日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

如今，許多安全運(yùn)營中心(SOC)都在面臨著同樣的困境——警報太多，而處理它們的人員卻又太少。隨著時間的推移，這種問題將會變得更加嚴(yán)重，因為生成警報的設(shè)備數(shù)量的增長速度，要遠(yuǎn)遠(yuǎn)快于可用于分析它們的人員數(shù)量的增長速度。如此一來，真正重要的警報可能就會淹沒其中，得不到響應(yīng)。

創(chuàng)新互聯(lián)公司：于2013年成立為各行業(yè)開拓出企業(yè)自己的“網(wǎng)站建設(shè)”服務(wù)，為千余家公司企業(yè)提供了專業(yè)的成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計和網(wǎng)站推廣服務(wù)， 按需搭建網(wǎng)站由設(shè)計師親自精心設(shè)計，設(shè)計的效果完全按照客戶的要求，并適當(dāng)?shù)奶岢龊侠淼慕ㄗh，擁有的視覺效果，策劃師分析客戶的同行競爭對手，根據(jù)客戶的實際情況給出合理的網(wǎng)站構(gòu)架，制作客戶同行業(yè)具有領(lǐng)先地位的。

大多數(shù)企業(yè)認(rèn)為應(yīng)對這個問題只有兩種解決方案：即減少警報數(shù)量，或是增加人員數(shù)量。幸運(yùn)的是，還有第三種選擇：自動化。它可以極大地提高分析師的時間效率，用更少地時間完成更多的工作量。

傳統(tǒng)意義上，人們習(xí)慣將自動化視為“不全則無”(all-or-nothing)的主張。但是，如今時代已經(jīng)發(fā)生了變化。企業(yè)可以在事件響應(yīng)過程中的各個位置實施自動化，幫助分析人員從繁復(fù)的任務(wù)中解脫出來，同時保持他們對警報監(jiān)視和響應(yīng)的人為控制。其最終目標(biāo)應(yīng)該是，在自動化可以處理的低風(fēng)險和人為應(yīng)對的高風(fēng)險之間取得平衡。

但是，在部署某種程度的SOC自動化之前，應(yīng)該認(rèn)真考慮以下幾點(diǎn)問題：1)組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭?2)如果是贏了，它是否具備正確的工具來持續(xù)這種狀態(tài)?3)如果是輸了，它應(yīng)該怎么做?

不過，無論組織是贏了還是輸了網(wǎng)絡(luò)戰(zhàn)爭，理解自動化的優(yōu)缺點(diǎn)對于任何項目的成功與否都是至關(guān)重要的。

一、自動化的優(yōu)點(diǎn)

自動化在低影響(low-impact )環(huán)境中通常備受青睞，但是由于誤報可能導(dǎo)致的負(fù)面影響，其在諸如公用事業(yè)和醫(yī)療保健等高影響(high-impact)環(huán)境中一直備受質(zhì)疑。

SOC自動化的主要優(yōu)點(diǎn)包括：

• 對警報和ticket的響應(yīng)更一致;
• 對于ticket關(guān)閉和事件響應(yīng)量更大;
• 提高對正在發(fā)生問題的可視性;
• 覆蓋面積更大，ticket數(shù)量更多。

二、自動化的缺點(diǎn)

沒有什么比處理假陽性(即誤報)更令人煩惱的了，所謂假陽性就是系統(tǒng)將合法活動標(biāo)識為惡意攻擊行為。在某些行業(yè)中，誤報會破壞業(yè)務(wù)流程，造成收入損失、工業(yè)組織停工等后果，在醫(yī)院環(huán)境中，這種誤報甚至?xí)＜吧?/p>

SOC自動化的主要缺點(diǎn)包括：

• 關(guān)閉操作;
• 產(chǎn)生誤報，導(dǎo)致采取錯誤的舉措;
• 自動化處理本該手動處理的 ticket;
• 關(guān)鍵信息或數(shù)據(jù)丟失;
• 做出錯誤或不恰當(dāng)?shù)臎Q定。

三、自動化的最佳實踐

過去，公司通常會因為考慮到自動化的潛在缺點(diǎn)，而最終選擇放棄它，因為他們認(rèn)為這樣做更安全。然而，如今，越來越多的企業(yè)已經(jīng)意識到，如果他們沒有實現(xiàn)某種程度的自動化，會增加其錯失標(biāo)記攻擊行為的機(jī)會，這種情況所造成的損失，可能會比實施自動化所帶來的潛在負(fù)面影響更為沉重。

鑒于這種情況，安全從業(yè)人員應(yīng)該考慮采用以下自動化最佳實踐措施：

1. 創(chuàng)建一個全面的戰(zhàn)略

該計劃應(yīng)該旨在解決以下關(guān)鍵問題：

• 哪些區(qū)域產(chǎn)生的警報最多?
• 什么樣的警報類型占據(jù)了分析師大部分的時間?
• 哪些響應(yīng)是非常有條理的，以及哪些警報分析師可以用可預(yù)測的方式做出響應(yīng)?
• 是否可以使用自動化劇本(playbook)來處理某些事件?

2. 采取一種經(jīng)過實測的方法

安全的關(guān)鍵規(guī)則之一就是始終避免極端事件。例如，“自動化一切”可能會招致一堆蠕蟲，然后迫使安全管理人員通過指責(zé)分析師來證明這一做法是正確的，他們會聲稱是由于分析師來不及分析ticket才導(dǎo)致的問題。

通過自動化人力密集型、高度重復(fù)型任務(wù)來實現(xiàn)平衡，將分析師從繁復(fù)的任務(wù)中解放出來，有精力實現(xiàn)更為重要的職能，這是一個非常好的起點(diǎn)。自動化應(yīng)該允許公司提高SOC效率，同時保持可接受的風(fēng)險水平——無論是在運(yùn)營方面還是安全方面。

訣竅在于管理和控制誤報，而不是妄圖消除誤報。

3. 了解不需要自動化而需要人工分析的任務(wù)

其主要包括影響如下系統(tǒng)的警報：

• 關(guān)鍵應(yīng)用程序或系統(tǒng);
• 業(yè)務(wù)流程、財務(wù)和運(yùn)營系統(tǒng);
• 包含大量敏感數(shù)據(jù)的系統(tǒng);
• 大規(guī)模攻擊指標(biāo)。

四、結(jié)論

由于網(wǎng)絡(luò)攻擊對手也在利用軟件和硬件來開發(fā)和實施攻擊，威脅的演變速度和復(fù)雜性正在急劇上升，對于SOC自動化的需求也在隨之增長。想要跟上程序化攻擊的步伐，不可避免地需要自動化某些SOC功能和流程。遵循上述列出的建議，可以幫助確定應(yīng)該自動化和不應(yīng)該自動化的內(nèi)容，以便發(fā)揮自動化的最大功效。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

當(dāng)前題目：安全運(yùn)營中心自動化究竟是好還是壞？
網(wǎng)站路徑：http://www.dlmjj.cn/article/dpejsje.html