前 言
在网络信息安全剖析中,传统式的网络信息安全在现如今时代特征下是十分局限性的,这也创造了网络信息安全自动化的盛行。网络信息安全自动化即,根据步骤自动化的产品和服务完成全部网络信息安全剖析全过程自动化,使安全性投资分析师能迅速地关心与较大风险性有关的信息、事情。安全性产品服务将必然地要切合自动化的时尚潮流,将自己与自动化观念互相融合。但目前的产品和服务并无法彻底适用自动化更新改造,因而评估产品和服务的自动化发展潜力是十分需要的。
文中将关键详细介绍评估自动化发展潜力的有关环境、API的易用性、功能层面的考量和信息层面的考虑到,使阅读者可以对评估产品和服务的自动化发展潜力有相对的掌握。文中主要内容关键参照了参考文献[1]。
背 景
伴随着安全性自动化的营销推广,安全性产品服务将必然地要切合自动化的时尚潮流,将自己与自动化互相融合,但目前的产品和服务并无法彻底适用自动化更新改造。造成这一问题的首要因素是:根据运用程序设计插口(API)得到的功能和信息很有可能与根据操作界面得到的功能和信息不一样。因而,评估产品和服务的自动化发展潜力针对现如今安全性自动化的推行是十分关键的。评估早已布署或正处在设计阶段的产品和服务,以明确他们是不是具备不足的自动化发展潜力。这类评估必须越来越多的关键点,而不仅是保证有一个API,并且不易从典型性的经销商演试中区别出去。评估自动化发展潜力的步骤如下图1所显示。
图1 评估自动化发展潜力流程表
图1中的流程图展现了2组问题,各自为功能层面的问题和信息方面的问题。这种问题是产品和服务在自动化操作步骤时碰到的最多见的问题。当评估商品适用自动化的实力时,关键是评估API的易用性、来源于API专用工具的功能和信息是怎么根据API来展现,而不是专用工具的一般操作界面。
API易用性
最先,商品或服务项目务必具备供客户规模性采用的API。在安全性编辑、自动化和回应(SOAR)销售市场发生以前,并并不一定的商品都为客户带来了同时的API访问。预估的想法是:客户将与汽车仪表板或控制面板互动,应用软件将在内部结构解决全部API要求。但当客户逐渐从几十个商品中读取到数千个报警时,这类方式就不会再是有效的互联网防御力了。如今,大部分商品都期待并支撑客户某种意义的自动化,可是客户根据商品或服务项目带来的用户界面手动式与程序互动的最开始设计原理,造成了不一样水平的自动化适用。
很多商品如今都是有2个不一样的API可以用,一个设计方案用来与典型性客户互动,另一个设计方案用以适用组织协调功能和有关信息。在这篇文章中,前面一种称之为前面API,后面一种称之为后面API。这类差别很重要,由于不一样的API通常公布不一样种类的信息和功能。因而,他们很有可能得到不一样的批准限定,这种工作能力和访问选择项上的差别很有可能会危害标准操作步骤或繁杂操作步骤的自动化,这必须融合启用前端和后端API来完成。
将当地专用工具与根据云的设备开展非常时,很有可能会发生相似的状况。很多经销商在转移到云时删掉、限定或改动API访问对策和功能。假如一个机构取决于API访问,那麼在考虑到经销商带来的转移到根据云的专用工具版本号时,务必评估这一点。
功能层面的考虑到
伴随着机构将实际操作安全性步骤自动化,她们会碰到一组与API公布的功能有关的疑难问题。下列三个领域的考虑到事宜,致力于协助机构评估产品和服务,以保证可在恰当的情况下开启自动化。
- 非约束性
- 综合型
- 外界实用性
非约束性。商品或服务项目在适用自动化解决的经营规模上给予API访问是十分关键的。在完成自动化步骤中,通常碰到的第一个问题是批准限定。前面API密匙(用以以受权方法访问API)很有可能不包含在原始授权文件中。一样,有很多服务项目在投资分析师手动式访问时是免費的,但必须付钱更新以适用全自动访问。即使机构为API的访问付钱,它也经常与根据现阶段手工制作的较大要求总数或比较有限的服务项目集密切相关。在所有的这种状况下,对可以用API的访问在某种意义上受限制,这直接影响了机构应用其所需的自动化的机遇。
综合型。数据分析员可以在应用软件中实行的每一个功能都必须可以根据API应用。在完成自动化步骤中,碰到的下一个问题是:API只公布了剖析员工在实际操作中采用的功能的一个子集合。即使有一组函数公式根据API可以用,应用软件适用的这种函数公式的功能和可以自动化的功能中间也有可能出现差别。这是由于应用软件很有可能根据一些专用方式来完成高級功能,而这种高級功能没法根据将可以用API启用连接在一起来完成。投资分析师在实际操作期内实行的其他实际操作或每日任务,假如无法根据API启用一致且精确地完成,便会限定根据自动化得到的高效率。
外界易用性。每一个可以自动化的功能都必须由API向应用软件外界的源公布。一些经销商包或应用软件模块有着仅有其官方网商品才可以访问的API,或是只有应用模块内部结构转化成的信息来启用这种API。操作步骤可以从机构内部结构和外界的好几个来源于接受同样的关键信息,同样的自动化步骤应当可以对一致类别的信息实行一样的实际操作,而不考虑到信息的来源于。假如必须为不一样的源开发设计不一样的自动化步骤,或是必须布署不一样的功能来根据不一样的API访问同样的信息,那麼自动化实际操作的实效性将受限制。
信息层面的考虑到
伴随着机构将实际操作安全性步骤自动化,还会继续碰到一组与API公布信息有关的疑难问题。下列为四种考虑到事宜,致力于协助机构评估产品和服务,以保证他们适用合理的自动化。
- 可继发性
- 一致性
- 可操控性
- 易用性
可继发性。应用软件剖析工作人员可得到的信息务必可经过合理的API得到。很多商品限定了应用API启用可以导出来或回到的內容,促使一些信息精彩片段只有在应用软件内部结构应用。前面API和后面API给予的信息通常是不一样的,每一个API的可访问色情行业遭受法律法规、服务合同和安全设置的限定。转化成或给予实际操作工作人员应用信息的产品和服务务必给予对这种信息的API访问,不然自动化的机遇将遭受重要危害。
一致性。一切导进操作步骤中采用的信息的商品都必须根据API以一致的形式给予同样的信息。很多产品和服务给予相似的信息(例如,严重后果得分,优先),但因为信息获得的方式可能是十分不一样的,即使他们具有一致的含意,这种信息也很有可能代表着十分不一样的事儿。在导进全过程中,有时候会删掉或改动一些数据字段,要是没有健全的数据信息检验体制,将造成根据后面API导出来的信息不一致。尽管大家可以应用前后文来推论信息的含意,但自动化通常不可以。
可操控性。根据API访问的信息务必与应用软件给予给剖析工作人员的信息相符合。图形界面设计使客户实际操作可视性,而且在视觉效果上开展了提升以适用逻辑推理。他们适用剖析工作人员订制由此可见的字段名、标识和表明結果的次序。API是为回应要求而制定的,并应用十分特殊的结构特征对解决回应开展了提升,这将造成应用软件中所要求和见到的信息很有可能与根据API回到的信息不一样的状况。自动化步骤的水平立即与根据API再次转化成剖析工作人员得到的信息的工作能力关联在一起。
易用性。根据API公布的信息务必以某类文件格式给予,使其可用以产品和服务的全自动实行。在某种情形下,在操作步骤中应用自定编码以前,务必开发设计和维护保养自定编码来分析、翻泽、规范性或再次恢复出厂设置从API启用接受到的信息。务必实行的解决越多,自动化步骤的高效率遭受的直接影响就越大。伴随着机构扩张自动化的应用,这类危害很有可能变的更为关键。
小 结
完成自动化是处理当代黑客攻击速率和范围的核心构成部分。要是没有根据安全工具精心策划的全自动回应,通常不太可能在一个可以完成互联网防御力的時间架构内对互联网威胁情报作出回应。文中主要是讲解了评估自动化发展潜力的有关环境、API的易用性、功能层面的考量和信息层面的考虑到。期待阅读者可以对评估产品和服务的自动化发展潜力有一定的掌握,可以判定出产品和服务是不是可以顺利得到全自动回应的明显益处。
论文参考文献
[1]《Enabling Automation in Security Operations - Assessing Potential》