時(shí)至今日，安全的各個(gè)領(lǐng)域都在談?wù)撟詣?dòng)化。自動(dòng)化可以算是提高效率的一種好方法，但前提是它必須是被正確實(shí)踐的。很多時(shí)候，組織會(huì)把自動(dòng)化視為尋找問(wèn)題的解決方案，而不是將其用于解決問(wèn)題。組織如何巧妙地利用自動(dòng)化，并確定哪些才是適合自動(dòng)化的良好候選領(lǐng)域呢?

[[221327]]

為了回答這個(gè)問(wèn)題，你需要首先回答以下20個(gè)問(wèn)題：

1. 您的戰(zhàn)略情報(bào)是否采用了PDF格式?我們都需要在戰(zhàn)略層面上了解我們組織面臨的風(fēng)險(xiǎn)和威脅，但是通過(guò)頁(yè)面和自由格式文本頁(yè)面進(jìn)行梳理并不是實(shí)現(xiàn)附加價(jià)值的最佳操作方式。

2. 你是否每天都輪流訪問(wèn)幾個(gè)不同的安全新聞和信息網(wǎng)站?這份努力無(wú)疑是值得肯定的，但是首先你需要花時(shí)間充分了解自己到底需要尋找哪些內(nèi)容，以及如何將這些內(nèi)容整合到安全工作流程之中。

3. 你的情報(bào)是從何處獲取的?如果你主要是從需要手動(dòng)登錄的電子郵件和門(mén)戶網(wǎng)站來(lái)獲取這些情報(bào)，那么現(xiàn)在你就應(yīng)該考慮一下可以采取哪些措施來(lái)自動(dòng)執(zhí)行這一操作。

4. 你每天需要花費(fèi)多長(zhǎng)時(shí)間來(lái)手動(dòng)剪切和粘貼指標(biāo)以及其他數(shù)據(jù)?

5. 你是否經(jīng)常在多個(gè)工具和屏幕之間切換?有時(shí)候這是不可避免的過(guò)程，但是有些時(shí)候，你卻可以通過(guò)自動(dòng)化技術(shù)來(lái)減輕這種來(lái)回切換造成的影響。

6. 當(dāng)審查、評(píng)估和/或調(diào)查異常警報(bào)時(shí)，你是否發(fā)現(xiàn)自己需要在Excel(或其他此類(lèi)工具)中操控?cái)?shù)據(jù)?

7. 你多久在工具間剪切和粘貼查詢一次?這是其中一個(gè)典型的時(shí)間統(tǒng)計(jì)。

8. 你多久將查詢結(jié)果剪切并粘貼到安全事故單中一次?

9. 在調(diào)查異常警報(bào)時(shí)，您是否需要訪問(wèn)眾多日志或數(shù)據(jù)源以獲取所需的可見(jiàn)性?如果是，你可能就需要認(rèn)真考慮一下“合并”的問(wèn)題了。

10. 如何理解問(wèn)題9中的“合并”問(wèn)題?是否有更廣泛的數(shù)據(jù)源可以包含眾多高度專(zhuān)業(yè)化的數(shù)據(jù)源所提供的數(shù)據(jù)?

11. 你是否發(fā)現(xiàn)自己正在一遍又一遍地運(yùn)行相同的查詢?

12. 你是否知道自己的網(wǎng)絡(luò)上有什么，以及它是如何進(jìn)行通信的?或者你是否發(fā)現(xiàn)自己需要一遍又一遍地手動(dòng)識(shí)別這些信息?

13. 當(dāng)發(fā)布漏洞信息時(shí)，你是否發(fā)現(xiàn)自己需要手動(dòng)整合漏洞公告、資產(chǎn)數(shù)據(jù)庫(kù)、端點(diǎn)數(shù)據(jù)庫(kù)以及網(wǎng)絡(luò)數(shù)據(jù)之間的數(shù)據(jù)集?

14. 你是否發(fā)現(xiàn)自己正在重復(fù)地為管理層運(yùn)行手工報(bào)表?如此的話，你最好花些時(shí)間了解管理層們的真正訴求，并想辦法運(yùn)用自動(dòng)化的方式將這些信息進(jìn)行上報(bào)。

15. 你是否發(fā)現(xiàn)自己正在不斷更新咨詢合同?無(wú)疑技術(shù)有其局限性，顧問(wèn)在某些情況下肯定會(huì)有所幫助，但這些應(yīng)該只作為權(quán)宜之計(jì)，而不是永久性的解決方案。

16. 在執(zhí)行供應(yīng)商風(fēng)險(xiǎn)評(píng)估時(shí)，你是否發(fā)現(xiàn)自己已經(jīng)淹沒(méi)于一堆電子表格之中?

17. 當(dāng)客戶試圖評(píng)估你作為供應(yīng)商向他們介紹的風(fēng)險(xiǎn)時(shí)，你是否發(fā)現(xiàn)自己正在一遍又一遍地填寫(xiě)相同的電子表格?

18. 為了滿足行業(yè)標(biāo)準(zhǔn)和法規(guī)，你是否會(huì)被迫與審計(jì)師和顧問(wèn)一起待上很多天?也許這時(shí)候你應(yīng)該考慮一下如何自動(dòng)管理和操控這一過(guò)程。

19. 在完成一次事件調(diào)查時(shí)，你是否必須手動(dòng)檢查系統(tǒng)是否已得到修復(fù)，以及確定問(wèn)題是否徹底得到解決?

20. 你是否發(fā)現(xiàn)自己需要不間斷地手動(dòng)生成事后報(bào)告?

必須肯定的一點(diǎn)是，從來(lái)都不缺將自動(dòng)化引入安全運(yùn)營(yíng)和事件響應(yīng)工作流程中的機(jī)會(huì)。雖然對(duì)自動(dòng)化采取“一攬子”(即對(duì)各種事物不加區(qū)別或選擇)方式并不奏效，但是將自動(dòng)化項(xiàng)目實(shí)踐于特定的手動(dòng)、勞動(dòng)密集型以及需要重復(fù)操作的工作之中，還是可以大大提高安全組織的效率。如果自動(dòng)化實(shí)踐合理，還能夠幫助企業(yè)在時(shí)間和成本上節(jié)省大筆支出。

小提示：

如果你是“效率”的忠實(shí)擁護(hù)者，并且從事安全運(yùn)營(yíng)和事件響應(yīng)工作，建議使用可統(tǒng)計(jì)軟件使用時(shí)間，來(lái)找出有價(jià)值的分析時(shí)間究竟用在了哪些地方。通常來(lái)講，涉及手動(dòng)、勞動(dòng)密集型以及需要重復(fù)操作的任務(wù)，用的時(shí)間就會(huì)多。

如果某些工作并沒(méi)有為安全運(yùn)營(yíng)增添任何價(jià)值，那么它就不值得任何時(shí)間投入，可以隨時(shí)被取消。反過(guò)來(lái)說(shuō)，如果一個(gè)工作被認(rèn)為對(duì)安全操作起到至關(guān)重要的作用，那么它就可以成為自動(dòng)化的理想候選。