网络安全自动化：公平竞争下的一场博弈

国外安全专家指出，缺乏熟练的网络安全人员是网络攻击愈演愈烈的主要原因。在全球范围内，网络安全从业人员的总量较低，其中拥有丰富经验的安全人员占比更低，但往往所有这些从业人员都需要处理全行业的网络威胁。而尽管对安全从业人员的需求在持续提升，但实际人数的增长率微乎其微，这就导致需求和供应之间的对比一直处于恶性循环。

另一方面，全球网络安全市场正朝相反的方向突飞猛进。国外安全专家预计，随着对解决方案和产品的需求增加，全球网络安全态势将以复合速度扩张，而网络攻击数量的增加、数字化转型的变化和人才短缺都是导致这一增长的原因。各组织都将部署更先进的安全解决方案，以检测、减轻和降低网络攻击的风险。

对于人才短缺，国内安全专家吴致远曾表示，据相关报告统计，目前全国网络安全专业人才的累计缺口大概在140万以上；相比之下，每年网络安全相关专业的高校毕业生大概只有两万。加之大环境下，大中小企业对安全的需求都在不断提升，企业数字化转型后对安全的要求又越来越高，所以网络安全人才的缺口可以说非常之大。

结合国内形势，网络安全人才缺少主要体现在两方面。一是总量严重不足，二是缺少高精尖的人才，尤其是在甲方建设安全能力团队时，对精英人才的需求会比较多。究其原因，是直到2016年，国内具备真正网络安全空间学院的高校也不过9~11所。虽然很多学校有安全专业，但不是具体的学院，国家也没有明确这种学院的课程教导，因此课程内容往往更多地偏向理论性或密码性，从而导致很多安全从业者半路出家，没有接受过体系化、公众化的教育培养。

以人才短缺为基础，国外安全专家提到了自动化的作用。在当下这个时代，自动化系统可以说无处不在，从家里简单的恒温器到医院的呼吸机，人们每天都可以接触到各种自动化的器械和环节。那么自动化和人工智能有什么区别，国内相关专家对此作了解释。

自动化是指机器设备在没有人参与的情况下，能够根据人们设置的程序和要求，完成那些复杂且重复性较高的任务，达到人们的预期目标。运用自动化技术，不但使人摆脱了繁重的体力劳动，还将人们从恶劣、危险的工作环境中解救出来。

而人工智能是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学。人工智能的体现包括机器人、语言识别、图像识别、自然语言处理，以及专家系统。从当前趋势可以看到，人工智能技术正逐渐成熟，其应用范围也在不断扩展。

综上，简而言之，人工智能是比自动化更进一步的技术。可理解为，人工智能是在自动化的基础上，融入了互联网技术而发展起来的一种新的技术方式。人工智能更偏重数据分析和智能识别，是对“人的思维意识”进行模拟的一种技术，人工智能在工作决策中有一定的判断能力，而自动化主要是受到人类的控制运用，只能按照已经编辑好的程序工作。

因此，自动化的核心只有一个目的：让机器执行重复、耗时、单调的任务。所以，这反过来也解放了我们稀缺的“人才劳动力”，可让诸多人才专注于更重要的事情，或更需要“人际交往”的事。国外安全专家表示，其带来的结果，是能综合出一支效率更高、成本效益更高、生产力更高的网络安全队伍。

虽然自动化和人工智能不是一回事，但从人工智能、机器学习（ML）到安全系统已经集成了很多相关能力，可使工具能够自动学习、感知和阻止网络安全威胁。因此，自动化系统将能够采取行动消除威胁，而不仅仅是提醒我们注意威胁。

另一方面，攻防态势自古以来都是相对的，显然网络犯罪分子也在使用自动化为他们的攻击提供便利。MyDoom蠕虫病毒诞生于2004年，是互联网上传播速度最快的恶意软件之一，它便是使用自动化来进行传播的，截至目前估计已造成约380亿美元的损失。国外安全专家对此感叹，20年过去了，我们仍能在互联网上看到它的身影。

安全专家表示，自动化的本质是为了增强安全操作的执行力，在某些情况下，还可以帮助组织补充、解决日益增长的人才缺口。但过多的自动化环节如果被交织在一起，则会产生额外的风险，比如数据调用不规范、攻击面增大、指令之间的相互矛盾，以及当前网络安全中所暴露出的最为恐怖的现象——自动化正在取代人类。

所以国内外安全专家一致认为，尽管自动化是先进科技力量的一种体现，但其应该始终依托、归属于人类，可被完全支配，并同时应该在安全团队的监督下完成自动化使命。此外，自动化和人工智能的发展也带来了新的网络安全角色，比如算法审计员和人工智能风险官。

在安全行业，自动化可以做很多事情，从检测潜在威胁到遏制、解决威胁，都可安插自动化的工具，这些工具的实施过程只需要几秒钟的时间，并且在很大程度上可不被人类干预。国外安全专家表示，通过SOAR所提供的自动化能力，大大提高了SOC的执行能力，显著提高了生产力和响应能力。《2022年数据泄露成本报告》中强调，自动化可将数据泄露的成本减半，同时可将识别和控制的时间缩短77天。

此外，编排（Orchestration）能够激活操作环境中的许多工具，并通过剧本（playbooks）将它们无缝地连接起来，以执行特定的操作。这可以在同一场景提供一致的、可重复的反应过程，以及为网络实践者提供所需的所有必要信息。

再者，AI/ML引擎在SOAR内部也能够学习到警报中的属性，并利用这些知识防止未来的攻击，可以说每一个处理的警报和事件都会被学习用于防患未然。因此，自动化在实现敏捷、主动的网络安全功能方面发挥着重要作用。

而最重要的是，自动化可为网络安全团队提供更好的工作环境，它们减少了警报误报所带来的麻烦和挫败感，为安全人员节省了更多宝贵的时间。

在经济下行的时代里，留住稀有劳动力已成为企业的首要问题，这些重要的劳动力可以为企业带来更高的投资回报率，更不要说企业在招聘、持续培训和工作经验上所付出的大量“员工投资成本”，怎么算都划不来。因此，还是为安全人员提供更好的工作环境吧，不要让他们因为“生活质量”而轻易离开岗位。

除了帮助组织应对人才挑战外，国外安全专家指出，自动化还可以使当前的工具和技术获得更大的ROI，并将它们作为编排（Orchestration）过程的一部分发挥作用。

自动化的实施应该从收集和关联数据开始入手。众所周知，任何好的自动化系统都需要质量较高的数据，这样才能有效地运行和实施，而且数据源越多，操作质量就越好。

企业可从业务环境的各个方面收集数据，如端点、网络和云。而自动化平台中的AI/ML系统，使得分析和关联所有的这些数据变得更为容易，这两个组成部分使网络安全自动化成为可能。

接下来，企业可分析当前的标准操作程序（SOP），寻找定期、重复的活动和流程，这些活动和流程可以减少工作量，减少遗漏警报的风险。国外安全专家表示，企业可以寻找不会偏离或以不可预测方式变化的任务。这些是自动化流程的主要候选。

之后，确定在这些流程中需要协调的工具，以及所需的API（或创建它们）以实现集成。最终，创建剧本，这使企业能够控制流程，并为企业提供可以伴随时间推移，始终能复制和改进流程的能力。当然，这还包括了所需要的任何特定操作、要执行的工具和其他任何额外任务，比如阻止、通知、遏制等等。

在数字化转型的世界里，网络安全对任何企业都至关重要，公司数据、员工和客户，每一项都是安全治理的重点。然而，仅仅实施网络安全是不够的，因为我们的对手会不断创新，攻击手段也会变得更加狡猾。

而随着社会不断加大数字化转型和技术发展的脚步，网络安全的自动化亦不会只停留在理论上。当下的竞争环境里，谁能更好地掌握自动化，谁就能领先于同行，这是不争的事实；但绝对不是有了自动化就一定会带来风险，两者并不具备因果。

也就是说，自动化也好，人工智能也罢，它们只是众多高科技发展领域中的一部分，它们所带来的风险和过去的病毒、漏洞、攻击并无二致。只要各行各业的组织能重视安全，就一定能将这些风险都涵盖进安全防护体系里，关键还是在于社会和企业对安全持什么态度。

换句话说，没有自动化，网络安全风险一样会不断增加，因为犯罪分子的攻击是不需要理由，也根本无所谓态势和局势的发展变化。

对于网络安全自动化会给企业带来哪些好处和弊端，国内安全专家如此建议。

知乎相关专家“艾小曼”表示，网络安全自动化给企业带来的好处和弊端如下。

好处方面。网络安全自动化可快速、准确地识别并响应威胁，前景十分诱人；使用自动化安全工具，除了能够帮助企业进行网络攻击防御，还能满足企业的安全合规性要求；安全漏洞等将会被及时发现并补救，安全自动化工具还会采取适当的步骤来保护他们的系统和数据，特别是敏感信息。

弊端方面。网络安全自动化的功能有时候被夸大了，而其引入的问题可能会多过好处。比如大多数企业的规模和复杂程度增加了技术采用的难度，想要收获自动化系统的种种好处，离不开适当的规划和兼容的基础设施。而企业存在将这些新技术“物尽其用”的危险想法，不管适不适用都想用上一把，尤其是在做出大笔投资之后，结果发现很多工具和技术都是冗长且多余的。

另一方面，企业也缺乏对自动化网络安全赛道的了解。其实这个市场十分拥挤，大多数自动化产品都想要保护他们的知识产权，所以各家竞争激烈，而且不愿相互合作、沟通，导致很多产品的能力参差不齐，不能具备全面化的发展。同时，随着自治系统大量接管了工程师的工作，人才招聘将变得越来越少，员工培训的意愿也会下降；此外，数据投毒等风险也是自动化系统的几大危险之一，遭攻击的企业根本无法得知系统是否被篡改。

综上所述，网络安全自动化给企业带来的好处和弊端并存，企业应合理利用其优势并避免弊端。

另一位知乎相关专家“于小葵”表示，网络安全自动化可以给企业带来以下几个方面的好处。

“总之，引入网络安全自动化，可以让企业安全团队更高效完成工作，将注意力放在更高价值的任务上，从而大幅提升整体安全能力。”

此外，还有其他网友提出，网络安全自动化应该是未来发展的一个趋势；但目前在企业的网络安全建设中，自动化工作占比还是很小的。因为网络安全特点是只要被攻击成功一处，那么整个防线就失败了，所以把工作交给自动化显然是不保险的。但是不能否定网络安全自动化确实带来了更多的好处。

某金融行业安全专家孙钢表示，自动化带来的好处是：

弊端：自动化程度不断提升的这个过程，会让参与其中的运营人员变得更强。但对后续的使用者，特别是新人不是很友好。高度自动化，会削弱对网络安全理论基础学习诉求，网络安全事件研判能力以及网络安全思维方式训练，不利于后来者的进步，甚至会对自动化产生依赖。

此外，孙钢指出，自动化所带来的效率提升、生产力解放，这个目标方向必定是正确的。“道高一尺，魔高一丈”，网络安全是攻与防之间不断对抗、不断进化的过程，对于安全从业者，还是要保持一种“Stay Hungry，Stay Foolish”的饥饿感，保持自己的竞争力。自动化解决的是已知的部分，未知的永远是属于我们的。

某证券安全专家何文杰表示，基于标准流程剧本的安全自动化，能提升安全应急处置效率和响应速度，提升安全服务满意度，减轻安全人员工作量；而缺少有效审核和流程管理的安全自动化将可能导致误操作，以及大面积次生灾难。

非夕机器人信息安全总监刘歆轶表示，网络安全自动化在企业的应用分为两个阶段，一个是SOAR的应用阶段，一个是AICG的应用阶段。

首先是SOAR，大量的实践表明，SOAR可以帮助企业安全运营中心实现诸多方面的能力优化，比如：

在SOAR的实际应用中，我们会发现针对企业自身特点的定制化剧本是SOAR能够发挥作用的核心。但是目前大多数的企业仅仅是借鉴SOAR厂商提供的剧本模板和样例进行调整，很难真正结合自身的特点和需要，来创建或者完善某个具体的事件响应流程，这将是一个重点研究的方向。

而AICG的横空出世，给安全领域带来了新的应用场景，主要在于：

由于AICG的突然出现，很多方面还存在安全隐患，比如：

刘歆轶指出，这些领域还处于探索阶段，企业在实际应用AICG时比较容易忽略，从而发生安全事件。