三周前,瑞典汽车制造商沃尔沃宣布将在2021年推出4级自动驾驶汽车。按照美国国家公路交通安全管理局划分的自动化等级,4级汽车就是高级自动化了的了。这意味着车辆本身在一定条件下执行所有驾驶功能,而驾驶员也可以选择控制汽车。也就是说,3年后,沃尔沃驾驶者就可以在行驶的同时打瞌睡、吃东西、讲电话、看书,甚至看电影了。4级以下的自动化水平下,驾驶员还得不同程度上地参与驾驶过程,到了5级,那就真的完全用不到人类驾驶员的存在了。
从沃尔沃CEO的言论上看,沃尔沃似乎完全跳过了3级自动化,觉得3级是不安全的。自动化等级低,就有可能出现责任和控制上的混乱,可靠性上有风险。在我们生活的其他领域中应用自动化也有类似的问题,比如安全运营自动化。哪个级别才是正确的?我们应做些什么才可以恰当地应用自动化?
安全自动化这个议题我们已经谈论多年,该在何时、哪方面、怎样进行自动化也是安全界一直在探索的问题。人机对战话题更是经久不衰。而且某些特定情况下,当我们“被”自动关闭出错系统时,我们就会想知道到底要不要实现自动化。但从内心深处发出的声音告诉我们,自动化是人类的未来,这个未来近在眼前。而且,有鉴于当前网络安全人才短缺的现状,如果我们想要更好地发挥现有安全人员的作用,就必须自动化某些耗时的手动任务。
于是,我们应怎样推进自动化,获得正确应用自动化所带来的价值呢?简单5步即可,从上下文开始。
1. 上下文用以理解威胁并划分威胁优先级
安全运营中,上下文来自于将内部威胁及事件数据与外部威胁馈送相聚合和加成。通过将内部环境中的事件及相关指标(比如源自SIEM系统、日志管理库和案例管理系统的事件和指标)与外部有关攻击者、攻击指标、攻击方法的数据相关联,就可以获得有助于理解攻击者、攻击对象、目标位置、攻击时间、攻击动机和攻击方法的相关上下文了。
2. 划分优先级以确定重点
可以基于与自身环境的相关性来划定优先级。但事件相关性各公司不同。基于自己设立的参数评估并调整风险得分很重要。过滤掉不重要的噪音可以帮助公司理清应该首先着手处理哪些事件,将时间精力集中到对公司而言最重要的事务上,不至于舍本逐末。
3. 抓住重点做出明智决策
没有了噪音和误报的干扰,就能更集中精力在分析和理解重要事务上。无论是在SIEM及评估警报工作中,还是在事件响应平台观察案例,你都有上下文、重点和喘息空间以做出更明智的决策。
4. 明智决策带来更强信心
到了这一步,你就能更高效地开展工作了。你知道需要做什么,也开始了解怎么做能做得更好。随着时间进程,随着成功经验的累积,你会越来越自信,意识到自己不再需要手动处理那些已认定为重复性和低风险的事件了。
5. 信心驱动自动化
成功可以孕育出迈向自动化所需的信心。你充分理解了这些安全任务,不惧怕做出改变会对业务造成负面影响。你可能会决定自动化整个过程或仅选择其中某几个方面加以自动化,比如说警报排序、评分和重评分威胁馈送、巩固传感器网络等等。
5级自动化和完全自治汽车的前景尚在争论之中。但人类因素将依然是安全运营中的关键部分。自动化可以加速决策过程和提升响应速度,但只有上下文及其背后的人在驱动自动化,我们才有可能获得自动化转型的成功。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】