安全操作：自动化一定意味着自动化吗？

事件响应必然会变得越来越自动化，因为机器学习和人工智能具有很大的潜力整个过程更高效，但自动化应谨慎进行，并在一定程度上进行，不要放弃人为因素，并允许 CISO 保持对所有网络安全事件的控制，因为他们拥有不可替代的知识和专业知识，并且由于这些技术有待解决的明显缺陷

近年来，机器学习和人工智能领域的进步在网络安全行业中变得越来越引人注目。如今，各种旨在简化事件响应工作并使其更有效的解决方案都采用了这些技术。

毫无疑问，在事件响应过程中自动化某些任务——尤其是那些涉及日常和机械工作的任务——有助于使组织对网络攻击更具弹性。但是，一些网络安全专业人士倾向于将流程的某些方面自动化等同于使整个流程自动化，这实际上是两个不同的概念。

需要注意的是，在网络事件响应方面，自动化和自动化不应被视为同义词。

>另请参阅：安全自动化：提高 IT 生产力和网络弹性

从本质上讲，自动化与编排解决方案相结合，有助于减少反应时间，因为它们取代了通常会占用安全专业人员大部分时间专注于网络安全事件的重复性和例行任务，同时允许他们保持对网络安全事件的控制。整个过程，并保持在决策阶段使用人为判断的可能性。

另一方面，自动基本上意味着将事件的完全控制权交给机器，在某些情况下可能会产生不正确的结果，甚至会对组织造成严重损害。

在这个新创建的环境中，自动响应的想法越来越受到关注，网络安全专业人士社区中出现的主要问题之一是首席信息安全官如何驾驭它，以及他们是否渴望实施完全自动化，或者他们正在意识到其中涉及的潜在风险，并决心坚持采用精心策划的方法。

可以说，有很多 CISO 很想拥抱自动事件响应，但在这样做之前他们需要知道的是，与这样的举措相关的挑战和障碍很多。

例如，这种情况可能会产生特定的合规风险。遵守数据泄露通知法在事件响应领域至关重要，因为组织需要将泄露通知其客户，并在给定的时间内将这些泄露的报告提交给适当的当局。

>另请参阅：移动性要求安全与自动化齐头并进

为了能够实现这种合规性，组织根本不能依赖自动事件响应系统，因为它在评估违规的范围、严重性和影响的过程中涉及人工输入，而这必须在组织能够完成之前完成。决定特定违规行为是否受通知法的约束。

以将于 2018 年 5 月生效的通用数据保护条例 (GDPR) 为例，该条例是要求某些组织在意识到数据泄露后 72 小时内发生数据泄露的严格规定之一，并且如果确定该违规行为产生了不利影响，则通知受该违规行为影响的个人。

为了确定这些事实并决定是否应报告违规行为，组织需要网络安全专业人员了解此类法规的存在并详细了解它们，并根据这些法规做出反应，自动事件响应系统就是没有能力做。不遵守这些规定的制裁可能相当严厉，包括可能严重损害组织底线的高额罚款。

网络安全界提出的另一个主要问题是在事件响应中是否仍然需要人为因素。机器学习和人工智能领域的快速发展让这个问题浮出水面，自动化的支持者声称这是网络安全合乎逻辑且不可避免的下一步。

虽然自动事件响应的想法听起来很有吸引力，但更合理和有根据的观点是，由于几个重要原因，人为因素将继续在网络安全中发挥重要作用。首先，如上所述，在事件响应的许多关键方面仍然需要人工判断，例如确保合规性。

>另请参阅：自动化：网络必需品

然后，经验丰富且技能高超的网络安全专业人员现在是并且应该继续是事件响应编排过程中不可分割的元素。编排对于安全团队能够有效和高效地执行整个事件响应过程而不会失去对其某些重要方面的控制是必要的，例如恢复和根除，以及需要人工输入的准备和事件后分析。

此外，毫无疑问，CISO 将继续参与与事件响应相关的一些更广泛的活动，例如提高组织内所有员工的网络安全意识，以及增强组织对未来网络攻击的抵御能力。

简而言之，事件响应必然会越来越自动化，因为机器学习和人工智能有很大的潜力使整个过程更高效，但自动化应该谨慎进行，直到一定程度，而不是放弃由于他们拥有不可替代的知识和专业知识以及这些技术的明显缺陷尚待解决，因此提高了人为因素并允许 CISO 控制所有网络安全事件。

来源：DFLabs 创始人兼首席执行官 Dario Forte

9 月 14 日，英国最大的技术领导力会议 TechLeaders Summit 回归，40 多位高管报名参加，讨论当今企业面临的最具颠覆性的创新所面临的挑战和机遇。在这里注册，确保您在这个享有盛誉的峰会上的一席之地

自动化控制系统