时至今日,安全的各个领域都在谈论自动化。自动化可以算是提高效率的一种好方法,但前提是它必须是被正确实践的。很多时候,组织会把自动化视为寻找问题的解决方案,而不是将其用于解决问题。组织如何巧妙地利用自动化,并确定哪些才是适合自动化的良好候选领域呢?
为了回答这个问题,你需要首先回答以下20个问题:
1. 您的战略情报是否采用了PDF格式?我们都需要在战略层面上了解我们组织面临的风险和威胁,但是通过页面和自由格式文本页面进行梳理并不是实现附加价值的最佳操作方式。
2. 你是否每天都轮流访问几个不同的安全新闻和信息网站?这份努力无疑是值得肯定的,但是首先你需要花时间充分了解自己到底需要寻找哪些内容,以及如何将这些内容整合到安全工作流程之中。
3. 你的情报是从何处获取的?如果你主要是从需要手动登录的电子邮件和门户网站来获取这些情报,那么现在你就应该考虑一下可以采取哪些措施来自动执行这一操作。
4. 你每天需要花费多长时间来手动剪切和粘贴指标以及其他数据?
5. 你是否经常在多个工具和屏幕之间切换?有时候这是不可避免的过程,但是有些时候,你却可以通过自动化技术来减轻这种来回切换造成的影响。
6. 当审查、评估和/或调查异常警报时,你是否发现自己需要在Excel(或其他此类工具)中操控数据?
7. 你多久在工具间剪切和粘贴查询一次?这是其中一个典型的时间统计。
8. 你多久将查询结果剪切并粘贴到安全事故单中一次?
9. 在调查异常警报时,您是否需要访问众多日志或数据源以获取所需的可见性?如果是,你可能就需要认真考虑一下“合并”的问题了。
10. 如何理解问题9中的“合并”问题?是否有更广泛的数据源可以包含众多高度专业化的数据源所提供的数据?
11. 你是否发现自己正在一遍又一遍地运行相同的查询?
12. 你是否知道自己的网络上有什么,以及它是如何进行通信的?或者你是否发现自己需要一遍又一遍地手动识别这些信息?
13. 当发布漏洞信息时,你是否发现自己需要手动整合漏洞公告、资产数据库、端点数据库以及网络数据之间的数据集?
14. 你是否发现自己正在重复地为管理层运行手工报表?如此的话,你最好花些时间了解管理层们的真正诉求,并想办法运用自动化的方式将这些信息进行上报。
15. 你是否发现自己正在不断更新咨询合同?无疑技术有其局限性,顾问在某些情况下肯定会有所帮助,但这些应该只作为权宜之计,而不是永久性的解决方案。
16. 在执行供应商风险评估时,你是否发现自己已经淹没于一堆电子表格之中?
17. 当客户试图评估你作为供应商向他们介绍的风险时,你是否发现自己正在一遍又一遍地填写相同的电子表格?
18. 为了满足行业标准和法规,你是否会被迫与审计师和顾问一起待上很多天?也许这时候你应该考虑一下如何自动管理和操控这一过程。
19. 在完成一次事件调查时,你是否必须手动检查系统是否已得到修复,以及确定问题是否彻底得到解决?
20. 你是否发现自己需要不间断地手动生成事后报告?
必须肯定的一点是,从来都不缺将自动化引入安全运营和事件响应工作流程中的机会。虽然对自动化采取“一揽子”(即对各种事物不加区别或选择)方式并不奏效,但是将自动化项目实践于特定的手动、劳动密集型以及需要重复操作的工作之中,还是可以大大提高安全组织的效率。如果自动化实践合理,还能够帮助企业在时间和成本上节省大笔支出。
小提示:
如果你是“效率”的忠实拥护者,并且从事安全运营和事件响应工作,建议使用可统计软件使用时间,来找出有价值的分析时间究竟用在了哪些地方。通常来讲,涉及手动、劳动密集型以及需要重复操作的任务,用的时间就会多。
如果某些工作并没有为安全运营增添任何价值,那么它就不值得任何时间投入,可以随时被取消。反过来说,如果一个工作被认为对安全操作起到至关重要的作用,那么它就可以成为自动化的理想候选。