安全人員最頭疼的問(wèn)題之一是大量警報(bào)。即使在過(guò)濾掉噪音之后，這個(gè)數(shù)字也仍然遠(yuǎn)超安全團(tuán)隊(duì)的處理能力。同時(shí)，招聘熟練安全專(zhuān)業(yè)人員的預(yù)算也很少，少到連其他專(zhuān)業(yè)人員兼職安全的預(yù)算也不夠。因此，似乎只剩下一條道路了，自動(dòng)化。

自動(dòng)化響應(yīng)可以分成三個(gè)進(jìn)階，我們結(jié)合以下三個(gè)場(chǎng)景來(lái)了解：

情景1：潛在的內(nèi)部威脅

某用戶機(jī)構(gòu)的IT管理員賬號(hào)被用來(lái)登陸訪問(wèn)并修改以前從未觸碰過(guò)的系統(tǒng)。這可能是對(duì)潛在內(nèi)部威脅的預(yù)警，但也可能什么都不是。異?；顒?dòng)會(huì)觸發(fā)一個(gè)playbook，向IT管理員及其主管的移動(dòng)設(shè)備上推送通知。他們可以選擇在活動(dòng)目錄中禁用用戶賬號(hào)，或者ServiceNow中打開(kāi)一個(gè)ticket做進(jìn)一步調(diào)查。

場(chǎng)景2：特權(quán)賬號(hào)訪問(wèn)異常

高級(jí)管理人員的特權(quán)賬號(hào)正被用來(lái)從一個(gè)不尋常的地理位置操縱公司信息。該事件觸發(fā)了一個(gè)playbook，以控制潛在的威脅，并通知安全團(tuán)隊(duì)。賬號(hào)的權(quán)限受到限制，推送通知發(fā)送給安全管理員，并將消息發(fā)送給安全團(tuán)隊(duì)，以驗(yàn)證活動(dòng)的合法性。

情景3：復(fù)雜的失陷指征

一家醫(yī)療診所的患者住院系統(tǒng)顯示PowerShell活動(dòng)異常，與已知的勒索軟件攻擊活動(dòng)一致。該事件立即觸發(fā)一個(gè)playbook，以隔離失陷主機(jī)，并在邊緣層阻止外部資源的通信，以防止傳播到其他主機(jī)。

分析

第一個(gè)場(chǎng)景是一個(gè)組織在其響應(yīng)計(jì)劃中探索自動(dòng)化的早期階段的示例，它允許在執(zhí)行對(duì)安全控制的更改之前進(jìn)行人工引導(dǎo)的決策。如，禁用用戶賬號(hào)。同時(shí)，也推動(dòng)了進(jìn)一步的調(diào)查工作。在這一階段，組織希望確保了解資產(chǎn)(系統(tǒng))的關(guān)鍵性，并將其歸類(lèi)為“關(guān)鍵資產(chǎn)”，以開(kāi)展自動(dòng)化響應(yīng)工作。

第二個(gè)場(chǎng)景是一個(gè)組織開(kāi)始擁抱自動(dòng)化的例子。某個(gè)條件觸發(fā)安全控制并自動(dòng)調(diào)整成更嚴(yán)格的限制，并在調(diào)查人員驗(yàn)證活動(dòng)合法性的同時(shí)，仍然允許用戶訪問(wèn)內(nèi)部資源。這一階段，具備了在調(diào)查工作進(jìn)行的執(zhí)行安全控制措施，顯然超越了“非黑即白”的早期自動(dòng)化階段。

第三個(gè)場(chǎng)景則是真正的自動(dòng)化響應(yīng)。自動(dòng)化系統(tǒng)在主機(jī)和邊緣層安全控制自動(dòng)執(zhí)行操作，以防止傳播和入侵。速度至關(guān)重要，因此沒(méi)有人為的決策點(diǎn)。盡管會(huì)向相關(guān)者發(fā)出某種通知，以便對(duì)受影響的系統(tǒng)進(jìn)行進(jìn)一步的取證和加固。

總而言之，上述三種情況都需要采取多種措施，包括通知相關(guān)人員和調(diào)整安全控制。大多數(shù)開(kāi)始實(shí)施自動(dòng)響應(yīng)的組織都會(huì)在條件滿足時(shí)通知員工，直到安全控制措施不會(huì)產(chǎn)生中斷業(yè)務(wù)的意外后果。然后再找到并優(yōu)化需要改進(jìn)的地方，以逐步實(shí)現(xiàn)自動(dòng)化。最終，判斷一個(gè)組織是否做到了真正的自動(dòng)化響應(yīng)，要看其是否對(duì)自身的安全態(tài)勢(shì)感到滿意，并能夠以自己的節(jié)奏采取控制措施，平衡流程自動(dòng)化和人機(jī)交互，以滿足其安全需求。