日本久久99,色婷婷我要去我去也97,久久久久人妻精品一区三寸蜜桃,91人妻在线超碰,亚洲欧洲综合av在线

一直以來的反饋都表明，至少安全團隊是非常渴求自動化的。但這種渴望受制于懷疑和恐懼。懷疑威脅檢測的準(zhǔn)確性，恐懼威脅控制或緩解響應(yīng)自動化的后果，以及自動化出錯可能造成的不良影響和破壞。

長期工作于網(wǎng)絡(luò)安全領(lǐng)域的人知道，這種現(xiàn)象并不新鮮。反垃圾郵件和入侵防御系統(tǒng)(IPS)的承諾尚歷歷在目，對其異常和攻擊檢測能力的過度自信所造成的混亂，就開始啪啪打臉。   　　

       安全自動化  

　　很多公司都有IPS，但卻以非阻塞模式運行，直接降級成入侵檢測系統(tǒng)(IDS)使用。而且這種趨勢至今未減：公司企業(yè)引入自動化功能到現(xiàn)有技術(shù)中，比如安全信息及事件管理(SIEM)、終端檢測與響應(yīng)(EDR)、安全自動化與編配(SAO)解決方案等，但卻不相信它們的自動化能力，僅僅在發(fā)送通知或執(zhí)行威脅情報查詢之類基本任務(wù)上應(yīng)用自動化。  

　　這基本上無視了檢測功能已大幅改進的事實，尤其是在應(yīng)用了行為建模和機器學(xué)習(xí)驅(qū)動的方法之后。真是應(yīng)了那句老話：千萬別嘗試用技術(shù)來解決社會問題。因為問題本身就不是基于技術(shù)的，而是基于信任——或者信任的缺失。這里面涉及的3個基本原則是：

 　安全運營團隊可評估風(fēng)險影響，但評估不出對生產(chǎn)的影響   　

　安全運營團隊深居象牙塔內(nèi)，專注在威脅的風(fēng)險和影響上，難以建立并維護對生產(chǎn)環(huán)節(jié)現(xiàn)狀的感知。受影響系統(tǒng)是不是任務(wù)關(guān)鍵的?系統(tǒng)是否不穩(wěn)定?是否遺留系統(tǒng)?系統(tǒng)當(dāng)前是用于處理年度財務(wù)報告，還是在被付費客戶使用?這些問題，安全運營團隊往往難以感知。

  　　禁用無關(guān)緊要的用戶賬戶看起來很簡單，但該用戶賬戶很可能是用于執(zhí)行關(guān)鍵過程的。依賴、復(fù)雜性和未知因素，都是自動化的痛腳。這些正好是大多數(shù)安全運營團隊要么缺乏要么信息過時的數(shù)據(jù)點——但卻對事件響應(yīng)或修復(fù)過程的執(zhí)行方式有影響。這并不是說事件或漏洞根本不用處理，而是強調(diào)需要額外的時間或特定的方式進行處理。  

　　可以自動化動作，但不自動化決策  

　　當(dāng)然，可被自動化的東西，遠不止實際控制或修復(fù)響應(yīng)過程。很多工作，比如事件優(yōu)先級劃分、額外所需信息及上下文的獲取、利益相關(guān)者通知等，都可以被自動化。另外，若動作已經(jīng)過審查，也是可以自動化的。最簡單的場景里，這意味著向IT運營團隊發(fā)送事件通知——包括問題描述、潛在影響、解決問題所需的動作等，然后請他們確認動作執(zhí)行，或者拒絕執(zhí)行自動化動作而手動處理。我們可以自動化動作，而不自動化決策。   　

　  可隨信任與信心的增加而擴展自動化  

　　IT運營往往過載，于是從安全運營到IT運營的傳遞，往往在響應(yīng)上有長長的延遲。在諸如勒索軟件之類的事情情況下，這種延遲意味著，是控制住局面還是只能災(zāi)難恢復(fù)的差別，是單純的事件還是完完全全的數(shù)據(jù)泄露的差別。工作過載的一隊人會反對能讓自己更輕松的辦法，這簡直是違反人類直覺的事，然而，人性就是這樣。不過，即便如此，我們依然可以幫助緩解疑慮和擔(dān)憂，建立信任和信心。   　

　方法就是：記錄哪些動作是手工執(zhí)行的——同個動作由人代替機器執(zhí)行的次數(shù)，并計算出人和機器做同個動作在所消耗時間與資源上的差異。其思想精髓在于：如果多次接到需要相同手工動作的類似事件通知，那么此類事件便可以很安全地自動化處理。畢竟，我們有審計線索來證明這一點，也有數(shù)據(jù)來建立業(yè)務(wù)案例。更重要的是，我們也能收集數(shù)據(jù)，勾勒出哪些事務(wù)或位置不能安全地自動化。   　

　或許在某個業(yè)務(wù)部門可以安全進行的自動化，在另一個業(yè)務(wù)部門就是完全不可接受的。自動化過程必須支持粒度，無論是指標(biāo)收集，還是自動化配置時。理想狀態(tài)下，不管使用哪種自動化技術(shù)，都必須支持該方法，并提供所需的各項指標(biāo)。技術(shù)可以輔助建立信任，但最終，必須讓你期望信任你的對象感受到。