時(shí)至今日，安全的各個(gè)領(lǐng)域都在談?wù)撟詣?dòng)化。自動(dòng)化可以算是提高效率的一種好方法，但前提是它必須是被正確實(shí)踐的。很多時(shí)候，組織會(huì)把自動(dòng)化視為尋找問題的解決方案，而不是將其用于解決問題。組織如何巧妙地利用自動(dòng)化，并確定哪些才是適合自動(dòng)化的良好候選領(lǐng)域呢?

為了回答這個(gè)問題，你需要首先回答以下20個(gè)問題：
1. 您的戰(zhàn)略情報(bào)是否采用了PDF格式?我們都需要在戰(zhàn)略層面上了解我們組織面臨的風(fēng)險(xiǎn)和威脅，但是通過頁面和自由格式文本頁面進(jìn)行梳理并不是實(shí)現(xiàn)附加價(jià)值的最佳操作方式。
2. 你是否每天都輪流訪問幾個(gè)不同的安全新聞和信息網(wǎng)站?這份努力無疑是值得肯定的，但是首先你需要花時(shí)間充分了解自己到底需要尋找哪些內(nèi)容，以及如何將這些內(nèi)容整合到安全工作流程之中。
3. 你的情報(bào)是從何處獲取的?如果你主要是從需要手動(dòng)登錄的電子郵件和門戶網(wǎng)站來獲取這些情報(bào)，那么現(xiàn)在你就應(yīng)該考慮一下可以采取哪些措施來自動(dòng)執(zhí)行這一操作。
4. 你每天需要花費(fèi)多長(zhǎng)時(shí)間來手動(dòng)剪切和粘貼指標(biāo)以及其他數(shù)據(jù)?
5. 你是否經(jīng)常在多個(gè)工具和屏幕之間切換?有時(shí)候這是不可避免的過程，但是有些時(shí)候，你卻可以通過自動(dòng)化技術(shù)來減輕這種來回切換造成的影響。
6. 當(dāng)審查、評(píng)估和/或調(diào)查異常警報(bào)時(shí)，你是否發(fā)現(xiàn)自己需要在Excel(或其他此類工具)中操控?cái)?shù)據(jù)?
7. 你多久在工具間剪切和粘貼查詢一次?這是其中一個(gè)典型的時(shí)間統(tǒng)計(jì)。
8. 你多久將查詢結(jié)果剪切并粘貼到安全事故單中一次?
9. 在調(diào)查異常警報(bào)時(shí)，您是否需要訪問眾多日志或數(shù)據(jù)源以獲取所需的可見性?如果是，你可能就需要認(rèn)真考慮一下“合并”的問題了。
10. 如何理解問題9中的“合并”問題?是否有更廣泛的數(shù)據(jù)源可以包含眾多高度專業(yè)化的數(shù)據(jù)源所提供的數(shù)據(jù)?
11. 你是否發(fā)現(xiàn)自己正在一遍又一遍地運(yùn)行相同的查詢?
12. 你是否知道自己的網(wǎng)絡(luò)上有什么，以及它是如何進(jìn)行通信的?或者你是否發(fā)現(xiàn)自己需要一遍又一遍地手動(dòng)識(shí)別這些信息?
13. 當(dāng)發(fā)布漏洞信息時(shí)，你是否發(fā)現(xiàn)自己需要手動(dòng)整合漏洞公告、資產(chǎn)數(shù)據(jù)庫、端點(diǎn)數(shù)據(jù)庫以及網(wǎng)絡(luò)數(shù)據(jù)之間的數(shù)據(jù)集?
14. 你是否發(fā)現(xiàn)自己正在重復(fù)地為管理層運(yùn)行手工報(bào)表?如此的話，你最好花些時(shí)間了解管理層們的真正訴求，并想辦法運(yùn)用自動(dòng)化的方式將這些信息進(jìn)行上報(bào)。
15. 你是否發(fā)現(xiàn)自己正在不斷更新咨詢合同?無疑技術(shù)有其局限性，顧問在某些情況下肯定會(huì)有所幫助，但這些應(yīng)該只作為權(quán)宜之計(jì)，而不是永久性的解決方案。
16. 在執(zhí)行供應(yīng)商風(fēng)險(xiǎn)評(píng)估時(shí)，你是否發(fā)現(xiàn)自己已經(jīng)淹沒于一堆電子表格之中?
17. 當(dāng)客戶試圖評(píng)估你作為供應(yīng)商向他們介紹的風(fēng)險(xiǎn)時(shí)，你是否發(fā)現(xiàn)自己正在一遍又一遍地填寫相同的電子表格?
18. 為了滿足行業(yè)標(biāo)準(zhǔn)和法規(guī)，你是否會(huì)被迫與審計(jì)師和顧問一起待上很多天?也許這時(shí)候你應(yīng)該考慮一下如何自動(dòng)管理和操控這一過程。
19. 在完成一次事件調(diào)查時(shí)，你是否必須手動(dòng)檢查系統(tǒng)是否已得到修復(fù)，以及確定問題是否徹底得到解決?
20. 你是否發(fā)現(xiàn)自己需要不間斷地手動(dòng)生成事后報(bào)告?
必須肯定的一點(diǎn)是，從來都不缺將自動(dòng)化引入安全運(yùn)營(yíng)和事件響應(yīng)工作流程中的機(jī)會(huì)。雖然對(duì)自動(dòng)化采取“一攬子”(即對(duì)各種事物不加區(qū)別或選擇)方式并不奏效，但是將自動(dòng)化項(xiàng)目實(shí)踐于特定的手動(dòng)、勞動(dòng)密集型以及需要重復(fù)操作的工作之中，還是可以大大提高安全組織的效率。如果自動(dòng)化實(shí)踐合理，還能夠幫助企業(yè)在時(shí)間和成本上節(jié)省大筆支出。
小提示：
如果你是“效率”的忠實(shí)擁護(hù)者，并且從事安全運(yùn)營(yíng)和事件響應(yīng)工作，建議使用可統(tǒng)計(jì)軟件使用時(shí)間，來找出有價(jià)值的分析時(shí)間究竟用在了哪些地方。通常來講，涉及手動(dòng)、勞動(dòng)密集型以及需要重復(fù)操作的任務(wù)，用的時(shí)間就會(huì)多。
如果某些工作并沒有為安全運(yùn)營(yíng)增添任何價(jià)值，那么它就不值得任何時(shí)間投入，可以隨時(shí)被取消。反過來說，如果一個(gè)工作被認(rèn)為對(duì)安全操作起到至關(guān)重要的作用，那么它就可以成為自動(dòng)化的理想候選。