圍繞自動化與人才短缺兩方面的討論由來已久,隨著安全行業越來越聚焦將自動化視為有效安全的基石,在自動化與人才短缺問題兩方面都取得進展的秘訣就在於利用其間的共生關係。換句話說,用自動化令人員更加高效,靠人才讓自動化更加有效。這需要採用平衡的方法,讓自動化承擔大部分低風險、耗時長的重複性任務,而分析師在以自動化簡化部分工作的前提下主導影響大、時間敏感的關鍵調查。
令人欣喜的是,美國、英國和澳洲一些公司的高級網路安全專業人員聲稱,去年以來對自動化的信心有所增強:84%的安全人員回饋對自動化結果具有一定程度的信任,而去年信任自動化結果的人數占比為55%。不過,實現自動化仍然存在一些挑戰,比如技術複雜度(21%)、人才短缺(17%)和缺乏管理層的支援(17%)。
- 複雜度:大多數企業都有多支安全團隊,每一支都有自己從不同供應商處獲得的安全技術集,而不同供應商又引入了他們自己的協力廠商資料和情報源。在由多個現有工具集組成的異構環境中鋪設自動化是一項巨大的集成和管理挑戰。害怕機器隔離某個系統或者誤封防火牆埠而造成損壞或宕機,是很多團隊考慮安全自動化的一大顧慮。
- 人才短缺:與複雜度相關聯的就是人才短缺問題了,且這一問題在新冠疫情背景下愈加嚴重,相比上一年度上升了26.2%。企業未必掌握相應的專業知識來確定何處該應用自動化,也未必知曉如何部署和採用自動化來加速並簡化特定任務和流程。雖然邏輯上我們清楚自動化是提高生產力、增加保留率和減少分析師職業倦怠的關鍵元素,但卻難以弄清從何處入手和如何找到能夠簡化設置和使用的工具。
- 缺乏管理層支援:資安長(CISO)及其手下團隊之間存在脫節,反映組織成熟度和能否取得自動化全部價值的能力方面。儘管都向同一個人彙報,各團隊通常都有自己的預算、各自的負責重點。這種差異導致獲得資金投入和做出實現跨部門自動化所需要之結構性和文化性的變革尤為困難。
於是,我們怎樣才能達到提升自動化有效性呢?以下有三個建議:
- 通過採用具有低程式碼或無程式碼介面的自動化平台,簡化複雜度和解決人才短缺問題。以簡單的策略生成器提供無程式碼選項,還可選擇使用JSON或YAML等標準格式支持高級需求,這樣的解決方案就可供各種技術背景的一系列用戶享受自動化成果。
如果內部缺乏或無法培養出所需的技術人才,不妨訴諸於託管安全服務提供者(MSSP)或託管檢測與回應(MDR)提供商,這兩類提供商重在採用自動化技術為客戶管理大量資料和警報,並快速有效地利用這些資訊,得到資安洞見。
- 使用的自動化平台應能提供簡單的切入點,同時考慮到安全計畫升級的需求。謹記自動化涵蓋廣泛,從簡單的原子級任務到具有內置決策邏輯的複雜多方策略均在自動化覆蓋範圍內。
舉個例子,從自動化可直接執行或參照簡單策略執行的個別動作開始,比如依據滿足特定事件標準或資料驅動的數值而建立工單或調查,方便分析師更加高效工作。不過,如果事件性質不是很明顯,也可以調整工作流程,讓分析師能夠仔細審查事件詳情。只要分析師確定要採取某些動作,就可以自動啟動特定操作,例如阻止所有惡意URL的出站請求,以及掃描所有訪問過此惡意URL的系統。
- 通過界定明確的成功指標和衡量過程中的進展,獲得管理層對自動化的支持。自動化耗時任務能帶來可衡量的安全收益。以魚叉式網路釣魚為例,量化指標可包括分類、歸因和抵禦魚叉式釣魚攻擊所需的時間。
不過,自動化對員工福祉而言也同樣重要。所以,評估自動化項目的投資回報率(ROI)需要平衡量化影響和定性因素(包括員工滿意度和保留率)。由自動化承擔手動監測、識別、分類和優先順序排序的負擔,分析師就可以專注於更有回報的高價值活動。這能夠降低職業倦怠的可能性,並消除錯誤判斷。
只要我們開始考慮安全自動化中人的因素,以及其對所選自動化功能的影響和進展,我們就能加速自動化計畫和獲得所求的益處。