安全自動化產業(yè)仍處在發(fā)展初期，但已經出現(xiàn)了一些有前途的技術，可即使是大公司，也并未跟上這一趨勢。

[[190927]]

大多數(shù)安全自動化行業(yè)的廠商，成立至今還只度過了1到2年的歲月，但已經產出了一些可被企業(yè)利用的光明技術——只要企業(yè)已經做了基礎準備工作便可使用。

安全自動化要解決的主要問題，是攻擊太多太快，而人力無法跟上。

然后還有網絡罪犯的問題，他們能從勒索軟件和其他攻擊中獲取巨大的利益，又反過來投入新攻擊方法的研究。還有民族國家?guī)淼耐{，還有慘烈的技術人才短缺問題。簡直就是場完美風暴。

去年秋天的一份調研中，91%的公司稱，人工過程所需時間和精力限制了他們的事件響應有效性，他們不得不積極增加人手。

62%的公司已經有了自動化事件響應過程，另35%正在開始自動化和編配項目，或者在未來12-18個月里有這個計劃。

奧爾茲克估測，安全自動化及協(xié)同的市場規(guī)模在1億到2億美元之間，幾家小廠商的銷售范圍在1000萬到2千萬美元之間。

理論上，安全自動化可以讓公司企業(yè)能夠調查不斷涌來的威脅，并在無人干預的情況下立即做出響應——至少，最常見的勞動密集型攻擊是可以自動化響應的。于是，安全分析師就能得到解放，有更多的時間可以專注在更復雜的攻擊上。

最近的一些跡象表明，這一切都是可能的。

到目前為止，大多數(shù)的進展都在防止攻擊者進入企業(yè)上。反惡意軟件系統(tǒng)、下一代防火墻和其他威脅識別封鎖系統(tǒng)都是如此。

最近，帶評分系統(tǒng)的威脅情報也出現(xiàn)了這就讓企業(yè)可以針對高風險威脅增加自動化措施，再用以前的人工過程處理有疑問的案例。

一些大公司也在部署協(xié)調平臺，驅動多系統(tǒng)聯(lián)動的自動化過程。

“但是這一類事件響應平臺目前還僅限于菁英企業(yè)，財富500強公司才有實力采用。”

另外，公司企業(yè)還會編寫腳本，從頭創(chuàng)建自己的自動化過程，不過沒有幾個技術專家是做不到這一點的。

自動化什么?誰來自動化?

SANS研究院的事件響應調查結論是，大多數(shù)過程仍然十分依賴人工。

50%的受訪者稱自己有一定程度的自動化，而這自動化程度最高的過程，是遠程部署安全廠商的定制內容或病毒特征庫。

位列第二的自動化過程，是封鎖通往惡意IP地址的命令與控制流量，有49%的受訪者反饋對該過程做了自動化。第三位的，是有47%的受訪者反饋的流氓文件清除過程。

最不可能被自動化的過程包括：修復過程中將受感染主機從網絡中隔離，以及關閉系統(tǒng)和讓主機下線。

但是，總體上，安全自動化落后其他技術過程的自動化大約10年。

投資公司 Scale Venture Partners 合伙人阿里爾·車特林說：“我們看到了IT自動化的巨大效果，安全上也將看到。”

安全謎題的預防部分是最為自動化的，過去兩年，巨大的投資額度落在了檢測上。

如今，大量的工作圍繞在檢測與響應之間，公司企業(yè)需要分清他們發(fā)現(xiàn)的指標是否是需要調查的真正的問題。

然而，現(xiàn)在可用的所有產品，都還處在非常早期的階段，這一領域還沒有出現(xiàn)所謂的領頭羊。

自動化檢測過程是有意義的，但完全自動化修復過程卻非常危險。

網絡安全咨詢公司 ClearSky Cyber Security 執(zhí)行董事杰·里克說：“至少在目前，我總是建議在檢測和響應之間設置人手。這個環(huán)節(jié)上，你不會想要出現(xiàn)誤報的。”

單步修復過程可以被自動化——只要其啟動是由人操控的。

市場上已經有一些廠商承諾要自動化整個過程了，包括自動化終端設備重鏡像，以及自動化用戶反網絡釣魚培訓。

AsTech Consulting 首席安全策略師內森·溫茲勒說：“但是，現(xiàn)實就是，大面積自動化其實不會有什么好效果。要么誤報很多，要么漏報很多。這么做只會讓用戶特別惱怒，尤其是在明明沒什么問題系統(tǒng)卻被重鏡像了的時候。”

鞏固和發(fā)展

很快，安全自動化將會普及，也會更易于使用。主流廠商正在購買小型編配公司，將他們的功能整合到平臺中，SIEM廠商一直在向自己的平臺里添加自動化和編配功能。

廠商還開始提供預制慣例和運維手冊，讓公司企業(yè)不用從頭開始建立自己的修復過程。

自動化技術發(fā)展的一個積極方面是，廠商之間或產品之間的藩籬將不復存在，不同技術不同產品可以相互協(xié)作。

其他IT領域里，這種事已經發(fā)生了。而在安全上，企業(yè)環(huán)境迥異，融合與聯(lián)動并不容易。

“企業(yè)有20、50或更多不同供應商很常見。”

因此，廠商被鼓勵良好協(xié)作，互操作性上的限制是不被客戶接受的。

為自動化做好準備

對想要部署安全自動化技術的公司而言，僅確立廠商產品是否成熟是不夠的。公司自身也必須準備好。

Forrester Research 分析師約瑟夫·布蘭肯施普說：“這絕對不是買來就用這么簡單的事。還有些基礎性工作要做。如果你將壞數(shù)據(jù)放進自動化系統(tǒng)中，那你不過是能更快地得出糟糕決策而已。”

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文