三周前，瑞典汽車制造商沃爾沃宣布將在2021年推出4級自動駕駛汽車。按照美國國家公路交通安全管理局劃分的自動化等級，4級汽車就是高級自動化了的了。這意味著車輛本身在一定條件下執(zhí)行所有駕駛功能，而駕駛員也可以選擇控制汽車。也就是說，3年后，沃爾沃駕駛者就可以在行駛的同時打瞌睡、吃東西、講電話、看書，甚至看電影了。4級以下的自動化水平下，駕駛員還得不同程度上地參與駕駛過程，到了5級，那就真的完全用不到人類駕駛員的存在了。

從沃爾沃CEO的言論上看，沃爾沃似乎完全跳過了3級自動化，覺得3級是不安全的。自動化等級低，就有可能出現(xiàn)責(zé)任和控制上的混亂，可靠性上有風(fēng)險。在我們生活的其他領(lǐng)域中應(yīng)用自動化也有類似的問題，比如安全運(yùn)營自動化。哪個級別才是正確的?我們應(yīng)做些什么才可以恰當(dāng)?shù)貞?yīng)用自動化?

[[237367]]

安全自動化這個議題我們已經(jīng)談?wù)摱嗄?，該在何時、哪方面、怎樣進(jìn)行自動化也是安全界一直在探索的問題。人機(jī)對戰(zhàn)話題更是經(jīng)久不衰。而且某些特定情況下，當(dāng)我們“被”自動關(guān)閉出錯系統(tǒng)時，我們就會想知道到底要不要實(shí)現(xiàn)自動化。但從內(nèi)心深處發(fā)出的聲音告訴我們，自動化是人類的未來，這個未來近在眼前。而且，有鑒于當(dāng)前網(wǎng)絡(luò)安全人才短缺的現(xiàn)狀，如果我們想要更好地發(fā)揮現(xiàn)有安全人員的作用，就必須自動化某些耗時的手動任務(wù)。

于是，我們應(yīng)怎樣推進(jìn)自動化，獲得正確應(yīng)用自動化所帶來的價值呢?簡單5步即可，從上下文開始。

1. 上下文用以理解威脅并劃分威脅優(yōu)先級

安全運(yùn)營中，上下文來自于將內(nèi)部威脅及事件數(shù)據(jù)與外部威脅饋送相聚合和加成。通過將內(nèi)部環(huán)境中的事件及相關(guān)指標(biāo)(比如源自SIEM系統(tǒng)、日志管理庫和案例管理系統(tǒng)的事件和指標(biāo))與外部有關(guān)攻擊者、攻擊指標(biāo)、攻擊方法的數(shù)據(jù)相關(guān)聯(lián)，就可以獲得有助于理解攻擊者、攻擊對象、目標(biāo)位置、攻擊時間、攻擊動機(jī)和攻擊方法的相關(guān)上下文了。

2. 劃分優(yōu)先級以確定重點(diǎn)

可以基于與自身環(huán)境的相關(guān)性來劃定優(yōu)先級。但事件相關(guān)性各公司不同?；谧约涸O(shè)立的參數(shù)評估并調(diào)整風(fēng)險得分很重要。過濾掉不重要的噪音可以幫助公司理清應(yīng)該首先著手處理哪些事件，將時間精力集中到對公司而言最重要的事務(wù)上，不至于舍本逐末。

3. 抓住重點(diǎn)做出明智決策

沒有了噪音和誤報的干擾，就能更集中精力在分析和理解重要事務(wù)上。無論是在SIEM及評估警報工作中，還是在事件響應(yīng)平臺觀察案例，你都有上下文、重點(diǎn)和喘息空間以做出更明智的決策。

4. 明智決策帶來更強(qiáng)信心

到了這一步，你就能更高效地開展工作了。你知道需要做什么，也開始了解怎么做能做得更好。隨著時間進(jìn)程，隨著成功經(jīng)驗(yàn)的累積，你會越來越自信，意識到自己不再需要手動處理那些已認(rèn)定為重復(fù)性和低風(fēng)險的事件了。

5. 信心驅(qū)動自動化

成功可以孕育出邁向自動化所需的信心。你充分理解了這些安全任務(wù)，不懼怕做出改變會對業(yè)務(wù)造成負(fù)面影響。你可能會決定自動化整個過程或僅選擇其中某幾個方面加以自動化，比如說警報排序、評分和重評分威脅饋送、鞏固傳感器網(wǎng)絡(luò)等等。

5級自動化和完全自治汽車的前景尚在爭論之中。但人類因素將依然是安全運(yùn)營中的關(guān)鍵部分。自動化可以加速決策過程和提升響應(yīng)速度，但只有上下文及其背后的人在驅(qū)動自動化，我們才有可能獲得自動化轉(zhuǎn)型的成功。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文