围绕安全自动化与人才短缺两方面的讨论由来已久,随着安全行业越来越聚焦将自动化视为有效安全的基石,在自动化与人才短缺问题两方面都取得进展的秘诀就在于利用其间的共生关系。换句话说,用自动化令人员更加高效,靠人才让自动化更加有效。这需要采用平衡的方法,让自动化承担大部分低风险、耗时长的重复性任务,而分析师在以自动化简化部分工作的前提下主导影响大、时间敏感的非常规调查。

令人欣喜的是,美国、英国和澳大利亚一些公司的高级网络安全专业人员声称,去年以来对自动化的信心有所增强:84%的安全人员反馈对自动化结果具有一定程度的信任,而去年信任自动化结果的人数占比为55%。不过,实现自动化仍然存在一些挑战,比如技术复杂度(21%)、人才短缺(17%)和缺乏管理层的支持(17%)。

复杂度:大多数企业都有多支安全团队,每一支都有自己从不同供应商处获得的安全技术集,而不同供应商又引入了他们自己的第三方数据和情报源。在由多个现有工具集组成的异构环境中铺设自动化是一项巨大的集成和管理挑战。害怕机器隔离某个系统或者误封防火墙端口而造成损坏或宕机,是很多团队考虑安全自动化的一大顾虑。

人才短缺:与复杂度相关联的就是人才短缺问题了,且这一问题在新冠疫情背景下愈加严重,相比上一年度上升了26.2%。企业未必掌握相应的专业知识来确定何处该应用自动化,也未必知晓如何部署和采用自动化来加速并简化特定任务和流程。虽然我们理智上清楚自动化是提高生产力、增加保留率和减少分析师职业倦怠的关键元素,但却难以弄清从何处入手和如何找到能够简化设置和使用的工具。

缺乏管理层支持:首席信息安全官(CISO)及其手下团队之间存在脱节,反映在组织成熟度和收获自动化全部价值的能力方面。尽管都向同一个人汇报,各团队通常都有自己的预算、所负责的方面和各自的重点。这种割裂导致获得资金投入和做出实现跨职能自动化所需的结构和文化变革尤为困难。

于是,我们怎样才能达到提升网络安全自动化有效性和稀缺高技能人力资源效率的状态呢?建议做到以下三点:

1、通过采用具有低代码或无代码接口的网络安全自动化平台,简化复杂度和解决人才短缺问题。以简单的策略生成器提供无代码选项,还可选择使用JSON或YAML等标准格式支持高级需求,这样的解决方案就可供各种技术背景的一系列用户享用自动化成果。如果内部缺乏或无法培养出所需的技术人才,不妨诉诸于托管安全服务提供商(MSSP)或托管检测与响应(MDR)提供商,这两类提供商重在采用网络安全自动化代客户管理大量数据和警报,并快速有效地利用所得洞见。

2、谨记自动化涵盖广泛,从简单的原子级任务到具有内置决策逻辑的复杂多步骤策略均在自动化覆盖范围内。所选网络安全自动化平台应能提供简单的切入点,同时考虑到安全计划不断成熟的各种用例和需求。举个例子,从自动化可直接执行或参照简单策略执行的个别动作开始,比如依据满足特定事件标准或数据驱动的阈值而创建工单或调查,方便分析师更加高效工作。不过,如果事件性质不是很明显,也可以调整工作流程,让分析师能够仔细审查事件详情。只要分析师确定要采取某些动作,就可以自动启动特定操作,例如阻止所有通联恶意URL的出站请求,以及扫描所有访问过此恶意URL的系统。

3、通过界定明确的成功指标和衡量过程中的进展,获得管理层对自动化的支持。自动化耗时任务能带来可衡量的安全收益。以渔叉式网络钓鱼为例,量化指标可包括分类、归因和抵御渔叉式网络钓鱼攻击所需的时间。不过,自动化对员工福祉而言也同样重要。所以,评估自动化项目的投资回报率(ROI)需要平衡量化影响和定性因素(包括员工满意度和保留率)。由自动化承担手动监测、识别、分类和优先级排序的负担,分析师就可以专注于更有回报的高价值活动了。这能够降低职业倦怠的可能性,消除由此导致错误的风险。在就业市场上,留住员工正成为一项核心挑战,而安全团队流失的成本很高,以自动化充实生活十分重要。

只要我们开始考虑安全自动化中人的因素,及其对所选自动化功能的影响和我们衡量进展的方式,我们就能加速自动化计划和获得所求的益处。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。