如何识别和实施安全自动化用例

Gartner分析师Kevin Schmidt提出了一个四阶段方法来识别和实施安全自动化用例。首先，安全主管需要在前期准备阶段收集自动化需求。接着，在用例选择阶段，通过收益分析确定关键任务。第三阶段是自动化和剧本开发，需要基于收益分析确定开发需求并进行测试验证。最后，在实施阶段，将剧本投入生产并更新操作流程，同时定期更新报告指标以跟踪自动化带来的实际收益。遵循这一方法，组织可以有效地实现安全自动化，以保持最新的安全趋势并领先于攻击。

编者按：以下是Gartner的董事分析师凯文施密特的客座文章，他在安全运营方面为GTP安全基础设施团队提供支持。他还研究人工智能及其在安全操作中的使用。

尽管整个组织都对实施安全自动化感兴趣，但安全主管经常难以识别常见的安全自动化场景并将其转化为个性化的自动化解决方案。

安全主管们经常面临一些普遍的问题，包括：自动化错误的过程、未能为用例分配正确的优先级、对应当自动化的内容产生误解，或是对自动化应用的位置产生混淆。

安全主管应当执行一种包含四个步骤的策略，以此来确立一个框架用于辨识安全自动化用例。通过这种方法，安全主管可以识别出需要优先考虑自动化的关键领域，并获取信息技术专家们所需的信息，以便于构建和实施自动化的安全战略。

第1阶段

准备工作

在这个环节中，安全负责人必须先确定自动化的具体需求-如果没有良好的需求，安全负责人可能最终只是为了自动化而自动化。

这可能是一个“有趣”的工程挑战，旨在探索能够实现的自动化内容。然而，其成本和努力的成效往往没法得到验证。

本阶段可透过业务实践中的需求调研来启动，以明确最适合自动化的任务以及完成这些任务所需的投入。此准备阶段收集的信息将对后续的选定用例、开发直至实施过程起到指导作用。

在案例选择过程中，安全负责人要评估潜在利益，设定成功的衡量标准，并依据评分方法对候选方案进行排序。

用例选择的一个目标是确定哪些安全自动化措施能够有助于节省时间，同时提供更佳的响应可预测性，加速响应或控制过程的时间，并且成为现有人力的工作助力。

通过实施安全自动化，我们最终希望能够为安全运营中心和整个组织带来长期的成果。可以将这些视为战略性成果，而自动化目标更多地是关于战术性成果。

第2阶段

用例选择

安全主管在完成了准备工作阶段的自动化用例候选方案列表后，现在可以继续挑选用例。

安全部门负责人应意识到，并非在准备环节所确定的每一个候选方案都适宜进行自动化处理，这很正常。收益分析的目的是找出那些有助于达成自动化目标的重量级任务。

安全负责人应当对使用案例进行效益评估。传达自动化潜在收益的最有效方法之一是在基线上进行改进。建议首先在对最关键的自动化候选方案进行效益分析，因为这可能需要相当长的时间。

一种筛选最佳自动化候选方案的方法是根据总体耗时对清单进行排序。此外，安全负责人可以考虑任务的执行频率，比如是否有任务在一整天内多次发生而非每周数次？

安全主管可以采取以下六个效益评估步骤：

1、首先，从准备阶段确定的自动化候选方案开始。若候选方案数量众多，可利用收益分析方法来评估每个方案的可行性。可能需要筛选出排名前5至10位的候选方案，这些候选方案代表的可能是日常且频繁进行的操作。不应将焦点集中在那些不太常进行的操作上，因为它们可能不会产生最佳的收益。

2、记录每个工具在实际工作中需要执行的最低层级任务，并估算完成每个任务平均可能需要的执行时间。

3、为了确定每个案例节约的时间（或其它收益），我们需要运用确切的选项进行计算。时间节约的计算方法有很多种，一般可以归纳为两类：预测节约时间和实际节约时间。

4、汇总所有任务通过自动化所节约的总时长，随后基于这一数值构建一个优先级顺序表，以突出显示那些通过自动化能够获得最大效益的活动。需要注意的是，本任务旨在明确每个特定任务所能节约的具体时间。

5、根据这些任务的每月执行次数或手动执行这些任务所需的时间来估算月总收益。有可能存在一项任务可以通过自动化来实现，例如从一小时的手动工作时间减少到五分钟。但是，如果该任务每月只执行一次，那么自动化这项任务真的会有好处吗？

6、生成一份收益分析报告，将所有收集到的数据结合在一起，以便决定哪些项目要实施自动化、哪些项目需要暂停自动化以及哪些项目不需要自动化。

第3阶段

自动化/剧本开发

研究哪些环节可以实现自动化以及如何将这一设想变为现实，无疑是一项颇具挑战的工程任务。不过，本文强烈推荐采用收益分析的方法来明确自动化所需要的研发投入。

收益分析的结果应当为安全主管提供清晰的思路，帮助其理解并推动剧本开发的整个过程及其相关任务。

收益分析应当生成用以验证自动化开发过程所需工作的成功衡量标准。部署脚本以及执行计划是否能够带来预定的回报？这部分工作可能已经作为评分方法论的一部分已经完成了。

将目标转化为具体步骤和可执行任务的一个优势在于，尽管每个组织的目标可能各具特色，但其达成目标所必需的作业却是通用的。这些通用作业有可能已被相关领域的专家团队预先设计好，并在设定自动化目标的流程中发挥作用，从而节省时间成本。

与任何开发工作一样，测试和验证是确保满足设计需求的重要步骤。

在进行测试时，务必验证任务的运行是否符合预期。API是否响应？是否存在交付延迟？是否会发生交付错误？这些都是重要的战术测试步骤，对于确保剧本能够按计划执行至关重要。

第4阶段

实施

在这个环节，操作指南应该按照既定的标准启动工作，并且按照预定的流程进行实际的运营检验。到了这个阶段，我们应该把脚本投入到实际的生产和运营当中去，以此来实现收益。

为了更好地反映剧本的实际运行情况，运营团队需要对工作流程进行更新。鉴于不同剧本的内容和类型可能有所差异，工作人员需记录在使用时具体采用了哪个剧本以及剧本应用的方法和时间。这些信息应该被详细记录在过程文档中，以目标层级的方式呈现。这种级别的文档记录不仅有助于提供更有效的使用指导，还能够帮助追踪流程层面的依赖关系和可能的瓶颈点。

安全主管还需要更新定期的报告指标，这些指标应当适时调整，以确保它们反映了自动化的实际效益。部分自动化解决方案供应商已经在他们的产品中内置了剧本级别操作的监控功能，这有助于生成更准确的报告。

如果没有这种功能的话，建议采用一种手段来监控剧本的实际应用状况，并且记录下每次使用的效益，以便定期的生成报告。

操作员的日常活动种类通常保持固定，但他们在执行活动和承担任务方面的参与度会根据需要有所调整。每个角色的决策性质应保持一致，诸如路由规划、任务分类以及行动计划制定等，并且应当对操作员进行培训，教授他们如何作出这些决策。

就像任何其他代码一样，剧本也有一个有效期限。它们同样需要更新和维护，并在达到一定期限后淘汰或废止。对于每个剧本，确定并指定专人负责保持其有效性是非常重要的。

维护自定义剧本是一项本职工作。在编写剧本的过程中，应将其中的所有依赖关系记录下来（比如第三方API调用、日志文件的具体格式、运行环境所使用的操作系统类型或版本号以及所需的应用程序版本）。

如果安全部门的管理者采纳这些步骤，他们应该会很好地实现企业级的目标，即洞察最新的安全趋势，实现在潜在的威胁发起攻击之前就有所准备。

* 本文为陈发明编译，原文地址：https://www.cybersecuritydive.com/news/security-automation-use-cases/717937/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

更多推荐

原文始发于微信公众号（数世咨询）：如何识别和实施安全自动化用例