沒幾個網絡安全技術人員會聲稱自己的工作很輕松。總是工作比人多，總是干不完的活。但你有沒有想過，這種現象背后都有些什么原因呢？

總有各種各樣的因素讓安全運營和事件響應工作不得不隨時待命，7乘24小時全天候開工。但這種工作強度主要是由兩大基本原因造成的：

警報疲勞：大多數公司僅僅是警報太多，誤報太多，噪音太多。這讓公司幾乎不可能識別出真正的攻擊信號，也沒辦法有效劃分工作優先級。

缺乏上下文：即使是最佳警報系統也缺乏必要的上下文以支持有效決策，我們無法獲悉正在處理的威脅性質是什么，又該進行怎樣的響應。

雖然安全社區里不是每個人都對這些基本問題有所察覺，但確實很多人已經意識到了這些問題。警報疲勞和上下文缺乏問題由來已久，但該怎樣改善呢？畢竟，僅僅是找出為什么很多公司覺得安全運營這么困難是不足夠的。運營界或多或少知道這些問題的存在，但他們真正追求的，是建設性意見、技術、方法，以及，最重要的——解決方案。

可以通過敘事驅動的安全運營模型，來改善上下文缺乏問題。但即使是最高品質、最高精確性、最低噪音、最合理容量的警報系統，要打造合適的上下文環境，也是需要相當多元的數據集才能夠提供所需的支持證據的。

敘事驅動或者是普通安全運營的最終目標，都是輔助產生明智的決策，并針對給定的事件警報，知道需要進行哪種類型的響應。下面三個因素是阻礙打造敘事驅動安全運營的三大基本挑戰：

數據的多樣性和現代安全環境的復雜性構建出了一個混亂的環境，身處其中的分析師們不確定該上哪兒去獲得必要的豐富上下文信息；

很多安全系統的分析限制阻礙了分析師對數據進行精確的、有針對性的、深入的查詢；

很多安全系統的性能限制意味著，最精確、最有針對性、最深入的查詢往往比公司通常能接受的耗時要長上許多。

這糟糕的情況令手動打造敘事驅動的安全運營幾乎是不可能完成的任務。那我們還有哪條路可以走呢？以前曾有人嘗試過用腳本語言進行多種形式的增強。雖然不是完全版敘事驅動安全運營模型，也算是朝著最終目標邁出了第一步吧。不過，盡管用腳本進行自動化可以免去大量的重復分析勞動，還是有一些問題尚未解決：

腳本需要經常性維護和協調才能保持有效性，常常把分析師們的精力從數據分析和事件響應中抽離；

腳本功能難以建檔，使運營持續性難以保證，尤其是在腳本作者離開公司的情況下；

同時具備寫腳本能力的分析師比我們所認為的要少，公司想招聘到合適的技能配給就更難上加難了。

這并不是說腳本就不是安全公司的有效工具，事實上，某些情況下，它還真是。安全公司的工作效果和效率與其任務隊列質量緊密相關，因為這是公司工作流的主要驅動力。任務隊列的效果可以被警報疲勞和上下文缺乏給高度稀釋掉。對于像任務隊列這種安全公司工作效果的主要影響因素，難道我們不去尋求更好的東西嗎？

最近出現的安全業務流程和自動化空間，給安全運營界帶來了我們一直以來尋求的新的可能性。該空間給公司帶來的幾點好處包括：

通過關聯，合并和連接多種警報的能力。這種能力，結合上改善信噪比的警報，可以將警報量大幅減少到可以管理的水平。

以自動化方式打造敘事驅動或部分敘事驅動安全運營的能力。這將解放分析師，將他們之前花在耗時耗力的重復性查詢上的時間和精力投入到更高層次的活動中去，比如分析、事件響應和捕獲。

更好的上下文提供的更及時明智的決策。

由于信噪比提升而帶來的更短入侵停駐時間和更少的“漏報”入侵。

例行常見警報類別的自記錄處理過程。

調查、記錄和報告中的人為失誤減少。

雖然安全運營和事件響應界當前正被警報疲勞和上下文缺乏壓到不堪重負，未來還是可以期待一下的。的確，廠商滿足我們期待的程度，以及公司將這些能力成功應用到運營上的程度，都還有待觀察。但即便有這些考慮，安全業務流程和自動化解決方案還是具備很大潛力。

有一件事是確定的——現狀不會一成不變。警報驅動的安全運營該淘汰了。