提升效率顯然可以節(jié)省時(shí)間和開(kāi)銷(xiāo)。除開(kāi)這么明顯的好處，還有一些其他隱形福利，比如減少人為失誤、提升準(zhǔn)確率、增加生產(chǎn)力等等。

[[227714]]

然而不幸的是，在事件響應(yīng)領(lǐng)域，缺乏效率卻是常態(tài)。雖然有些很棒的安全團(tuán)隊(duì)想要在事件響應(yīng)過(guò)程中引入效率，我們生活的世界流行的卻是“剪貼”式事件管理。即便團(tuán)隊(duì)相當(dāng)有才，想往事件響應(yīng)過(guò)程中引入效率卻也是舉步維艱。

這并不是說(shuō)就沒(méi)多少人想要提升事件響應(yīng)過(guò)程的效率，而是說(shuō)，某種程度上而言，所有關(guān)于提升事件響應(yīng)效率的討論都沒(méi)有產(chǎn)出什么太大的改變。個(gè)中原因有很多，比如到底是哪些領(lǐng)域讓企業(yè)投入大量時(shí)間進(jìn)行人工事件管理，大家的看法可能就存在差異。

或許把企業(yè)最需要往事件響應(yīng)工作流中引入效率的領(lǐng)域列舉一下，會(huì)對(duì)現(xiàn)狀有所幫助：

1. 警報(bào)/事件和事故單/工作隊(duì)列之間的智能映射

安全公司每天要處理的事件以十億計(jì)，警報(bào)也能有數(shù)萬(wàn)到數(shù)十萬(wàn)條，但真正開(kāi)出事故單需要納入工作隊(duì)列著手處理的，可能在幾百條左右。警報(bào)通常是由覆蓋一個(gè)或多個(gè)事件的邏輯自動(dòng)產(chǎn)生的。雖然質(zhì)量和精確度有待考證，但至少這個(gè)過(guò)程是相對(duì)自動(dòng)化的。只是，到底哪些警報(bào)需要納入工作隊(duì)列呢?很不幸，這個(gè)甄別過(guò)程就相當(dāng)不明確，基本上靠人工來(lái)做了。

2. 預(yù)判優(yōu)先級(jí)

不先定個(gè)優(yōu)先級(jí)就干等著眾多警報(bào)加入到工作隊(duì)列中，這種事無(wú)異于讓我們的團(tuán)隊(duì)白白浪費(fèi)大量時(shí)間在梳理成千上萬(wàn)個(gè)無(wú)意義的數(shù)據(jù)節(jié)點(diǎn)上。何不在警報(bào)變?yōu)楣ぷ髁恐熬拖认胂胛覀兊降酌媾R的是什么風(fēng)險(xiǎn)和威脅?在警報(bào)內(nèi)容構(gòu)建過(guò)程一開(kāi)始就定下優(yōu)先級(jí)不是很好嗎?

3. 強(qiáng)化前期分析

為什么要對(duì)著一大堆上下文和意義都不明確的數(shù)據(jù)發(fā)愁?為什么不戰(zhàn)略性地在數(shù)據(jù)構(gòu)建過(guò)程初期就進(jìn)行分析而產(chǎn)出高質(zhì)量的警報(bào)和更有意義更富上下文的數(shù)據(jù)再發(fā)到工作隊(duì)列呢?

4. 用戶識(shí)別

分析警報(bào)的時(shí)候必定要識(shí)別用戶。這一步完全可以自動(dòng)化，不需要再由人工操作了。

5. 資產(chǎn)識(shí)別

理由同上。

6. 警報(bào)評(píng)估

大多數(shù)警報(bào)評(píng)估涉及的事項(xiàng)都差不多，我們甚至可能遵循定好的流程來(lái)篩查某類(lèi)警報(bào)。這種重復(fù)性工作何不自動(dòng)化呢?

7. 理解警報(bào)

評(píng)估警報(bào)的時(shí)候，我們至少要對(duì)當(dāng)前發(fā)生的事情有個(gè)基本了解，而這通常涉及審查警報(bào)本身及相關(guān)支持性證據(jù)。為什么不把這些支持性證據(jù)自動(dòng)加進(jìn)來(lái)呢?

8. 抽取IOC

調(diào)查涉惡意代碼或惡意鏈接的事件往往需要抽取攻擊指標(biāo)(IOC)。都2018年了，好歹把抽取工作自動(dòng)化了吧!

9. 事件描述

決策需要上下文和對(duì)事件的理解。如果能把大部分事件描述工作給自動(dòng)化了，難道不是更能省出時(shí)間來(lái)進(jìn)行分析和事件響應(yīng)了嗎?

10. 分析

整個(gè)事件響應(yīng)工作流中最能體現(xiàn)人類(lèi)智慧的環(huán)節(jié)。于是，省省那些在Excel表格中剪切粘貼的無(wú)腦工作吧，我們可以做得更好的。

11. 識(shí)別感染/入侵方法

分析的成果之一，就是找出當(dāng)前安全狀態(tài)中的漏洞并補(bǔ)之。然而即便發(fā)現(xiàn)了漏洞，我們?nèi)匀恍枰粋€(gè)系統(tǒng)一個(gè)系統(tǒng)地登錄進(jìn)去再執(zhí)行漏洞修補(bǔ)動(dòng)作。這么費(fèi)事的過(guò)程，就不能統(tǒng)一執(zhí)行了嗎?

12. 轉(zhuǎn)向

隔離出行為異常的主機(jī)后，我們就會(huì)轉(zhuǎn)向研究這些主機(jī)最近都遭遇了什么。沒(méi)錯(cuò)，這里面涉及一些剪切粘貼的工作，還有額外的查詢之類(lèi)的。

13. 查找相關(guān)行為

深入了解了正在處理的事件后，我們就需要轉(zhuǎn)向可以使我們找出其他地方類(lèi)似事件的工作了。于是，另一波剪切粘貼和更多查詢襲來(lái)。

14. 識(shí)別/填補(bǔ)警報(bào)中的漏洞

如果錯(cuò)過(guò)了某些重要事件，我們就需要了解為什么警報(bào)機(jī)制中會(huì)出現(xiàn)漏洞，并將該漏洞堵上。該工作自然落在安全團(tuán)隊(duì)身上。但如果將來(lái)有工具可以更積極主動(dòng)地指引我們識(shí)別出漏掉的事件，不是更好嗎?

15. 識(shí)別根源

弄清事件產(chǎn)生根源非常重要，但這基本是個(gè)人工過(guò)程。如果能有些輔助措施，想必是很好的。

16. 改善安全態(tài)勢(shì)

發(fā)現(xiàn)了新的惡意域名，自然就會(huì)想要封鎖它或者導(dǎo)引到無(wú)害的地方掛起。當(dāng)然，這些操作都是人工的。

17. 事故單里記下一切

沒(méi)記錄就沒(méi)發(fā)生過(guò)。但事故單詳錄過(guò)程真的有必要做那么多剪切粘貼嗎?

18. 報(bào)告

嚴(yán)重事件通常需要做事后報(bào)告。如果事故單里已經(jīng)記錄下了一切重要信息，為什么還要重復(fù)一遍這個(gè)過(guò)程來(lái)提交一份可以讓人驕傲地上呈管理層、高管和其他利益相關(guān)者的報(bào)告呢?

19. 溝通

簡(jiǎn)明及時(shí)的溝通在事件處理過(guò)程中起著非常重要的作用。于是，如果能從事件處理系統(tǒng)自動(dòng)生成要匯報(bào)的各種郵件，不是很美好的事嗎?

20. 抽取經(jīng)驗(yàn)教訓(xùn)

世上沒(méi)有完美的安全項(xiàng)目。處理過(guò)的任何事件都可作為經(jīng)驗(yàn)教訓(xùn)以供將來(lái)參考。但這種經(jīng)驗(yàn)教訓(xùn)的抽取過(guò)程如果能有工具幫忙就更好了。