停止自动化吧!SOC安全运营不能没有人的参与

如果你身在安全界,你怎么描述你的工作?如果你没在安全界,你怎么描述安全?

停止自动化吧!SOC安全运营不能没有人的参与

安全似乎是靠着不断克服消极性才坚持下来的。被大量安全失败的消息淹没,加上不断增加的无错运行的压力,往往构筑了一个只会输出混乱的操作环境。我们被吸引到安全行业,却似乎只是让自己感觉不好。

Awake Security共同创始人加里·哥伦布在威胁分析上有将近20年从业经验,主导了一系列著名案例的调查和控制工作。追溯够远的话,他是 Dragon NIDS/HIDS (网络入侵检测系统/主机入侵检测系统)研究人员,再之前,他在美国海军陆战队第2部队侦察连服役。

当他请业内人士描述自己的工作时,得到的答案大多悲伤。安全界人士感到疲惫、不被赏识、注定失败。这是种很可怕的工作方式。加里认为我们应该采取不同的方式了。

今天的安全产品正将人的元素从SOC中移除

或许只是怀旧,但回想2000年左右我作为安全分析师初入行的时候,想起的都是令人兴奋的有趣工作。那个时候,分析师需要相当严谨的思维;因为在我们今天大致上还可以的情报共享出现之前,当时的很多攻击工具和流程都是缺乏文档记录的。大多数分析师都得参与解决很有趣的问题(只有很少的初级工具可用),迫使你不得不掌握威胁发现的手艺,精炼关键捕猎技术。

过去几年,我花了大量时间与全球的安全分析师交谈,发现上述参与感和动机在今天已经缺失了。当我请分析师描述他们的工作时,我常常听到的词是“单调”和“令人泄气”——与我的美好回忆大不相同。这数以千计(或者百万计)的警报背后,是负责决定是否从网络中拉出一台主机的分析师。一旦做出错误的决定,不是报警工具,而是分析师,要担负起“中断业务”的指责。毫不意外,这让分析师不愿意去响应那些更“易出错”的威胁类型,而这同时也会直接或间接地增加挫折感和倦怠感。

今天的安全工具更侧重于发现模式,而不是让分析师更强大。这就创建了一个以交付尽可能对机器有意义的数据为优先的环境。数据里面对人有意义的信息少得可怜。于是,现在的分析师花费大量时间关联适用于机器的数据——往往需要30多种工具来做这事儿,让他们的决策过程更易于出错。

这不仅仅阻碍了分析师,还让他们无法磨砺真正重要的很多技能,自然就很是令人沮丧了。而且,这还排除了主动狩猎之类高价值的安全任务——不是因为像很多人以为的企业没有这些技术,而是因为供他们使用的工具阻碍了这些功能。捕猎技术算不上多么新鲜,但启用这种技术面临的问题才是真正的难点所在。

我们面对的是有创造性的攻击者。虽然也可以是有利可图的,但毫无疑问,黑客活动很有趣。这是问题解决和创造性思维——让我爱上安全分析的原因。然而,不幸的是,今天身处企业防御前线的分析师们,周旋在一大堆将他们从安全工艺专家转换成重复性劳动工蜂的工具中间。

本质上讲,安全总是人类创造力之间的平衡:一群人在智慧上胜过另一群人,而我们却正在把分析师的工作变得单调重复,让他们在这场斗智斗勇中居于下方。即便有了自动化,我们也只是消除了那最后一公里。这一问题的解决方案,就是安全行业产出不仅关注计算算法,还强调认知特性和过程性知识的工具,让老手和新手都能很自信地决定是否中断某个业务过程,并在这个过程中增加自己的知识积累。

结语

我们知道,安全总是关注负面的东西——即便只是为了防止“坏事”发生。安全和人之间的脱节总那么令人遗憾。安全角色的发展和新解决方案也会让我们与过程脱节的事,倒是从未考虑过。但若技术以人为先,就会创造出让我们每个人都交付可观价值的机会。期待吧!

极牛网精选文章《停止自动化吧!SOC安全运营不能没有人的参与》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/12434.html

(0)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年2月11日 下午1:43
下一篇 2019年2月14日 下午12:13

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部