AI 时代下的安全运营中心:自动化防御的挑战与机遇
在人工智能 (AI) 蓬勃发展的时代,安全运营中心 (SOC) 面临着前所未有的挑战。自动化攻击的兴起,使得攻击速度和复杂程度大幅提升,给传统安全防御体系带来了巨大压力。攻击者能够在短短两分钟七秒内突破防御,77% 的企业已经成为 AI 攻击的受害者。面对这种严峻形势,SOC 迫切需要提升自身防御能力,而 AI 技术的应用成为了关键。
Agentic AI 能够帮助 SOC 自动化决策、适应不断变化的威胁,并优化工作流程,包括警报分类和事件响应。它通过识别风险并减少手动跟踪工作,有效提高效率,增强安全性。
目前,领先的网络安全供应商正在为 SOC 提供基于 Agentic AI 的解决方案,例如 Arcanna.ai、Cato Networks、Cisco Security Cloud、CrowdStrike (Falcon 平台,搭载 Charlotte AI)、Dropzone AI、Google Cloud Security AI Workbench、Microsoft Security Copilot、Nagomi Security、Palo Alto Networks 和 Zscaler。
CrowdStrike 的总裁兼联合创始人 George Kurtz 指出:“当今网络攻击的速度要求安全团队快速分析海量数据,以便更快地检测、调查和响应。攻击者正在刷新记录,突破时间仅为两分钟多一点,没有时间可以浪费。”
为了确保 Agentic AI 或更广泛的 SOC AI 实施的成功,人机协作至关重要。Gartner 最近的报告“预测 2025:永远不会有自主的 SOC”证实了 VentureBeat 的观察,即 SOC 正在试点和采用 Agentic AI 和更广泛的 AI 应用和平台。Gartner 建议:“安全领导者和高级运营人员需要确定哪些 SOC 功能需要人工参与,以及如何将 SOC 分析师转变为需要更多人机协作决策的角色。”
该报告预测,到 2026 年,AI 将使 SOC 效率提高 40%,相比 2024 年的效率,这将开启 SOC 专业知识向 AI 开发、维护和保护的转变。
为了有效地集成 Agentic AI,SOC 需要一个清晰的框架,平衡技术与人类专业知识。Gartner 扩展的 SOC 模型如下所示,说明了角色、能力和目标如何协同工作,以提高效率和适应性。
来源:Gartner,SOC 模型指南,2023 年 10 月 18 日
如果 SOC 希望有机会阻止入侵或攻击尝试,它们需要与攻击者速度和洞察力相匹配的 Agentic AI。
许多 SOC 人手不足。许多 SOC 还发现,很难理解来自传统安全信息和事件管理 (SIEM) 系统的数据,这些系统缺乏可视化技术或使用图数据库来映射威胁的能力。
需要超越列表式思维,更多地像攻击者在计划攻击时那样进行图式思维,这是推动整个行业强劲的图数据库军备竞赛的几个因素之一。
SOC 团队每天都面临着这些挑战,他们努力应对海量的警报、误报和持续的维护工作:
传统系统使 SOC 面临日益增长的 AI 威胁。SOC 仍然受制于过时的 SIEM 系统、传统端点检测和响应 (EDR)、防火墙和入侵检测系统 (IDS/IPS),这些系统无法应对 AI 驱动的威胁的速度和复杂性。Cato Networks 的首席执行官 Shlomo Kramer 在最近的一次采访中告诉 VentureBeat:“对组织来说,最大的威胁是其安全基础设施的复杂性。点产品会在其安全态势中造成漏洞,使其成为威胁行为者的主要目标。”Kramer 补充说:“在未来五年,我看到网络威胁将在三个维度上发展:战术上,AI 对抗 AI 的战斗;运营上,通过基础设施复杂性;战略上,由地缘政治冲突塑造。依赖于碎片化传统工具的组织将难以防御这些不断升级的威胁。”
持续的警报疲劳导致入侵尝试被遗漏,员工流失率高。SOC 分析师难以应对来自多个传统 SIEM 和 SOAR 系统的数千个警报、误报和不兼容报告。CISO 报告称,每天有高达 10,000 个事件从其运营中心的广泛系统基础中出现。他们质疑,当 AI 已经证明自己能够检测异常事件时,让分析师花费时间寻找三四个实际威胁是否是最有效的利用方式。
组织面临着关键 SOC 角色的员工短缺。对于许多企业家来说,仅依靠内部人才来扩展其 SOC 团队几乎是不可能的。虽然从外部招聘始终是一个选择,但 SOC 团队需要投资于其团队的持续培训和职业发展,以保留业务专业知识,同时加强网络安全专业知识。
不断增长的安全数据风险浪潮威胁着 SOC 团队。Kurtz 在最近的一次采访中强调了挑战的严重性:“安全领域的主要问题之一是数据问题,这也是我创办 CrowdStrike 的原因。这也是我创建我们所拥有的架构的原因,对于 SOC 团队来说,要从海量数据和数据量中找出威胁,这非常困难。”
Agentic AI 最大的回报将来自用自动化例行任务来增强 SOC 分析师和团队,同时为他们提供更多尖端的智能工具来学习。
VentureBeat 看到 Agentic AI 正在影响以下领域:
实现大规模例行重复任务的效率提升。Agentic AI 试点和生产系统通过大规模自动化例行任务来提高效率。微软公司副总裁 Vasu Jakkal 在最近的一次采访中与 VentureBeat 分享了该公司对 Security Copilot 生产力提升的研究结果。“研究表明,使用 Security Copilot 的初级专业人员速度提高了 26%,准确率提高了 35%。使用该工具的经验丰富的专业人员速度提高了 22%,准确率提高了 7%,90% 的人表示希望再次使用它,”Sakkal 说。
实时威胁检测、分析和情报,同时发现海量数据集中的异常情况。Agentic AI 应用及其支持的平台能够有效识别人类可能错过的潜在威胁和异常。人机协作设计有助于 Agentic AI 模型不断学习和微调其识别威胁的能力。
帮助 SOC 加速事件响应。每个 Agentic AI 应用、系统和平台的核心设计都是能够实时识别和隔离关键事件响应任务,以更快地修复威胁。VentureBeat 最近与 Torq 首席技术官 Eldad Livni 谈论了该公司的多代理系统,他将其描述为“通过将复杂的工作流程分解为由专用代理处理的专门的、相互关联的任务,从而改变 SOC 运营。这种方法确保每个警报都得到分类、调查和解决,并以精确的方式减少人为错误,使 SOC 团队能够高效地扩展运营。”
持续学习。Agentic AI 加强了 SOC 中的检测工程,系统在大规模分析大量威胁情报数据集。LLM 正在接受训练,以帮助安全团队区分真实威胁和误报,提供实时的、上下文相关的见解,为 SOC 分析师节省宝贵的时间。VentureBeat 了解到,这些功能正在推动威胁响应的显著改进。
“这不是要取代人类,而是要增强人类,”CrowdStrike 首席技术官 Elia Zaitsev 在早些时候的一次采访中告诉 VentureBeat。“我认为,AI 辅助的人类是一个非常重要的概念……我认为,在技术领域,太多人——我作为首席技术官会说,我应该完全支持技术——有时对想要取代人类的关注太过度了。我认为这是非常错误的,尤其是在网络安全领域。”