很多CISO都對(duì)安全運(yùn)營(yíng)自動(dòng)化及編排抱有興趣。事實(shí)上，大量企業(yè)已經(jīng)在這么做了。企業(yè)戰(zhàn)略集團(tuán)(ESG)的研究表明，19%的企業(yè)已經(jīng)廣泛部署了安全運(yùn)營(yíng)自動(dòng)化/編排技術(shù)，另有39%某種程度上做到了這一點(diǎn)。

如今，我們似乎喜歡把自動(dòng)化與編排混為一談，但這二者之間其實(shí)差別很大。在最近的安全運(yùn)營(yíng)調(diào)查中，ESG定義了以下術(shù)語(yǔ)：

自動(dòng)化：用技術(shù)來(lái)自動(dòng)化某一安全運(yùn)營(yíng)任務(wù)。比如說(shuō)，企業(yè)可以利用威脅情報(bào)中發(fā)現(xiàn)的入侵指標(biāo)(IoC)，來(lái)創(chuàng)建修復(fù)規(guī)則，以產(chǎn)生自動(dòng)封鎖惡意IP地址、域名和URL的規(guī)則。通常，自動(dòng)化指的是單個(gè)過(guò)程或任務(wù)。

編排：指的是，彌合軟硬件組件以支持某種多階段安全分析或運(yùn)營(yíng)過(guò)程。編排還與安全工作流的連接與自動(dòng)化有關(guān)，用以交付已定義服務(wù)。

舉個(gè)例子，企業(yè)可編排與安全調(diào)查或軟件漏洞修復(fù)有關(guān)的工作流。編排往往與提升個(gè)人或團(tuán)隊(duì)間協(xié)作有關(guān)（比如網(wǎng)絡(luò)安全和IP運(yùn)營(yíng)團(tuán)隊(duì)）。

基于以上定義，ESG詢問(wèn)受訪者：安全運(yùn)營(yíng)自動(dòng)化或編排，哪個(gè)的優(yōu)先級(jí)更高？結(jié)果很明顯：66%的受訪者稱，自動(dòng)化安全分析和運(yùn)營(yíng)的優(yōu)先級(jí)更高，31%認(rèn)為編排安全分析和運(yùn)營(yíng)的優(yōu)先級(jí)更高。(注：3%說(shuō)“不知道”)

為什么大部分人傾向自動(dòng)化？安全運(yùn)營(yíng)充滿無(wú)數(shù)單調(diào)的任務(wù)——取數(shù)據(jù)、調(diào)整設(shè)備配置、實(shí)現(xiàn)對(duì)已知不良IoC的封鎖規(guī)則等等。最近的SOAPA視頻中，ServiceNow安全總經(jīng)理肖恩·康弗里提到，他工作過(guò)的一家公司花了約40%的事件響應(yīng)時(shí)間，僅僅為了找出特定IP地址的擁有者是誰(shuí)。簡(jiǎn)直不能忍！

如今，由于網(wǎng)絡(luò)安全人才短缺，很多公司企業(yè)都人手不足，在許多領(lǐng)域缺乏高端人才，比如安全分析、取證、事件響應(yīng)等等。鑒于此，讓寶貴的安全人員花時(shí)間在能被自動(dòng)化的單調(diào)任務(wù)上，根本就是犯罪。CISO知道這一點(diǎn)，這一點(diǎn)也正是驅(qū)動(dòng)安全運(yùn)營(yíng)自動(dòng)化工具需求端活動(dòng)和供應(yīng)端討論的地方。

安全運(yùn)營(yíng)編排

編排的情況又如何呢？事實(shí)上，稍微有一點(diǎn)點(diǎn)難。編排一個(gè)過(guò)程，意味著要完全理解該工作流，要集成全部所需數(shù)據(jù)以支持該過(guò)程，要記錄、管理和跟蹤該過(guò)程整個(gè)生命周期，并支持人員間和安全及IT運(yùn)營(yíng)團(tuán)隊(duì)間所有必要的交接。

其中假定是：

有個(gè)可被編排的規(guī)范過(guò)程

有人理解與該過(guò)程相關(guān)的所有步驟

該過(guò)程本身是合理的

然而，不幸的是，這些假定往往無(wú)法達(dá)成。安全運(yùn)營(yíng)過(guò)程通常都是不規(guī)范的，往往基于經(jīng)驗(yàn)、工具集和第3層分析師的個(gè)性。鑒于此不規(guī)范性，沒(méi)人能真正理解其中牽涉的所有步驟。

最后，安全過(guò)程隨時(shí)間進(jìn)程在全公司實(shí)現(xiàn)，公司難以評(píng)估其安全運(yùn)營(yíng)過(guò)程是否達(dá)到最佳實(shí)踐標(biāo)準(zhǔn)，或者還需要改進(jìn)。正如某位CISO所說(shuō)的：“我們最不想做的就是編排一個(gè)糟糕的過(guò)程。”

毫無(wú)疑問(wèn)，安全運(yùn)營(yíng)自動(dòng)化和編排應(yīng)是企業(yè)重點(diǎn)關(guān)注對(duì)象，但基于ESG的研究結(jié)果，CISO們最好還是采取一種策略性的方法：

花點(diǎn)時(shí)間評(píng)估當(dāng)前事務(wù)完成的方式；與同行業(yè)同樣規(guī)模的公司對(duì)比交流；找尋快速自動(dòng)化勝出方案；從簡(jiǎn)單過(guò)程的編排開始，獲取編排技術(shù)不斷發(fā)展的專業(yè)知識(shí)；從ISO、NIST、SANS等機(jī)構(gòu)組織處尋找最佳實(shí)踐。

正如安全大師布魯斯·施奈爾所言：“安全是個(gè)過(guò)程，不是產(chǎn)品。”此話用在安全運(yùn)營(yíng)上再正確不過(guò)了。CISO若能花時(shí)間關(guān)注安全運(yùn)營(yíng)過(guò)程，將能提高安全效能和操作效率。拘泥于產(chǎn)品的人，頂多也就是取得些許進(jìn)展而已。