“世界属于你!”、“天空任鸟飞,海阔凭鱼跃!”,这些话听起来是不是很励志?但在 “千禧一代治疗师” Tess Brighman 看来,千禧世代最大的问题就是选择太多而难以抉择,简称 “选择困难症”,或者说 “决策疲劳”。为什么他们会选择困难?信息过载了。
想想看,1981 年到 1996 年出生的一代人,成长阶段信息就在指尖。这一时代初期,个人电脑和互联网接入开始起步。这一时代末期,移动设备和智能手机方兴未艾。千禧世代的整个生活都被信息持续轰炸,如今决策疲劳开始显现。他们焦虑能否成功,担心自己没有做出正确的选择,面对决策,心理压力巨大。
听起来是不是很感同身受?受决策疲劳之苦的还不仅仅是千禧世代。安全分析师也挣扎于如何从太多数据中得出有益的结论。面对来自安全信息与事件管理 (SIEM)、日志管理存储库、案例管理系统和安全基础设施等诸多来源的大量内部系统数据,很多公司企业其实并没有如此庞大的信息处理能力。此外,威胁情报也必须考虑进去。公司企业往往接收多个数据馈送源的数百万个威胁数据点,有商业源,有开源,有行业馈送,还有公司已有的安全供应商馈送。
但凡忽略了某些数据,就会担心是不是漏掉了什么重要的东西。想要运用所有可用数据,又会陷入疲劳,且依然担心自己是否做出了正确的决策。必须清除噪声,削减数据总量,才可以知道该往哪儿聚焦,该做些什么。为此,应先将来自内部环境的事件及相关指标,与外部数据指标、对手及其方法相关联,获取了解攻击相关情况的上下文,比如攻击者、攻击目标、攻击路径、攻击时间、攻击动机和攻击方法等。
有了上下文,才可以基于与自身环境的相关性对数据进行优先级排序。但对某个公司而言十分重要的东西,对另一家公司而言或许无关紧要。有必要根据自己设置的参数,而不是某些供应商提供的通用风险评分,来自动评估与修改风险分值。这么做可以凸显对自家公司而言真正重要的东西,避免花费时间和资源去舍本逐末。
正确的数据,以及对该数据的确信,才能带来更好的决策与行动。减少噪声和误报的干扰,才能花更多时间分析与理解重点,做出更好决策。更有效且高效的工作方式一直是业界追寻的目标。随着决策与行动两方面自信的积累,通过引入自动化,公司企业还可以加速安全运营。
已有很多文章论述如何运用安全编排、自动化与响应 (SOAR) 工具来自动化安全运营中的特定过程。Gartner 最近发布的首份《SOAR 市场指南》囊括了从不同角度贴近 SOAR 的供应商,标志着该领域正趋于成熟,并在不断扩张。比如说,运用战术手册自动化响应操作的一种过程驱动型方法,就特别适用于对所用数据和所需做出的决策高度确信的情况。然而,大多数时候,适用完全自动化的高确信度并不存在。如果你开始自动化噪声,结果就是噪声反而被放大。而数据驱动的方法可以让你更加确信自己在自动化正确的东西。当你知道决策和行动是基于正确的数据时,疲劳也就消退了,安全运营也能变得更加高效。
信息过载很现实,会引发涟漪效应。对千禧世代而言,信息过载可以翻译成不知道走哪条职业路线,不知道选择哪里生活,不知道怎么理财,甚至选不出人来结婚。对安全人员及其服务的公司而言,信息过载意味着漏掉破坏性威胁、职业倦怠和转行。幸运的是,只要开始削减数据量,专注相关数据,就可以克服决策疲劳,自信勇往直前。