人或产品单独都无法有效解决信息安全问题，但是如果与流程结合在一起，它们可以成为强大的组合。然而有许多流程非常复杂，最终却阻碍了安全团队的发挥，最好的流程应该是灵活、高效和有效的。这些流程使更快、更轻松、更精确地完成工作成为可能。

流程的目的是有效解决现实世界中的问题。 每个作业功能都使用它们，如果设计合理，人们会从中受益匪浅。财务部门有季度预算流程，DevOps团队以连续交付流程而闻名，而HR团队则有招聘和入职流程。信息安全相关流程可以带来同样的好处，甚至更多，尤其是在应对当今迅速发展的信息安全威胁时。

为什么安全需要流程

不管是现在还是将来，安全都将一直是一项复杂的工作。 如果没有清晰的流程，会很难将人们的工作与工具可以完成的工作联系在一起。流程可以使整个安全团队凝聚在一起，以确保尽可能的少发生安全事件，这对于每天都要处理大量复杂威胁的团队来说至关重要。

铁打的营盘流水的兵，即使员工来来去去，流程也可以帮助企业组织长期维持良好的安全态势。流程还可以记录有效的任务和最佳实践。只有适当地设计流程，并且确保流程有据可查、灵活、易于共享，才能真正有效地解决实际问题。 为了帮助您的团队达到这些关键标准，我们提供了一个框架，用于在现代企业组织中创建和实施安全流程。

1、从高级别业务目标入手

为了通过流程解决现实世界中的问题，您首先需要定义最终目标。要明确任何给定流程的目标，需要先定义：

您想要保护的资产

已知的威胁

优先级别

内部资源

2、确定哪里需要流程

并非每个安全任务都需要一个过程，因此，重要的是您在第一步中定义的目标，并确定哪些目标可以从提高效率的流程中受益，哪些目标可以临时解决。首先，要了解流程是否可以解决实际的长期问题。 以下是一些解决实际问题的常见流程类型：

事件响应

漏洞管理

应用安全

如何确定特定安全组织在哪里需要流程？ 首先评估您的团队已经在定期进行的工作，包括：

威胁狩猎（Threat Hunting）

应用漏洞扫描（App Vulnerability Scanning）

网络钓鱼调查（Phishing Investigation）

现在，您知道了在团队工作中的什么地方实施重复性的安全流程是很有意义的，重要的是要知道在何时正式设计和引入一个流程，有两个主要指标：

时机（Timing），要注意引入流程的时机，太早太晚都不太好，需要在实施流程之前要权衡利弊。

规模（Scale），通常，最好在流程可以解决规模问题时引入该流程，例如每天需要处理1000+个告警。

对于流程分类来讲，主要有两种类型：基本的和精心设计的。

基本流程是对实时需求的直接响应，通常用来解决短期问题，而不一定是用来解决长期问题。

精心设计的流程是有意预先进行精心设计并打算持续很长时间的流程。SOC对安全告警进行分类的流程就是一个很好的例子。精心设计的流程需要相当的灵活，灵活性对于确保流程可以适应各种情况以及您团队的成长极为重要。

3、设计一个正式的安全流程

开始设计一个安全流程之前需要先确认你要解决的问题。可以尝试回答下列问题：

我们要解决什么问题？ 示例：“自动检测网络钓鱼攻击。”

这是简单的还是复杂的问题？示例：“复杂，我们有1,000+名员工分布在全国各地，并且使用不同的浏览器和操作系统，因此新的攻击总是使我们陷入困境。”

问题的规模如何？示例：“有可能影响每位员工，是一个大问题。”

这个问题的优先级情况如何？示例：“在1到10的范围内（1为低优先级，10为高优先级），它的优先级是8。”

我们知道哪些信息？例如：“我们知道正在使用什么操作系统，并且每个人都必须每90天更改一次电子邮件密码。”

我们不知道哪些信息？示例：“我们不知道有多少人正在使用其他操作系统和浏览器的过时版本。 我们也不知道我们不知道什么。”

此时，您应该对要完成的目标和涉及的对象有了一个清晰的了解。

例如，在提权告警调查的场景中，当用户将自己的标准权限提升到管理员（或root帐户）权限时，安全人员必须对其进行记录和审阅。整个过程可能如下所示：

4、测试一个安全流程

正如工程师在生产环境中运行之前对其代码进行测试一样，安全流程应该在现实世界中实施之前进行测试。一旦你觉得在你设计的过程中你已经记录了所有的东西，使用一个真实的用例来运行这些指令。理想情况下，测试流程的人不应该是创建流程的人。

5、重新评估与改进流程

正如我们前面提到的，为了有效，流程必须是灵活的。这意味着他们不仅应该能够适应每个特定的用例，而且还会随着时间的推移而发展。为了确保这种情况，定期重新评估和改进流程非常重要。

您和您的团队在重新评估期间应该提出的问题包括：

这个流程是否实现了我们定义的目标？

这个流程是否能够提高效率？

这个流程是否仍然与我们面临的威胁相关？

这个流程的好处是否超过了遵循它所需的时间？

定期评估您的流程可以确保您投入的工作有益于您的团队，并且您需要采用一种敏捷且适应性强的安全方法，这种方法可以让您对同时尝试执行相同操作的攻击者产生很重要的影响。

让流程和自动化结为连理

虽然手动流程可以通过定义执行安全任务或响应威胁的路径来提高效率，但是当机器与机器之间的自动化可以分层进行时，则可以使安全团队受益更多。

使用安全编排和自动化，安全团队可以将所有安全工具连接在一起以创建强大的流程，同时仍然允许在此过程中提供战略性的人工洞察力。通过编排和自动化，您可以更快速的并且更好地利用团队的专业知识进行分析和决策，而不是手动调查任务。这些运营收益有利于您的安全态势，甚至有助于解决安全人才缺口。

在不断要求安全团队用更少的资源做更多事情的时候，自动化流程提供了一个实用的解决方案，可以提前并驻留在那里，通过尽可能少的手动工作来处理日常和复杂的任务。

该文章来源网络，如有侵权请联系0731-2768088删除