停止去人性化吧 SOC應找回人的元素

如果你身在安全界，你怎麼描述你的工作？如果你沒在安全界，你怎麼描述安全？

安全似乎是靠著不斷克服消極性才堅持下來的。被大量安全失敗的消息淹沒，加上不斷增加的無錯運行的壓力，往往構築了一個只會輸出混亂的操作環境。我們被吸引到安全行業，卻似乎只是讓自己感覺不好。

Awake Security共同創始人加里·哥倫布在威脅分析上有將近20年從業經驗，主導了一系列著名案例的調查和控制工作。追溯夠遠的話，他是 Dragon NIDS/HIDS (網路入侵檢測系統/主機入侵檢測系統)研究人員，再之前，他在美國海軍陸戰隊第2部隊偵察連服役。

當他請業內人士描述自己的工作時，得到的答案大多悲傷。安全界人士感到疲憊、不被賞識、註定失敗。這是種很可怕的工作方式。加里認為我們應該採取不同的方式了。

今天的安全產品正將人的元素從SOC中移除

或許只是懷舊，但回想2000年左右我作為安全分析師初入行的時候，想起的都是令人興奮的有趣工作。那個時候，分析師需要相當嚴謹的思維；因為在我們今天大致上還可以的情報共享出現之前，當時的很多攻擊工具和流程都是缺乏文檔記錄的。大多數分析師都得參與解決很有趣的問題(只有很少的初級工具可用)，迫使你不得不掌握威脅發現的手藝，精鍊關鍵捕獵技術。

過去幾年，我花了大量時間與全球的安全分析師交談，發現上述參與感和動機在今天已經缺失了。當我請分析師描述他們的工作時，我常常聽到的詞是「單調」和「令人泄氣」——與我的美好回憶大不相同。這數以千計(或者百萬計)的警報背後，是負責決定是否從網路中拉出一台主機的分析師。一旦做出錯誤的決定，不是報警工具，而是分析師，要擔負起「中斷業務」的指責。毫不意外，這讓分析師不願意去響應那些更「易出錯」的威脅類型，而這同時也會直接或間接地增加挫折感和倦怠感。

今天的安全工具更側重於發現模式，而不是讓分析師更強大。這就創建了一個以交付儘可能對機器有意義的數據為優先的環境。數據裡面對人有意義的信息少得可憐。於是，現在的分析師花費大量時間關聯適用於機器的數據——往往需要30多種工具來做這事兒，讓他們的決策過程更易於出錯。

這不僅僅阻礙了分析師，還讓他們無法磨礪真正重要的很多技能，自然就很是令人沮喪了。而且，這還排除了主動狩獵之類高價值的安全任務——不是因為像很多人以為的企業沒有這些技術，而是因為供他們使用的工具阻礙了這些功能。捕獵技術算不上多麼新鮮，但啟用這種技術面臨的問題才是真正的難點所在。

我們面對的是有創造性的攻擊者。雖然也可以是有利可圖的，但毫無疑問，黑客活動很有趣。這是問題解決和創造性思維——讓我愛上安全分析的原因。然而，不幸的是，今天身處企業防禦前線的分析師們，周旋在一大堆將他們從安全工藝專家轉換成重複性勞動工蜂的工具中間。

本質上講，安全總是人類創造力之間的平衡：一群人在智慧上勝過另一群人，而我們卻正在把分析師的工作變得單調重複，讓他們在這場鬥智斗勇中居於下方。即便有了自動化，我們也只是消除了那最後一公里。這一問題的解決方案，就是安全行業產出不僅關注計算演算法，還強調認知特性和過程性知識的工具，讓老手和新手都能很自信地決定是否中斷某個業務過程，並在這個過程中增加自己的知識積累。

結語

我們知道，安全總是關注負面的東西——即便只是為了防止「壞事」發生。安全和人之間的脫節總那麼令人遺憾。安全形色的發展和新解決方案也會讓我們與過程脫節的事，倒是從未考慮過。但若技術以人為先，就會創造出讓我們每個人都交付可觀價值的機會。期待吧~

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！