Splunk中国区总经理严立忠

每个业务流程都涉及数据，无论是人为操作还是机器之间的相互交互都不例外。企业内发生的大规模数字化转型正在持续改变业务运作的方式，这种数字化转型放大了技术措施的内在风险和潜在漏洞，这意味着安全运营的本质正在改变。

从基于周界的防御转移到分析驱动的方法成了许多首席信息安全官和首席信息官的新目标。这种方法利用来自传统IT系统、上网设备和云的数据，提供整个生态系统的可视性。另外，这还意味着需要全面掌握有关事件的责任人、内容、发生时间、发生地点以及如何发生的端到端信息。

即使成熟的企业和经验丰富的安全专家有时也会采取被动的应对措施，只能尽己所能搜索和响应威胁。安全运营团队只能对能够识别的威胁做出响应，大部分团队已经疲于应对各种安全警报。调查工作需要花费太长时间，需要分析的大量数据和负责监控、检测和响应威胁的安全和IT人员之间出现失衡。

设想一下，如果设计一个勒索软件每14秒对某个企业发起一次攻击，到2019年底，需要多少人来处理如此容量的攻击？难以估计！要让安全运营中心（SOC）实现自动化，每个安全官如今应该专注于以下三个问题。

分析公司Quocirca近期的一项调查发现，企业每月平均发生1200次IT事件，其中5次为严重事件。需求并不是实施自动化所面临的挑战，那么，挑战到底是什么呢？是大多数安全团队无法从业务或任务优先级方面将自动化需求合理化。

随着对数据分析的关注度不断升高，SOC可以实现更高水平的自动化。可预测的任务，尤其是配上检查清单的可预测任务是最应该实现自动化的：与合规性、内部策略、报告或保全证据相关的活动可以实现自动化，无需担心通常出现的不良后果。

自动化的目标是让分析师能够更快做出决定，而不是取代分析师。自动化可以让安全分析师从技术链条中解放出来，不必疲于连接配置有误的技术；它可以让分析师转变数据挖掘者的角色，不再忙于复制/粘贴电子表格；还可以让分析师专注于具有更高价值的决策工作，从而能够提高调查和响应的速度。

虽然实施自动化有望帮助缓解某些技能短缺的问题和应对留住合格人才的问题，但它对企业整体绩效和健康发展所做的贡献要大得多。自动化有助于让安全组织成为创新的核心力量，通过改善安全措施对企业产生积极影响，在IT部门内部进行更好的集成，并对风险情况有深刻见解。

要评估在自动化进程中取得的进展，首席信息安全官应在引进自动化技术之前就进展达成协议。在评估安全自动化进展时，企业必须考虑以下方面：

● 数据访问和数据准备

● 如何包含并通知企业的其他部门，例如IT团队或运营团队

● 哪些现有的流程和活动需要修改

● 如何集成现有的软件和工具（尤其是未充分使用的软件和工具）来优化整体的安全投资

● 自动化如何让SOC目标和企业目标相一致

在与企图危害企业或任务的威胁发起者和攻击者进行对抗的过程中，组织将在长时间内持续面临一种不平衡的局面。需求是明显存在的，首席信息安全官们可以从小处做起，向企业管理者或董事会量化这种价值。从为一套流程或特定需求实现自动化开始，跟踪短期内的成效，然后报告自动化对事件监测的改善情况，或者平均问题解决时间减少的情况。可以从威胁检测和威胁调查的比例、识别威胁到事件结束所用的时间或节省的成本等方面进行衡量。

自动化不是神奇的魔术，也不能解决所有问题。自动化的建立和维护需要整个组织投入专门力量。随着组织不断发展，数字化转型不断深化，自动化将成为安全团队服务于企业和企业目标的关键。

关于作者

严立忠

Splunk公司中国区总经理

严立忠先生现任Splunk公司中国区总经理。在加入Splunk前，严先生成功地带领团队创立了国内第一家在新三板挂牌的移动信息安全公司。

严立忠先生在信息技术领域拥有丰富经验，1994年加入中国惠普有限公司，先后从事网络顾问、大客户经理、高级渠道销售经理等职，2002年加入Intel公司任亚太解决方案部战略合作总监，2005年开始任以色列Check Point网络安全软件公司中国区首席代表兼销售总经理，2008年加入Oracle公司，任中国区渠道总监，2013年初出任SAP大中华区平台渠道总经理。

严立忠先生在1991年毕业于上海理工大学计算机专业，后获得澳大利亚国立大学管理硕士学位。