安全自动化工具如何帮助缓解未知威胁？

安全自动化工具帮助IT团队专注于什么是重要的，而不是什么是可用的。现在大多数安全团队都是这样淹没在警报，每个警报代表潜在的安全事件，需要调查和修复。问题是从来没有足够的时间来调查每一个安全警报，所以安全从业者继续淹没，而他们试图每天反对海洋。

的安全自动化的前提是调查警报，在多个警报中关联单个警报，然后将调查结果通知人类卫士。虽然这是人们可以做的工作，但使用自动化更有效，因为计算机不会累，不会沮丧，也不会睡觉。

通过使用安全自动化工具来处理入站警报，安全团队不必查找每一个警报基于浏览器的恶意软件甚至可以查看每一个日志条目。例如，考虑一个自动化的SSH登录攻击框架在五分钟内发送五次不好的登录尝试。安全自动化工具将看到此模式，可以自动阻止攻击，或者需要人力批准来阻止攻击。它还可以针对已知的坏IP地址列表检查远程攻击者地址，甚至可以将攻击者的地址提交给威胁情报数据库。

但是，不管怎样，它阻止攻击的速度都比人快，而且它不会因为这是当天700个事件中的第39个类似事件而感到沮丧。

安全自动化工具允许人们关注更有趣的威胁——那些已经超过阈值的警报自动化算法不能充分补救，或者关闭威胁可能提醒对手进行法医调查。这是安全团队喜欢的工作类型——在清除损害和关闭任何被利用的已知漏洞之前，积极地寻找对手并进行道德上的参与。

这样的事件应该很少，在具有足够的安全自动化水平的组织之间。他们应该值得注意，因为它们代表了实际威胁，而不是与商业上可用的恶意软件的机会威胁演员。

有问题要问我们的专家吗?立即提交。所有问题都是匿名的。