在处理潜在威胁时，规模、优化、快速响应、横向攻击传播、杀伤链和自动化都等同于当前的SecOps模型。即使在勒索软件、恶意软件和商业电子邮件泄露事件持续爆发之前，SecOps团队的角色仍在不断变化，试图了解他们在应对网络攻击方面的未来。

全球人才的可用性来支持对训练有素和经验丰富的安全运营工程师的需求仍然是每个组织和国家的问题。即使利用海外托管服务提供商来实现“跟随太阳”模式，全球人才问题仍然存在。

网络安全团队、风险管理人员和执行领导者必须定义SecOps对他们的组织来说是什么，以及他们如何应对这一业务挑战。

01

威胁趋势的发展速度

超过了大多数告警工具的能力

随着对组织的大量攻击，人类SecOps工程师处理、分析、研究、测试、补救和验证攻击向量和解决方案的时间仍然需要持续数天。随着更多的攻击，事件响应时间继续攀升。

在确定大多数攻击的根本原因时，其他几种新的攻击变种已经通过其他类型的威胁影响了组织。

02

人工智能（AI）和机器学习（ML）

是不是正确的方向

假设CISO和CIO简单地统计了安全信息和事件管理工具（SIEM）处理的恶意活动、网络威胁和勒索软件攻击的数量。在这种情况下，AI和ML对未来的安全操作自动化至关重要。使SIEM与AI一起快速处理数据流并应用ML，SecOps可以创造大量的自动化能力。

多年来，安全编排自动化和响应 (SOAR) 一直是SecOps和NetSecOps的工具箱。利用PowerShell或Python脚本来更改自适应安全控制对于SecOps处理影响其网络中多个点的扩展攻击至关重要。与任何新功能一样，挑战是误报和漏报问题，这在今天仍然是一个问题。

例如，在通过AI和ML清洗安全遥测数据后，具有自动化功能的响应脚本是否阻塞了整个Web前端或从Oracle中删除了客户端数据库？是的，自动化确实会发生这种情况。总是有风险的。安全分析师的工作负担主要分为以下几类：

• 什么时候自动化有意义

• 攻击者是否可以破坏AI和ML引擎

03

SecOps自动化是否

将成为下一个伟大的拒绝服务攻击

  

自动化有助于安全编排、事件响应、处理威胁情报和缓解SecOps告警疲劳。那么即使使用最先进的AI和ML，过多的自动化对SecOps 策略是否不利？

黑客通过监控和社会工程了解组织在AI和ML上的花费。他们将在社交平台和其他工作网站上搜索网络安全工程师，分析人们在安全运营、机器人流程自动化和Python方面的背景和经验。

04

受到攻击的自动化

攻击者使用基于机器的执行工具来探测客户端。他们还使用安全自动化来有效应对攻击。攻击者和公司一样了解自动化如何以及何时有意义。

自动化逻辑确实会随着时间的推移而改进。AI处理和输入ML的数据越多，安全自动化平台就越有可能知道攻击者是否破坏了工作流。

尽管对自动化的威胁与日俱增，每个SecOps中都应该有自动化的位置。

05

将更多的数据输入AI/ML

以减少对自动化的攻击

大量投资于扩展检测和响应 (XDR) 的组织从网络中的多个元素捕获遥测数据，包括：

XDR解决方案将遥测数据输入AI系统，通过查找共同趋势和相似值，同时交叉引用相似的攻击特征并查找环境其他部分的攻击，进行处理和关联。AI输入ML以确定固定特征，包括最近邻居的攻击和源自确切位置的攻击。基于此数据处理流程，XDR系统可以通过自动化直接与多个供应商产品集成，以隔离、分离或分类攻击，防止横向传播。

那么，为什么有了这种先进的AI和ML自动化，我们仍然有影响全球组织的勒索软件爆发呢？

06

SecOps对人的需求远远超出AI和ML

许多安全漏洞始于某种形式的攻击自动化。攻击者可以通过电子邮件网络钓鱼攻击、克隆攻击或其他电子邮件攻击方法来启动他们的杀伤链。XDR类型接收遥测数据，识别来自电子邮件安全平台的告警，处理输入AI和ML的数据，并确定这是钓鱼攻击的可能性。安全团队是否应该信任对电子邮件安全平台的自动化响应，并执行预先定义的阻止？

让人员参与SecOps会更好地知道如何回答这个问题。在这种情况下，会针对电子邮件客户端启动一个阻止脚本，阻止用户接收任何电子邮件。攻击者通过电子邮件网络钓鱼攻击向量成功执行了拒绝服务。

自动化程度太高？有可能。

07

SecOps与AI、ML和自动化共存

安全运营团队、MSSP团队和外包给全球工程资源将不能满足处理攻击数量的需求。需要包括AI和ML在内的专家系统来收集、分析和使用某种程度的SOAR，以使组织能够抵御攻击。

08

在SecOps的决策工作流程中，

这些元素之间的平衡点在哪里？

CIO和CISO应该通过将传统的网络工程师、系统管理员和安全架构重新整合到SecOps/NetSecops中来投资他们的人才。与瀑布式架构中的各个团队不同，每个团队都应该成为DevOps模型中的旅行者。

AI和ML可以通过多种方式为组织服务。人工智能可以通过分析多个市场的销售数据来帮助转变客户服务。机器学习可以帮助确定数据分析对于优化销售运营和客户服务是否相关和有价值。网络安全、安全运营和DevOps有助于人工智能在组织中的发展。

了解如何使用AI以及ML识别出哪些价值将有助于SecOps确定适当且安全的自动化层。随着越来越多的组织利用敏捷CI/CD开发，SecOps自动化应该在这些工作流中加速。为这些加速提供支持是管理来自AI和ML的实际输出，以创建智能和安全自动化。

09

针对AI和ML引擎的渗透测试的价值

渗透测试人员多久测试一次AI/ML层的真实性？ 网络犯罪分子会危害人工智能吗？ 答案是肯定的。 渗透测试应该由知道如何在自动化之前攻击AI和ML层的测试人员完成。 渗透测试人员应该尝试攻击自动化平台。

小结

人类永远不会离开SecOps、DevOps、NetSecOps和渗透测试团队。AI和ML在今天和明天的SecOps中占有一席之地。在处理安全漏洞和攻击时，自动化对组织至关重要。这些工具的工作不是因为人工智能。它们之所以有效，是因为人们知道如何利用价值，通过深入的人类学习，我们学会了根据需要进行调整。

END

齐心抗疫 与你同在 

点【在看】的人最好看

原文始发于微信公众号（安在）：碳泽解读 | 过多的自动化会不会成为安全运营的问题?