利用机器学习改进事件响应流程

网络安全分析师通常依赖于操作流程来对安全事件进行快速的调查与响应，但同时他们又总是会忽略掉操作流程的更新工作。

所有企业都应建立一套综合全面的事件响应流程，明确设立一个事件响应团队，确定团队成员并对所有网络安全事件的应对策略进行详细规划。

为了始终如一地按照流程行事，企业需要拥有自己的操作流程——一种能够为事件响应人员在调查、分析、遏制、清除和应对攻击（如勒索软件、恶意软件爆发或业务电子邮件妥协）过程中提供指导的战术指南。没有遵循安全操作流程的组织通常会遭受更为严重的安全事件。在Fortinet处理的全球安全事件中，将近40%的事件都是由于缺乏充分的操作流程而导致的首次入侵。

许多企业表示，尽管在其组织内部配备了适用的工具来检测和应对安全事件，但对这些工具的使用却往往缺乏充分的流程规划。即使具备了操作流程，分析人员仍然需要根据安全事件的详细信息来做出复杂的决策。如果分析师缺乏知识经验或在行动之前未经深思熟虑，就可能会采取错误的方法，最终对响应工作造成阻碍。

意料之中的是，企业和研究人员如今趋向于将机器学习（machine learning，ML）和人工智能（artificial intelligence ，AI）两项技术应用于操作流程。目前，人们已经能够通过训练深度神经网络，来超越替代目前基于启发式的解决方案，实现根据事件特征并以图形中一系列步骤表示的操作流程，自动推荐下一步操作。

从长远来看，手动管理操作流程是行不通的。

一旦确定了操作流程，它们便被硬编码为一组固定的警报，并且不容易改变，同时也很难适应变化。这对于调查方面的操作流程来说还算可以接受，因为它们可能不需要经常性的改动。然而，在响应方面，这种静态和刚性就不太理想了。响应的操作流程需要根据新出现的威胁和之前未见过的新告警来进行更改，以适应不断变化的实际情况。

安全编排、自动化和响应（ecurity orchestration, automation, and response，SOAR）系统负责的是安全事件的自动化检测、调查和响应。该系统扮演了多种角色，其中之一就是存储各种情境下使用的操作流程。在网络安全事件中，企业会面临不同的情况，而这些 SOAR 系统能够通过提供操作流程的存储库，来使得企业在各种情况下都能够有效地实现自动化响应。

企业在处理安全问题时，往往会涉及到许多不确定因素和可能性。而操作流程是通过应用严格的流程来获得可预测最终结果的一种方式。可重复的结果离不开SOAR系统的自动应用。缺乏一致且具有逻辑的流程，就无法将不确定的安全警报转变为可预测的结果。

根据专家的说法，SOAR系统正如其名字一样，变得越来越自动化。与此同时，采用人工智能/机器学习（AI/ML）模型为系统增添智能性更是一种顺理成章的趋势。

人工智能可用于识别有利于检测和应对威胁的模式和趋势，从而减轻分析师的认知负担，提高其工作效率。此外，生成式人工智能系统能够更加容易地向客户传达事件的摘要和技术细节。

企业不使用人工智能来制作更多的操作流程，但却可以广泛应用它们来对操作流程进行优化，同时提升其他安全运营流程的执行效率。

最终，操作流程可能会通过深度学习（DL）神经网络来实现完全的自动化.。

企业的目标是将自己的方法扩展到支持完整的端到端流程。在该流程中，一旦SOAR系统收到警报，基于深度学习的模型就会对警报进行自动处理并部署适当的响应，动态和自主地创建即时操作流程， 从而减轻安全分析师的负担。

对于赋予人工智能/机器学习模型管理和更新操作流程的能力，应该谨慎进行，特别是在敏感或受监管的行业。

许多企业表示，根据多年来进行的调查，无论是出于安全原因还是合规原因，客户对于人工智能自主调整、修订和创建操作流程仍感到不安。客户更希望能够自主管理和调整这些程序，以满足其特定需求和标准，而不受限于外部因素。

自动化的实现离不开完全的透明性，为了实现这一目标，建议将所有查询和相关数据展示给安全分析师，以便他们能够全面了解系统运作的细节。

这使得用户可以在进入下一步之前对返回的逻辑和数据进行合理性检查并验证结果。这种人工智能辅助的方法在应对人工智能的风险和提高效率以适应快速变化的威胁环境之间找到了平衡。

* 本文为茉泠编译，原文地址：https://www.darkreading.com/cybersecurity-operations/automation-via-machine-learning-makes-cybersecurity-playbooks-better
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

原文始发于微信公众号（数世咨询）：利用机器学习改进事件响应流程