自動(dòng)化是當(dāng)前熱門(mén)話題，谷歌一搜就出來(lái)上億條有關(guān)安全自動(dòng)化的結(jié)果。鑒于網(wǎng)絡(luò)安全人才的全球緊缺，和我們必須處理的威脅規(guī)模及復(fù)雜度的持續(xù)上升，單憑人力已無(wú)法應(yīng)對(duì)。

[[205280]]

自動(dòng)化可以幫助公司企業(yè)從現(xiàn)有人力獲得更多價(jià)值——自動(dòng)化處理耗時(shí)手動(dòng)事務(wù)，以便讓員工可以專(zhuān)注高價(jià)值的分析性工作。但是，自動(dòng)化這班車(chē)也不是隨時(shí)隨地都能搭的，想要取得效果，就必須選擇安全生命周期中的正確時(shí)段來(lái)應(yīng)用自動(dòng)化。

安全界有句名言你或許聽(tīng)過(guò)：“臟數(shù)據(jù)進(jìn)，臟數(shù)據(jù)出。”直接跳到安全生命周期末端用自動(dòng)化采取行動(dòng)，比如自動(dòng)化行動(dòng)手冊(cè)和自動(dòng)發(fā)送最新情報(bào)到傳感器網(wǎng)格(防火墻、IPS/IDS、路由器、Web和電子郵件安全、終端等等)，是會(huì)得到反效果的。缺了先期的情報(bào)匯總、評(píng)分和排序，你就等著臟數(shù)據(jù)問(wèn)題惡化吧。

然而，設(shè)計(jì)一種能奏效的方法或許會(huì)很難——篩查數(shù)據(jù)所需的時(shí)間和精力都能超出你的資源承受力。畢竟，大多數(shù)公司企業(yè)，都被來(lái)自各種商業(yè)源、開(kāi)源、行業(yè)及現(xiàn)有安全廠商的數(shù)百萬(wàn)威脅數(shù)據(jù)點(diǎn)轟炸。更不用提自身各層防御及SIEM中每個(gè)產(chǎn)品產(chǎn)生的大量日志和事件數(shù)據(jù)了。

不是所有威脅數(shù)據(jù)都生來(lái)平等，總得對(duì)它們?cè)u(píng)個(gè)分排個(gè)序。這能有效降噪，凸顯有價(jià)值情報(bào)。情報(bào)饋送供應(yīng)商或許會(huì)提供“總體”評(píng)分，但實(shí)際上，因?yàn)椴皇歉鶕?jù)公司特定環(huán)境上下文評(píng)出的，該評(píng)分有可能僅僅是增加了噪音而已。更糟的是，上傳到公司SIEM或傳感器網(wǎng)格時(shí)，它們還可能以誤報(bào)的形式產(chǎn)生更多噪音，讓安全操作員以追蹤不存在的幽靈告終。臟數(shù)據(jù)進(jìn)，臟數(shù)據(jù)出。這就是為什么自動(dòng)化也需要發(fā)生在安全生命周期過(guò)程早期階段的原因。這樣不僅可以減小臟數(shù)據(jù)問(wèn)題，也能節(jié)約寶貴的時(shí)間和資源。

舉個(gè)例子，假設(shè)公司4個(gè)月的時(shí)間段里從多個(gè)饋送源引入了100萬(wàn)條入侵指標(biāo)(IOC)。用自動(dòng)化，可以將數(shù)據(jù)匯總到一個(gè)地方，然后用上下文進(jìn)行增強(qiáng)和豐富。然后，可以基于公司的風(fēng)險(xiǎn)級(jí)別，應(yīng)用自動(dòng)化評(píng)分框架過(guò)濾該情報(bào)，形成易處理的情報(bào)子集——將可操作數(shù)據(jù)集減少95%以上?？梢栽O(shè)置多個(gè)參數(shù)，重新定義計(jì)分方式，參數(shù)包括：指標(biāo)源、類(lèi)型、屬性和上下文，以及敵方歸因。

在將威脅數(shù)據(jù)引入公司環(huán)境之前，需要的時(shí)候也可以自動(dòng)重計(jì)算評(píng)分。因?yàn)殡S時(shí)間流逝而增加的情報(bào)會(huì)提升或降低威脅評(píng)分，也可以定期重評(píng)估這些分?jǐn)?shù)。100萬(wàn)IOC的例子中，自動(dòng)化優(yōu)化了威脅情報(bào)的匯總、評(píng)分和排序過(guò)程，這些工作如果交由安全分析師人工完成，可能需要增加2-3名全職安全分析師。

至此，將正確的情報(bào)部署給正確的工具對(duì)讀者來(lái)說(shuō)就不難了。因?yàn)槟阋呀?jīng)做好了準(zhǔn)備工作，可以更自信更可靠地使用自動(dòng)化了。真正著手的時(shí)候，你就能通過(guò)即時(shí)自動(dòng)地更新傳感器網(wǎng)格并緩和大部分手動(dòng)及碎片化工作，空出相當(dāng)于1-2個(gè)全職員工的工作量。

上述案例中，節(jié)約的成本并不是按情報(bào)量來(lái)計(jì)的，而是按員工工作流被打斷的工時(shí)來(lái)計(jì)的。這包括了網(wǎng)絡(luò)工程師需要停下手頭工作去登錄每一個(gè)傳感器技術(shù)(例如：防火墻、路由器、電子郵件、Web代理、DNS、終端等等)，上傳并測(cè)試最新情報(bào)，再回到原先遺留工作的過(guò)程中，所消耗掉的每一個(gè)小時(shí)。自動(dòng)化情報(bào)在傳感器棧上的應(yīng)用，可以指數(shù)級(jí)提升防御強(qiáng)度，還能減輕安全團(tuán)隊(duì)負(fù)擔(dān)，讓他們解放出來(lái)，持續(xù)關(guān)注自身優(yōu)先事務(wù)。

自動(dòng)化切入進(jìn)安全過(guò)程中，對(duì)抵御當(dāng)今復(fù)雜又持續(xù)的攻擊十分關(guān)鍵。但在威脅數(shù)據(jù)總量以驚人的速度攀升的情況下，我們需要從威脅開(kāi)始——自動(dòng)化我們收集、評(píng)分和排序威脅情報(bào)的方式。否則，我們就只是在放大噪音，浪費(fèi)寶貴的資源還阻礙安全——這就是那“骯臟”的秘密。