企业规划开始关注安全自动化及编配

全球网络安全人才短缺的压力之下，CISO开始转向安全自动化与安全编配技术。如将威胁情报集成进内部安全遥测中，为安全运营添加定制功能和自动化修复任务，以此提升员工生产力。如今，这一转变的速度和广度是大多数人始料未及的。

企业战略集团(ESG)的研究表明，19%的企业已经广泛部署了安全自动化与编配需要的技术；39%已部分部署；26%参与了自动化/编配安全运营的项目。

为什么大家都纷纷转向安全自动化与编配呢？ESG调查了412位网络安全及IT专业人士，试图找出企业在安全自动化与编配上的优先考虑。其中广受认同的几项如下：

35%的受访者想用安全自动化/编配技术集成外部威胁情报与内部安全数据收集及分析。安全调查需要从这两个来源入手，但在过去，外部情报与内部数据的集成是人工过程。这一数字表明，企业想让安全自动化/编配工具来完成耗时耗力的工作，弥合调查工作流。

30%想用安全自动化/编配技术来在现有工具基础上添加功能。通常，该功能集中在工作流编配上，将工作流编配成安全调查、事件响应或修复任务的一部分。

29%想用安全自动化/编配技术来自动化基本修复操作，比如根据收到的IoC自动产生新防火墙规则之类的。

28%想用安全自动化/编配技术关联多个工具产出的数据。有大量威胁检测工具不断产生报告和警告的情况下，安全团队就想要安全自动化/编配来关联混合这些输出，并得到更全面的安全事件视图。

22%想用安全自动化/编配技术来集成安全和IT运营工具。这能使安全分析师可以访问资产数据库、配置管理数据库(CMDB)、问题标记系统等等。很明显，这一需求就是 Resolve Systems 和ServiceNow这样的提供商进入安全自动化/编配市场的主要原因了。

安全自动化很有必要，但怎么使用呢？

CISO看待安全运营就像亨利·福特看待汽车制造一样。他们知道人工过程满足不了生产需求，于是就用新技术来机械化这些操作。福特使用了流水线；CISO则用安全自动化和编配工具。

安全自动化和编配市场还在早期发展阶段，很多信息安全人员对该市场还不是很了解。自动化和编配应对接已有SIEM吗？应该紧密集成进IT运营吗？需要开发自己的软件或者与Demisto、Phantom和Swimlane之类商业提供商合作吗？又或者，应该选择Exabeam、Siemplify或ThreatConnect这样的知名厂商的新分析技术或运营工具中的安全自动化/编配功能？

决策并不容易。但ESG调查了解到，成功的安全自动化/编配源自对过程改进的坚持，来自专门的阶段性实现计划，以及与资深安全技术提供商和合作伙伴关系。