正如号称达到4级高度自动驾驶的特斯拉FSD8.2测试版在奥克兰街头“处处鸟惊心”的糟糕表现给自动化狂热主义投机分子兜头浇了一盆凉水，网络安全的“无人驾驶”，也还有很长的路要走。

在网络安全中，当今被视为标准的一种基本自动化是SIEM和网络安全工具之间的关联。例如，将与IP地址关联的所有警报汇总到一个屏幕上，或者通过对共享源或目标的警报进行分组来标识攻击活动。一些工具更智能，并使用其他上下文源，例如活动目录(AD)或威胁情报，或过滤掉“非恶意内容”。但是，就像汽车最初的自动巡航控制一样，在网络安全的世界中，自动化会有很多意想不到的后果，这主要表现为大量的误报或漏报。例如，随着设备的移动性越来越强，在公司网络的内部和外部“漫游”，在每个位置使用新的IP地址，同一设备在短时间内可能会有多个地址，这会大大增加误报几率。

对照SAE自动驾驶的0级——汽车自动巡航控制，可以肯定地说，IP相关在安全自动化的级别上是相同的。从更广泛的角度来看网络安全自动化，大多数行业可能仅处于1级水平。

SOAR(安全编排、自动化和响应)可以归入2级(部分自动化)。此类技术可自动执行多项低影响的响应和补救任务，例如为IT服务台创建支持工单，在多个安全工具之间自动关联或将证据收集到事件数据存储中。

达到第4级和第5级需要整个网络安全行业大幅提高其竞争能力。目前，重点应该放在第3级：条件自动化上。

回到与汽车自动驾驶的类比，特斯拉的自动驾驶仪不仅会分析车辆环境数据速度、行驶车道、制动、加速等，还会分析其他车辆共享的道路数据，为驾驶员提供决策依据。

安全行业也需要类似的自动化能力，才能将网络安全提升到3级自动化。根据我们从汽车中学到的知识，要达到此目标，需要满足几个基本要求：首先我们需要减少对人类的认知负担，以便安全团队可以专注于重要的事情，消除诸如单调任务之类的压力，并以记录决策路径的方式专注于用户体验，从而使人类可以在需要的时间和地点进行更深入的挖掘。

其次，人工分析人员将继续在安全操作流程中扮演重要角色，并且可能会在未来几年内继续发挥作用。通过破除最佳安全决策所需的知识和信息的藩篱和屏障，网络安全人员的技能将被提到更高水平，这同时也将推动企业坚定地走上自治安全的道路。