三周前，瑞典汽車制造商沃爾沃宣布將在2021年推出4級自動駕駛汽車。按照美國國家公路交通安全管理局劃分的自動化等級，4級汽車就是高級自動化了的了。這意味著車輛本身在一定條件下執(zhí)行所有駕駛功能，而駕駛員也可以選擇控制汽車。也就是說，3年后，沃爾沃駕駛者就可以在行駛的同時打瞌睡、吃東西、講電話、看書，甚至看電影了。4級以下的自動化水平下，駕駛員還得不同程度上地參與駕駛過程，到了5級，那就真的完全用不到人類駕駛員的存在了。

從沃爾沃CEO的言論上看，沃爾沃似乎完全跳過了3級自動化，覺得3級是不安全的。自動化等級低，就有可能出現(xiàn)責任和控制上的混亂，可靠性上有風險。在我們生活的其他領域中應用自動化也有類似的問題，比如安全運營自動化。哪個級別才是正確的?我們應做些什么才可以恰當?shù)貞米詣踊?

[[237367]]

安全自動化這個議題我們已經(jīng)談論多年，該在何時、哪方面、怎樣進行自動化也是安全界一直在探索的問題。人機對戰(zhàn)話題更是經(jīng)久不衰。而且某些特定情況下，當我們“被”自動關閉出錯系統(tǒng)時，我們就會想知道到底要不要實現(xiàn)自動化。但從內心深處發(fā)出的聲音告訴我們，自動化是人類的未來，這個未來近在眼前。而且，有鑒于當前網(wǎng)絡安全人才短缺的現(xiàn)狀，如果我們想要更好地發(fā)揮現(xiàn)有安全人員的作用，就必須自動化某些耗時的手動任務。

于是，我們應怎樣推進自動化，獲得正確應用自動化所帶來的價值呢?簡單5步即可，從上下文開始。

1. 上下文用以理解威脅并劃分威脅優(yōu)先級

安全運營中，上下文來自于將內部威脅及事件數(shù)據(jù)與外部威脅饋送相聚合和加成。通過將內部環(huán)境中的事件及相關指標(比如源自SIEM系統(tǒng)、日志管理庫和案例管理系統(tǒng)的事件和指標)與外部有關攻擊者、攻擊指標、攻擊方法的數(shù)據(jù)相關聯(lián)，就可以獲得有助于理解攻擊者、攻擊對象、目標位置、攻擊時間、攻擊動機和攻擊方法的相關上下文了。

2. 劃分優(yōu)先級以確定重點

可以基于與自身環(huán)境的相關性來劃定優(yōu)先級。但事件相關性各公司不同?；谧约涸O立的參數(shù)評估并調整風險得分很重要。過濾掉不重要的噪音可以幫助公司理清應該首先著手處理哪些事件，將時間精力集中到對公司而言最重要的事務上，不至于舍本逐末。

3. 抓住重點做出明智決策

沒有了噪音和誤報的干擾，就能更集中精力在分析和理解重要事務上。無論是在SIEM及評估警報工作中，還是在事件響應平臺觀察案例，你都有上下文、重點和喘息空間以做出更明智的決策。

4. 明智決策帶來更強信心

到了這一步，你就能更高效地開展工作了。你知道需要做什么，也開始了解怎么做能做得更好。隨著時間進程，隨著成功經(jīng)驗的累積，你會越來越自信，意識到自己不再需要手動處理那些已認定為重復性和低風險的事件了。

5. 信心驅動自動化

成功可以孕育出邁向自動化所需的信心。你充分理解了這些安全任務，不懼怕做出改變會對業(yè)務造成負面影響。你可能會決定自動化整個過程或僅選擇其中某幾個方面加以自動化，比如說警報排序、評分和重評分威脅饋送、鞏固傳感器網(wǎng)絡等等。

5級自動化和完全自治汽車的前景尚在爭論之中。但人類因素將依然是安全運營中的關鍵部分。自動化可以加速決策過程和提升響應速度，但只有上下文及其背后的人在驅動自動化，我們才有可能獲得自動化轉型的成功。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文