近年來，業(yè)界關(guān)于安全運(yùn)營自動(dòng)化以及自主安全的預(yù)期眾說紛紜，莫衷一是。多年來，領(lǐng)先的網(wǎng)絡(luò)安全廠商和分析機(jī)構(gòu)安全向分析師和運(yùn)營團(tuán)隊(duì)保證，單調(diào)乏味的安全運(yùn)營工作被交給機(jī)器的好日子正在到來，但不幸的是，今天這些崗位的安全人士依然疲于奔命，過勞率居高不下。

[[390246]]

問題出在哪里?我們離安全自動(dòng)化到底還有多遠(yuǎn)?解答這個(gè)問題我們不妨借鑒一下汽車行業(yè)的自動(dòng)駕駛分級。

作為傳統(tǒng)行業(yè)的代表，汽車行業(yè)似乎在創(chuàng)新領(lǐng)域沒有什么資格“鞭策”科技行業(yè)，但是融合多個(gè)領(lǐng)域變革的自動(dòng)駕駛汽車卻是個(gè)例外。

汽車行業(yè)和科技行業(yè)聯(lián)手為自動(dòng)駕駛汽車制定了一個(gè)標(biāo)準(zhǔn)化框架，而網(wǎng)絡(luò)安全行業(yè)在制定自動(dòng)化路線圖時(shí)也完全可以參考該框架。

血染的自動(dòng)駕駛分級

今天，汽車比以往任何時(shí)候都更省油、更豪華、更安全。但有一件事情變得更糟了：駕駛員。根據(jù)美國國家公路交通安全管理局(NHTSA)的數(shù)據(jù)分析，94%的嚴(yán)重汽車事故是人為錯(cuò)誤造成的。

為了提高道路安全性和駕駛員體驗(yàn)，汽車制造商正在引入創(chuàng)新技術(shù)，例如雨水感應(yīng)刮水器、自動(dòng)大燈和盲點(diǎn)檢測系統(tǒng)，幫助駕駛員將更多的注意力集中在道路上。但這并不總是有效(甚至是有害的)。

例如，自動(dòng)巡航系統(tǒng)(我們可以將其看作是某種程度的自動(dòng)化)旨在減輕腳踩油門的疲勞。但一個(gè)常見的問題是，它降低了司機(jī)的環(huán)境感知度，用踩油門會(huì)迫使您多加注意。而更先進(jìn)一些的自適應(yīng)巡航控制(ACC)，有了更多“自治”功能，如今已經(jīng)成為一種標(biāo)準(zhǔn)，因?yàn)樗鉀Q了自動(dòng)巡航控制1.0面臨一些挑戰(zhàn)(容易偏離車道、追尾等)。

這是從“自動(dòng)化”演變?yōu)?ldquo;自治”的一個(gè)很好的例子。實(shí)際上，汽車工程師協(xié)會(huì)(SAE)制定了描述汽車自動(dòng)化水平的標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)已被美國運(yùn)輸部和聯(lián)合國采用。根據(jù)該自動(dòng)駕駛分級標(biāo)準(zhǔn)，傳統(tǒng)的自動(dòng)巡航控制系統(tǒng)為0級，ACC為1級。特斯拉的“自動(dòng)駕駛”儀或凱迪拉克超級巡航系統(tǒng)被視為2級。

如果將該標(biāo)準(zhǔn)套用在網(wǎng)絡(luò)安全自動(dòng)化成熟度上，則可映射如下：

• 0級：沒有自動(dòng)化。零自治;安全分析師執(zhí)行所有分類、狩獵和調(diào)查。
• 1級：分析師協(xié)助。大多數(shù)安全工作是手動(dòng)的，但是工具集中可能包含一些分析師輔助功能。
• 2級：部分自動(dòng)化。安全程序可自動(dòng)執(zhí)行諸如響應(yīng)操作和策略執(zhí)行之類的功能，但由于誤報(bào)的普遍存在，分析人員必須保持參與。
• 3級：有條件自動(dòng)化。分析師是必不可少的，可以隨時(shí)進(jìn)行控制，但是高保真檢測、自主搜尋、分類、調(diào)查和響應(yīng)可以提高安全性和效率。
• 4級：高度自動(dòng)化。在特定條件下，所有安全工具都可以自主運(yùn)行。分析人員專注于定義和控制技術(shù)，然后由技術(shù)強(qiáng)制執(zhí)行這些策略。
• 5級：全自動(dòng)化。所有安全工具在任何情況下均可自主運(yùn)行。該技術(shù)會(huì)自動(dòng)定義并實(shí)施策略，分析人員可以覆蓋這些自治策略。

網(wǎng)絡(luò)安全的“無人駕駛”剛剛上路

正如號稱達(dá)到4級高度自動(dòng)駕駛的特斯拉FSD8.2測試版在奧克蘭街頭“處處鳥驚心”的糟糕表現(xiàn)給自動(dòng)化狂熱主義投機(jī)分子兜頭澆了一盆涼水，網(wǎng)絡(luò)安全的“無人駕駛”，也還有很長的路要走。

在網(wǎng)絡(luò)安全中，當(dāng)今被視為標(biāo)準(zhǔn)的一種基本自動(dòng)化是SIEM和網(wǎng)絡(luò)安全工具之間的關(guān)聯(lián)。例如，將與IP地址關(guān)聯(lián)的所有警報(bào)匯總到一個(gè)屏幕上，或者通過對共享源或目標(biāo)的警報(bào)進(jìn)行分組來標(biāo)識攻擊活動(dòng)。一些工具更智能，并使用其他上下文源，例如活動(dòng)目錄(AD)或威脅情報(bào)，或過濾掉“非惡意內(nèi)容”。但是，就像汽車最初的自動(dòng)巡航控制一樣，在網(wǎng)絡(luò)安全的世界中，自動(dòng)化會(huì)有很多意想不到的后果，這主要表現(xiàn)為大量的誤報(bào)或漏報(bào)。例如，隨著設(shè)備的移動(dòng)性越來越強(qiáng)，在公司網(wǎng)絡(luò)的內(nèi)部和外部“漫游”，在每個(gè)位置使用新的IP地址，同一設(shè)備在短時(shí)間內(nèi)可能會(huì)有多個(gè)地址，這會(huì)大大增加誤報(bào)幾率。

對照SAE自動(dòng)駕駛的0級——汽車自動(dòng)巡航控制，可以肯定地說，IP相關(guān)在安全自動(dòng)化的級別上是相同的。從更廣泛的角度來看網(wǎng)絡(luò)安全自動(dòng)化，大多數(shù)行業(yè)可能僅處于1級水平。

SOAR(安全編排、自動(dòng)化和響應(yīng))可以歸入2級(部分自動(dòng)化)。此類技術(shù)可自動(dòng)執(zhí)行多項(xiàng)低影響的響應(yīng)和補(bǔ)救任務(wù)，例如為IT服務(wù)臺創(chuàng)建支持工單，在多個(gè)安全工具之間自動(dòng)關(guān)聯(lián)或?qū)⒆C據(jù)收集到事件數(shù)據(jù)存儲中。

達(dá)到第4級和第5級需要整個(gè)網(wǎng)絡(luò)安全行業(yè)大幅提高其競爭能力。目前，重點(diǎn)應(yīng)該放在第3級：條件自動(dòng)化上。

回到與汽車自動(dòng)駕駛的類比，特斯拉的自動(dòng)駕駛儀不僅會(huì)分析車輛環(huán)境數(shù)據(jù)速度、行駛車道、制動(dòng)、加速等，還會(huì)分析其他車輛共享的道路數(shù)據(jù)，為駕駛員提供決策依據(jù)。

安全行業(yè)也需要類似的自動(dòng)化能力，才能將網(wǎng)絡(luò)安全提升到3級自動(dòng)化。根據(jù)我們從汽車中學(xué)到的知識，要達(dá)到此目標(biāo)，需要滿足幾個(gè)基本要求：首先我們需要減少對人類的認(rèn)知負(fù)擔(dān)，以便安全團(tuán)隊(duì)可以專注于重要的事情，消除諸如單調(diào)任務(wù)之類的壓力，并以記錄決策路徑的方式專注于用戶體驗(yàn)，從而使人類可以在需要的時(shí)間和地點(diǎn)進(jìn)行更深入的挖掘。

其次，人工分析人員將繼續(xù)在安全操作流程中扮演重要角色，并且可能會(huì)在未來幾年內(nèi)繼續(xù)發(fā)揮作用。通過破除最佳安全決策所需的知識和信息的藩籬和屏障，網(wǎng)絡(luò)安全人員的技能將被提到更高水平，這同時(shí)也將推動(dòng)企業(yè)堅(jiān)定地走上自治安全的道路。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文