安全運(yùn)營(yíng)中心 (SOC)在轉(zhuǎn)變?yōu)闄z測(cè)和響應(yīng)組織時(shí)在數(shù)據(jù)、系統(tǒng)和人員方面面臨著諸多挑戰(zhàn)。所需的關(guān)鍵要素包括相關(guān)和優(yōu)先的數(shù)據(jù)、跨系統(tǒng)的雙向集成以及被動(dòng)和主動(dòng)協(xié)作。而能夠?qū)⑦@一切結(jié)合在一起的是自動(dòng)化，特別是在安全人員短缺的情況下。

[[407897]]

目前出現(xiàn)了新的產(chǎn)品類別來(lái)應(yīng)對(duì)自動(dòng)化挑戰(zhàn)，包括安全編排、自動(dòng)化和響應(yīng) (SOAR) 平臺(tái)和工具以及擴(kuò)展檢測(cè)和響應(yīng) (XDR)解決方案。但事實(shí)是，安全行業(yè)的自動(dòng)化方法忽略了檢測(cè)和響應(yīng)用例的巨大不同需求，因?yàn)橹攸c(diǎn)一直放在定義流程和自動(dòng)化完成該流程所需的步驟上。如果您在靜態(tài)環(huán)境中一遍又一遍地做同樣的事情，那效果很好。但是對(duì)于動(dòng)態(tài)和可變的檢測(cè)和響應(yīng)，情況并非如此。從執(zhí)行操作中學(xué)到的東西遠(yuǎn)比操作本身重要，因此您需要查看流程的輸入和輸出。

舉個(gè)例子，精英運(yùn)動(dòng)員知道如何進(jìn)行他們選擇的運(yùn)動(dòng)，當(dāng)他們參與到這個(gè)過(guò)程中時(shí)，肌肉記憶發(fā)揮了作用，推動(dòng)他們更快更順利地完成動(dòng)作。但是，飲食、運(yùn)動(dòng)和環(huán)境對(duì)表現(xiàn)有著巨大的影響，從結(jié)果中學(xué)習(xí)也是如此--觀看和分析錄像帶，并結(jié)合教練的反饋意見(jiàn)，以便進(jìn)行調(diào)整和改進(jìn)。最終，運(yùn)動(dòng)員會(huì)出現(xiàn)高原反應(yīng)，團(tuán)隊(duì)會(huì)陷入困境。為了使他們的表現(xiàn)更上一層樓，他們會(huì)根據(jù)數(shù)據(jù)和學(xué)習(xí)結(jié)果對(duì)輸入做出更多的改變。因此，輸入和輸出推動(dòng)了整個(gè)過(guò)程，并促進(jìn)了預(yù)期結(jié)果。

這就是我們需要思考的自動(dòng)化問(wèn)題，以加速現(xiàn)代SOC運(yùn)作的檢測(cè)和響應(yīng)。自動(dòng)化不能只是運(yùn)行過(guò)程，而必須包括三個(gè)重要階段：

(1) 輸入：定義應(yīng)該對(duì)其采取什么行動(dòng)以及這些行動(dòng)應(yīng)該何時(shí)發(fā)生。

(2) 運(yùn)行：執(zhí)行行動(dòng)過(guò)程或定義的流程，直至完成。

(3) 輸出/反饋：記錄所學(xué)到的用于分析和改進(jìn)未來(lái)響應(yīng)的內(nèi)容。

為了進(jìn)一步細(xì)分，輸入涉及確定正確的標(biāo)準(zhǔn)和觸發(fā)程序。這首先是將正確的內(nèi)部數(shù)據(jù)自動(dòng)匯總到一個(gè)中央存儲(chǔ)庫(kù)，這樣分析師就可以全面了解他們所面臨的威脅以及他們必須防御的東西。分析師可以利用他們訂閱的多種來(lái)源的威脅數(shù)據(jù)(商業(yè)、開源、政府、行業(yè)、現(xiàn)有安全供應(yīng)商)以及MITRE ATT&CK等框架，自動(dòng)增強(qiáng)和豐富這些數(shù)據(jù)。結(jié)合和關(guān)聯(lián)內(nèi)部和外部數(shù)據(jù)，并應(yīng)用自動(dòng)評(píng)分框架，使你能夠根據(jù)與你的組織相關(guān)的內(nèi)容，優(yōu)先采取什么行動(dòng)。

有了正確的輸入，現(xiàn)在您可以簡(jiǎn)化采取的行動(dòng)并運(yùn)行正確的流程。您可以專注于對(duì)您的組織真正重要的事情，而不是浪費(fèi)時(shí)間運(yùn)行對(duì)最新威脅沒(méi)有必要或無(wú)效的流程。您可以將正確的智能部署到正確的工具上，立即自動(dòng)更新您的傳感器網(wǎng)格并減輕大部分手動(dòng)和分散的工作。這種數(shù)據(jù)驅(qū)動(dòng)的過(guò)程可以實(shí)現(xiàn)高效和有效的響應(yīng)。

最后，對(duì)于檢測(cè)和響應(yīng)，執(zhí)行動(dòng)作時(shí)的輸出和反饋遠(yuǎn)比動(dòng)作本身重要。定義您想要的結(jié)果以及應(yīng)該從所采取的行動(dòng)中學(xué)到什么將改善未來(lái)的響應(yīng)并有助于加強(qiáng)對(duì)未來(lái)類似威脅的保護(hù)。隨著新數(shù)據(jù)、反饋和學(xué)習(xí)添加到平臺(tái)，智能會(huì)自動(dòng)重新評(píng)估和重新確定優(yōu)先級(jí)，從而使自動(dòng)化的輸入階段更加高效。

由于安全人才緊缺以及需要進(jìn)行檢測(cè)和響應(yīng)等高級(jí)安全操作，自動(dòng)化是一項(xiàng)關(guān)鍵戰(zhàn)略。但為了效率和有效性，自動(dòng)化必須采用數(shù)據(jù)驅(qū)動(dòng)的方法，包括我們?nèi)绾螁?dòng)響應(yīng)并從中學(xué)習(xí)，而不僅僅是我們?nèi)绾螆?zhí)行流程。這就是我們?nèi)绾吾尫虐踩詣?dòng)化的全部力量。