安全運營中心 (SOC)在轉(zhuǎn)變?yōu)闄z測和響應(yīng)組織時在數(shù)據(jù)、系統(tǒng)和人員方面面臨著諸多挑戰(zhàn)。所需的關(guān)鍵要素包括相關(guān)和優(yōu)先的數(shù)據(jù)、跨系統(tǒng)的雙向集成以及被動和主動協(xié)作。而能夠?qū)⑦@一切結(jié)合在一起的是自動化，特別是在安全人員短缺的情況下。

[[407897]]

目前出現(xiàn)了新的產(chǎn)品類別來應(yīng)對自動化挑戰(zhàn)，包括安全編排、自動化和響應(yīng) (SOAR) 平臺和工具以及擴(kuò)展檢測和響應(yīng) (XDR)解決方案。但事實是，安全行業(yè)的自動化方法忽略了檢測和響應(yīng)用例的巨大不同需求，因為重點一直放在定義流程和自動化完成該流程所需的步驟上。如果您在靜態(tài)環(huán)境中一遍又一遍地做同樣的事情，那效果很好。但是對于動態(tài)和可變的檢測和響應(yīng)，情況并非如此。從執(zhí)行操作中學(xué)到的東西遠(yuǎn)比操作本身重要，因此您需要查看流程的輸入和輸出。

舉個例子，精英運動員知道如何進(jìn)行他們選擇的運動，當(dāng)他們參與到這個過程中時，肌肉記憶發(fā)揮了作用，推動他們更快更順利地完成動作。但是，飲食、運動和環(huán)境對表現(xiàn)有著巨大的影響，從結(jié)果中學(xué)習(xí)也是如此--觀看和分析錄像帶，并結(jié)合教練的反饋意見，以便進(jìn)行調(diào)整和改進(jìn)。最終，運動員會出現(xiàn)高原反應(yīng)，團(tuán)隊會陷入困境。為了使他們的表現(xiàn)更上一層樓，他們會根據(jù)數(shù)據(jù)和學(xué)習(xí)結(jié)果對輸入做出更多的改變。因此，輸入和輸出推動了整個過程，并促進(jìn)了預(yù)期結(jié)果。

這就是我們需要思考的自動化問題，以加速現(xiàn)代SOC運作的檢測和響應(yīng)。自動化不能只是運行過程，而必須包括三個重要階段：

(1) 輸入：定義應(yīng)該對其采取什么行動以及這些行動應(yīng)該何時發(fā)生。

(2) 運行：執(zhí)行行動過程或定義的流程，直至完成。

(3) 輸出/反饋：記錄所學(xué)到的用于分析和改進(jìn)未來響應(yīng)的內(nèi)容。

為了進(jìn)一步細(xì)分，輸入涉及確定正確的標(biāo)準(zhǔn)和觸發(fā)程序。這首先是將正確的內(nèi)部數(shù)據(jù)自動匯總到一個中央存儲庫，這樣分析師就可以全面了解他們所面臨的威脅以及他們必須防御的東西。分析師可以利用他們訂閱的多種來源的威脅數(shù)據(jù)(商業(yè)、開源、政府、行業(yè)、現(xiàn)有安全供應(yīng)商)以及MITRE ATT&CK等框架，自動增強和豐富這些數(shù)據(jù)。結(jié)合和關(guān)聯(lián)內(nèi)部和外部數(shù)據(jù)，并應(yīng)用自動評分框架，使你能夠根據(jù)與你的組織相關(guān)的內(nèi)容，優(yōu)先采取什么行動。

有了正確的輸入，現(xiàn)在您可以簡化采取的行動并運行正確的流程。您可以專注于對您的組織真正重要的事情，而不是浪費時間運行對最新威脅沒有必要或無效的流程。您可以將正確的智能部署到正確的工具上，立即自動更新您的傳感器網(wǎng)格并減輕大部分手動和分散的工作。這種數(shù)據(jù)驅(qū)動的過程可以實現(xiàn)高效和有效的響應(yīng)。

最后，對于檢測和響應(yīng)，執(zhí)行動作時的輸出和反饋遠(yuǎn)比動作本身重要。定義您想要的結(jié)果以及應(yīng)該從所采取的行動中學(xué)到什么將改善未來的響應(yīng)并有助于加強對未來類似威脅的保護(hù)。隨著新數(shù)據(jù)、反饋和學(xué)習(xí)添加到平臺，智能會自動重新評估和重新確定優(yōu)先級，從而使自動化的輸入階段更加高效。

由于安全人才緊缺以及需要進(jìn)行檢測和響應(yīng)等高級安全操作，自動化是一項關(guān)鍵戰(zhàn)略。但為了效率和有效性，自動化必須采用數(shù)據(jù)驅(qū)動的方法，包括我們?nèi)绾螁禹憫?yīng)并從中學(xué)習(xí)，而不僅僅是我們?nèi)绾螆?zhí)行流程。這就是我們?nèi)绾吾尫虐踩詣踊娜苛α俊?/p>