信息化觀察網(wǎng)

“世界屬于你！”、“天空任鳥飛，海闊憑魚躍！”，這些話聽起來是不是很勵志？但在 “千禧一代治療師” Tess Brighman 看來，千禧世代最大的問題就是選擇太多而難以抉擇，簡稱 “選擇困難癥”，或者說 “決策疲勞”。為什么他們會選擇困難？信息過載了。

想想看，1981 年到 1996 年出生的一代人，成長階段信息就在指尖。這一時代初期，個人電腦和互聯(lián)網(wǎng)接入開始起步。這一時代末期，移動設(shè)備和智能手機方興未艾。千禧世代的整個生活都被信息持續(xù)轟炸，如今決策疲勞開始顯現(xiàn)。他們焦慮能否成功，擔(dān)心自己沒有做出正確的選擇，面對決策，心理壓力巨大。

聽起來是不是很感同身受？受決策疲勞之苦的還不僅僅是千禧世代。安全分析師也掙扎于如何從太多數(shù)據(jù)中得出有益的結(jié)論。面對來自安全信息與事件管理 (SIEM)、日志管理存儲庫、案例管理系統(tǒng)和安全基礎(chǔ)設(shè)施等諸多來源的大量內(nèi)部系統(tǒng)數(shù)據(jù)，很多公司企業(yè)其實并沒有如此龐大的信息處理能力。此外，威脅情報也必須考慮進(jìn)去。公司企業(yè)往往接收多個數(shù)據(jù)饋送源的數(shù)百萬個威脅數(shù)據(jù)點，有商業(yè)源，有開源，有行業(yè)饋送，還有公司已有的安全供應(yīng)商饋送。

但凡忽略了某些數(shù)據(jù)，就會擔(dān)心是不是漏掉了什么重要的東西。想要運用所有可用數(shù)據(jù)，又會陷入疲勞，且依然擔(dān)心自己是否做出了正確的決策。必須清除噪聲，削減數(shù)據(jù)總量，才可以知道該往哪兒聚焦，該做些什么。為此，應(yīng)先將來自內(nèi)部環(huán)境的事件及相關(guān)指標(biāo)，與外部數(shù)據(jù)指標(biāo)、對手及其方法相關(guān)聯(lián)，獲取了解攻擊相關(guān)情況的上下文，比如攻擊者、攻擊目標(biāo)、攻擊路徑、攻擊時間、攻擊動機和攻擊方法等。

有了上下文，才可以基于與自身環(huán)境的相關(guān)性對數(shù)據(jù)進(jìn)行優(yōu)先級排序。但對某個公司而言十分重要的東西，對另一家公司而言或許無關(guān)緊要。有必要根據(jù)自己設(shè)置的參數(shù)，而不是某些供應(yīng)商提供的通用風(fēng)險評分，來自動評估與修改風(fēng)險分值。這么做可以凸顯對自家公司而言真正重要的東西，避免花費時間和資源去舍本逐末。

正確的數(shù)據(jù)，以及對該數(shù)據(jù)的確信，才能帶來更好的決策與行動。減少噪聲和誤報的干擾，才能花更多時間分析與理解重點，做出更好決策。更有效且高效的工作方式一直是業(yè)界追尋的目標(biāo)。隨著決策與行動兩方面自信的積累，通過引入自動化，公司企業(yè)還可以加速安全運營。

已有很多文章論述如何運用安全編排、自動化與響應(yīng) (SOAR) 工具來自動化安全運營中的特定過程。Gartner 最近發(fā)布的首份《SOAR 市場指南》囊括了從不同角度貼近 SOAR 的供應(yīng)商，標(biāo)志著該領(lǐng)域正趨于成熟，并在不斷擴張。比如說，運用戰(zhàn)術(shù)手冊自動化響應(yīng)操作的一種過程驅(qū)動型方法，就特別適用于對所用數(shù)據(jù)和所需做出的決策高度確信的情況。然而，大多數(shù)時候，適用完全自動化的高確信度并不存在。如果你開始自動化噪聲，結(jié)果就是噪聲反而被放大。而數(shù)據(jù)驅(qū)動的方法可以讓你更加確信自己在自動化正確的東西。當(dāng)你知道決策和行動是基于正確的數(shù)據(jù)時，疲勞也就消退了，安全運營也能變得更加高效。

信息過載很現(xiàn)實，會引發(fā)漣漪效應(yīng)。對千禧世代而言，信息過載可以翻譯成不知道走哪條職業(yè)路線，不知道選擇哪里生活，不知道怎么理財，甚至選不出人來結(jié)婚。對安全人員及其服務(wù)的公司而言，信息過載意味著漏掉破壞性威脅、職業(yè)倦怠和轉(zhuǎn)行。幸運的是，只要開始削減數(shù)據(jù)量，專注相關(guān)數(shù)據(jù)，就可以克服決策疲勞，自信勇往直前。