需要停下手頭工作去登錄每一個傳感器技術(shù)(例如：防火墻、路由器、電子郵件、Web代理、DNS、終端等等)，上傳并測試最新情報，再回到原先遺留工作的過程中，所消耗掉的每一個小時。自動化情報在傳感器棧上的應(yīng)用，可以指數(shù)級提升防御強度，還能減輕安全團隊負(fù)擔(dān)，讓他們解放出來，持續(xù)關(guān)注自身優(yōu)先事務(wù)。

自動化切入進安全過程中，對抵御當(dāng)今復(fù)雜又持續(xù)的攻擊十分關(guān)鍵。但在威脅數(shù)據(jù)總量以驚人的速度攀升的情況下，我們需要從威脅開始——自動化我們收集、評分和排序威脅情報的方式。否則，我們就只是在放大噪音，浪費寶貴的資源還阻礙安全——這就是那“骯臟”的秘密。