安全人員最頭疼的問題之一是大量警報。即使在過濾掉噪音之后，這個數(shù)字也仍然遠超安全團隊的處理能力。同時，招聘熟練安全專業(yè)人員的預算也很少，少到連其他專業(yè)人員兼職安全的預算也不夠。因此，似乎只剩下一條道路了，自動化。

自動化響應(yīng)可以分成三個進階，我們結(jié)合以下三個場景來了解：

情景1：潛在的內(nèi)部威脅

某用戶機構(gòu)的IT管理員賬號被用來登陸訪問并修改以前從未觸碰過的系統(tǒng)。這可能是對潛在內(nèi)部威脅的預警，但也可能什么都不是。異?；顒訒|發(fā)一個playbook，向IT管理員及其主管的移動設(shè)備上推送通知。他們可以選擇在活動目錄中禁用用戶賬號，或者ServiceNow中打開一個ticket做進一步調(diào)查。

場景2：特權(quán)賬號訪問異常

高級管理人員的特權(quán)賬號正被用來從一個不尋常的地理位置操縱公司信息。該事件觸發(fā)了一個playbook，以控制潛在的威脅，并通知安全團隊。賬號的權(quán)限受到限制，推送通知發(fā)送給安全管理員，并將消息發(fā)送給安全團隊，以驗證活動的合法性。

情景3：復雜的失陷指征

一家醫(yī)療診所的患者住院系統(tǒng)顯示PowerShell活動異常，與已知的勒索軟件攻擊活動一致。該事件立即觸發(fā)一個playbook，以隔離失陷主機，并在邊緣層阻止外部資源的通信，以防止傳播到其他主機。

分析

第一個場景是一個組織在其響應(yīng)計劃中探索自動化的早期階段的示例，它允許在執(zhí)行對安全控制的更改之前進行人工引導的決策。如，禁用用戶賬號。同時，也推動了進一步的調(diào)查工作。在這一階段，組織希望確保了解資產(chǎn)(系統(tǒng))的關(guān)鍵性，并將其歸類為“關(guān)鍵資產(chǎn)”，以開展自動化響應(yīng)工作。

第二個場景是一個組織開始擁抱自動化的例子。某個條件觸發(fā)安全控制并自動調(diào)整成更嚴格的限制，并在調(diào)查人員驗證活動合法性的同時，仍然允許用戶訪問內(nèi)部資源。這一階段，具備了在調(diào)查工作進行的執(zhí)行安全控制措施，顯然超越了“非黑即白”的早期自動化階段。

第三個場景則是真正的自動化響應(yīng)。自動化系統(tǒng)在主機和邊緣層安全控制自動執(zhí)行操作，以防止傳播和入侵。速度至關(guān)重要，因此沒有人為的決策點。盡管會向相關(guān)者發(fā)出某種通知，以便對受影響的系統(tǒng)進行進一步的取證和加固。

總而言之，上述三種情況都需要采取多種措施，包括通知相關(guān)人員和調(diào)整安全控制。大多數(shù)開始實施自動響應(yīng)的組織都會在條件滿足時通知員工，直到安全控制措施不會產(chǎn)生中斷業(yè)務(wù)的意外后果。然后再找到并優(yōu)化需要改進的地方，以逐步實現(xiàn)自動化。最終，判斷一個組織是否做到了真正的自動化響應(yīng)，要看其是否對自身的安全態(tài)勢感到滿意，并能夠以自己的節(jié)奏采取控制措施，平衡流程自動化和人機交互，以滿足其安全需求。