本文分享自天翼云开发者社区《网络安全自动化：最需要自动化的 12 个关键功能》，作者：路人甲

据相关统计，每天会产生 300，000 个新的恶意软件，每 39 秒就会发生一次黑客攻击，组织发现完全保护自己具有挑战性。网络攻击继续攀升，因此网络安全和网络安全自动化已成为全球组织的主要关注点。2020 年的平均数据泄露成本为 3 万美元，其中医疗保健和金融部门是最脆弱的。根据Cybersecurity Ventures的一份报告，到86年，网络犯罪损失每年将超过10.5万亿美元，使其成为对世界经济最危险的。这不是巨大的损失吗？

为了应对这种不断增长的威胁，组织必须通过实施自动化解决方案来领先于黑客，这些解决方案可以在攻击发生之前检测和预防攻击。

网络安全自动化的需求 自动化安全功能的一个显着好处是它可以快速处理和处理大量数据集，而手动安全系统可能会消耗大量时间。例如，组织可以使用 SIEM 系统和威胁情报平台等自动化技术从多个来源收集和分析大量数据，以发现可能表明安全威胁的趋势和异常。这有助于安全团队在可能的违规行为演变为全面攻击之前快速做出响应。

安全功能自动化的另一个原因是，它允许安全人员专注于需要人类知识的更复杂的工作。安全团队可以将更多时间用于调查和响应更高级的威胁，这些威胁可能需要通过自动执行漏洞检测、修补和系统更新等典型过程进行更深入的研究。

最需要自动化的 12 个关键功能

1. 监控机器人活动 机器人活动监控是任何自动化程序设计的重要组成部分。最终用户帐户不应链接到机器人权限。机器人的系统凭据应加密，并且不能以纯文本形式提供。在执行期间，应集中记录机器人操作。机器人应在其 VLAN 上运行，以促进网络监控和风险管理。
2. 防御行动 扫描在线资源以查找潜在的网络威胁有望确保其安全。但是，当确认威胁时，必须有人手动采取措施来修复它。但是，对于企业来说，自动执行防御安全漏洞所需的步骤会很有帮助，因为它可以减少停机时间并节省资金。
3. 数据加密 加密数据和自动化流程对于当今数字环境中的企业至关重要。未加密的数据会给组织带来重大风险，应不惜一切代价避免。通过持续创建加密备份并自动执行该过程，企业可以减轻勒索软件攻击的影响，并轻松回滚到以前加密的备份，同时将运营中断降至最低。因此，强烈建议企业优先考虑数据备份的加密和自动化，以确保其数据的安全性和弹性。
4. 漏洞扫描 网络犯罪分子利用软件和系统缺陷在提供商发布安全更新之前对企业发起攻击。由于安全分析师根本不可能在网络攻击者利用这些漏洞之前识别和修复所有这些漏洞，因此公司必须自动进行漏洞扫描，以根据其严重性和潜在影响来识别和评估弱点，然后根据其风险评分确定已识别漏洞的优先级。
5. 合规性、审计和事件响应 自动化合规性、审计和事件响应流程对企业非常有益。通过自动化这些流程，企业可以确保他们始终遵守行业法规和标准。自动化还可以帮助识别潜在的合规性问题，并在它们成为重大问题之前快速解决这些问题。

• 自动化审计流程可以帮助企业确保满足内部和外部审计要求。自动化可以提供实时监控和报告，这有助于及早发现潜在问题并简化审计流程。
• 自动化事件响应流程可以帮助企业快速识别和响应安全事件。自动化事件响应可以提供安全威胁的快速检测和遏制，从而减少对组织的影响。
• 自动化合规性、审计和事件响应流程可以帮助企业改善其安全状况、提高效率并降低不合规或安全漏洞的风险。

6. 数据管理自动化 大部分工作日用于组织的安全团队成员手动管理技术，以保证关键公司数据的安全性。但是，通过自动化日志和资产管理以及数据收集等流程，安全操作可以更有效，从而腾出熟练的安全团队成员的时间来处理需要人工参与的高价值工作。
7. 数据安全自动化 使用自动化来管理数据隐私可以帮助组织遵守法规和要求。通过自动化这些功能，人工智能驱动的解决方案可以快速识别不符合法律标准的活动。但是，重要的是要进行彻底的审核，以确保这些系统正常运行并确保数据安全。网络安全自动化可以帮助企业保持法律合规性并保护敏感信息。
8. 事件响应/威胁检测 为了防范网络犯罪分子，组织可以使用自动化解决方案进行威胁检测和响应。这些技术可以快速识别潜在风险，并采取行动，使用机器学习和人工智能等高级方法防止攻击。自动化技术更精确，可以比人类更准确地检测威胁。通过自动化安全流程，组织可以更快地响应攻击，并将人为错误的风险降至最低。
9. 应用程序安全性 仅依靠人工来保证应用程序安全性的解决方案不再实用。这是因为随着越来越多的企业采用低代码、无代码和应用程序编程接口，DevOps 安装的数量也在不断增长。手动方法还可能带来人为错误，增加安全漏洞的可能性。 企业可以利用自动化解决方案通过验证身份验证、授权和加密协议来保护其应用程序。此外，企业可以使用自动化来检查应用程序是否存在已知的安全问题。
10. 初始警报分类 使用 SOAR 解决方案可以在很大程度上自动化初始警报分类。在大型国际企业中，安全运营中心分析师花费过多的时间响应数百、数千甚至数百万条警告。SOC 中的自动化使员工能够有效地利用他们的时间，同时弥合因人员短缺而造成的差距。
11. 端点数据分析 为了帮助他们检测漏洞，IT 主管应确保他们拥有正确的工具来查看其整个端点环境并从这些端点摄取所有数据。安全团队可以使用安全产品集中其经常受限的资源，该产品通过开箱即用的 MITRE 映射检测自动执行检测。
12. 自动欺骗技术 为了吸引网络攻击者，人工智能驱动的欺骗技术使用逼真的诱饵，例如数据库、服务器、文件、应用程序和域。一旦攻击者与这些欺骗接触，该技术就会开始收集情报，然后利用这些情报向组织的安全人员发出警报，使他们能够解决/消除这些威胁，阻止潜在的违规行为并保证数据保护。 企业可以利用自动化解决方案通过验证身份验证、授权和加密协议来保护其应用程序。企业可以使用自动化来检查应用程序是否存在已知的安全问题。