如今，许多安全运营中心(SOC)都在面临着同样的困境——警报太多，而处理它们的人员却又太少。随着时间的推移，这种问题将会变得更加严重，因为生成警报的设备数量的增长速度，要远远快于可用于分析它们的人员数量的增长速度。如此一来，真正重要的警报可能就会淹没其中，得不到响应。

 

大多数企业认为应对这个问题只有两种解决方案：即减少警报数量，或是增加人员数量。幸运的是，还有第三种选择：自动化。它可以极大地提高分析师的时间效率，用更少地时间完成更多的工作量。

传统意义上，人们习惯将自动化视为“不全则无”(all-or-nothing)的主张。但是，如今时代已经发生了变化。企业可以在事件响应过程中的各个位置实施自动化，帮助分析人员从繁复的任务中解脱出来，同时保持他们对警报监视和响应的人为控制。其最终目标应该是，在自动化可以处理的低风险和人为应对的高风险之间取得平衡。

但是，在部署某种程度的SOC自动化之前，应该认真考虑以下几点问题：1)组织是赢了还是输了网络战争？2)如果是赢了，它是否具备正确的工具来持续这种状态？3)如果是输了，它应该怎么做？

不过，无论组织是赢了还是输了网络战争，理解自动化的优缺点对于任何项目的成功与否都是至关重要的。

　　自动化的优点

自动化在低影响(low-impact )环境中通常备受青睐，但是由于误报可能导致的负面影响，其在诸如公用事业和医疗保健等高影响(high-impact)环境中一直备受质疑。

SOC自动化的主要优点包括：

　　对警报和ticket的响应更一致；

　　对于ticket关闭和事件响应量更大；

　　提高对正在发生问题的可视性；

　　覆盖面积更大，ticket数量更多。

　　自动化的缺点

没有什么比处理假阳性(即误报)更令人烦恼的了，所谓假阳性就是系统将合法活动标识为恶意攻击行为。在某些行业中，误报会破坏业务流程，造成收入损失、工业组织停工等后果，在医院环境中，这种误报甚至会危及生命。

SOC自动化的主要缺点包括：

　　关闭操作；

　　产生误报，导致采取错误的举措；

　　自动化处理本该手动处理的ticket；

　　关键信息或数据丢失；

　　做出错误或不恰当的决定。

　　自动化的最佳实践

过去，公司通常会因为考虑到自动化的潜在缺点，而最终选择放弃它，因为他们认为这样做更安全。然而，如今，越来越多的企业已经意识到，如果他们没有实现某种程度的自动化，会增加其错失标记攻击行为的机会，这种情况所造成的损失，可能会比实施自动化所带来的潜在负面影响更为沉重。

鉴于这种情况，安全从业人员应该考虑采用以下自动化最佳实践措施：

　　1.创建一个全面的战略

该计划应该旨在解决以下关键问题：

　　哪些区域产生的警报最多？

　　什么样的警报类型占据了分析师大部分的时间？

　　哪些响应是非常有条理的，以及哪些警报分析师可以用可预测的方式做出响应？

　　是否可以使用自动化剧本(playbook)来处理某些事件？

　　2.采取一种经过实测的方法

安全的关键规则之一就是始终避免极端事件。例如，“自动化一切”可能会招致一堆蠕虫，然后迫使安全管理人员通过指责分析师来证明这一做法是正确的，他们会声称是由于分析师来不及分析ticket才导致的问题。

通过自动化人力密集型、高度重复型任务来实现平衡，将分析师从繁复的任务中解放出来，有精力实现更为重要的职能，这是一个非常好的起点。自动化应该允许公司提高SOC效率，同时保持可接受的风险水平——无论是在运营方面还是安全方面。

诀窍在于管理和控制误报，而不是妄图消除误报。

　　3.了解不需要自动化而需要人工分析的任务

其主要包括影响如下系统的警报：

　　关键应用程序或系统；

　　业务流程、财务和运营系统；

　　包含大量敏感数据的系统；

　　大规模攻击指标。

　　结论

由于网络攻击对手也在利用软件和硬件来开发和实施攻击，威胁的演变速度和复杂性正在急剧上升，对于SOC自动化的需求也在随之增长。想要跟上程序化攻击的步伐，不可避免地需要自动化某些SOC功能和流程。遵循上述列出的建议，可以帮助确定应该自动化和不应该自动化的内容，以便发挥自动化的最大功效。

(责任编辑：安博涛)