AI如何重塑安全运营中心

典型的SOC团队每天可能面临数千条安全告警。虽然大多数最终被证明是误报，但每一条都需要审查，这几乎形成了一个无法完成的任务清单。毫不奇怪，安全专业人员常常处于被动应对的状态。选择关注哪些告警、忽略哪些，可能导致漏掉真正的威胁。行业普遍追求的主动防御理念，在这种情况下几乎成了不可能实现的理想。

这种常见场景不仅是操作上的麻烦，还可能带来漏掉真实威胁的风险，同时加剧了一个更广泛的问题：职业倦怠。例如，最近的一项行业研究显示，近四分之三的SOC分析师经历了某种程度的倦怠，原因包括人手不足和工作量增加。因此，近三分之二的人表示他们可能在明年换工作——这种情况长期来看是不可持续的。

当今攻击的性质加剧了这种压力，威胁行为者利用AI创建高度自适应、快速移动的威胁。这里的大问题是，传统安全工具和手动流程在这种环境中根本无法扩展。如果没有以机器速度理解和应对威胁的能力，即使是资源充足的SOC也可能被超越，导致关键系统暴露，团队始终陷于被动模式。

SOC自动化的理由

这使得一些组织陷入完美风暴场景，对手在紧张的安全团队做出响应之前，理想地利用覆盖缺口。幸运的是，情况并非单向，AI驱动的平台也对SOC处理各种关键流程的方式产生了变革性影响，从自动化常规任务到帮助分析师识别和优先处理高优先级威胁。

以自动分类为例，AI可以用于近实时处理大量告警数据。在这种情况下，它的作用是过滤掉消耗SOC资源的误报，并仅将真实威胁升级供专家人工审查。关键的是，最佳解决方案可以分类任何告警，无论类型、来源或格式，提供手动流程无法匹配的响应水平。

分析师不再需要处理积压工作，而是获得一份经过筛选的可信威胁短名单，每个都带有上下文洞察和推荐的下一步。调查时间从几小时缩短到几分钟，团队不再陷于被动模式。从告警疲劳的相关影响中解放出来，分析师可以更有效地将精力集中在潜在关键和新出现的事件上。

AI还改变了响应时间。通过自动化调查步骤和生成动态修复建议，分析师可以快速理解威胁范围并立即采取行动，通常只需一次点击。与僵化的、基于规则的工作流相比，这为SOC操作引入了急需的灵活性。

在其他方面，AI正在改变日志管理的经济性。通过经济实惠、可扩展且供应商中立的解决方案，SOC现在可以高效存储和查询大量安全数据档案，支持长期合规性，并在需要时进行取证调查。特别是，跨多个系统和源的集成日志管理使得统一这些信息并识别可能被忽视的有意义模式或异常变得更加容易。

好处不仅是技术性的，也是人性化的。通过减少重复性任务量和改善工作条件，AI可以帮助遏制SOC团队中普遍存在的倦怠和流失。它还为基础更战略性的角色奠定了基础，分析师花更少时间处理即时优先级，更多时间专注于改善安全态势。

这些代表了一组引人注目的能力，但即使有自动化，AI也不是万能药。虽然它擅长自动化重复性任务和处理大量数据，但在某些关键领域，人类判断仍然至关重要。从评估威胁上下文到做出关于事件响应的战略决策，经验丰富的分析师在确保SOC操作保持准确、道德和符合业务风险方面发挥着至关重要的作用。

还需要考虑关于数据质量、模型透明度和潜在偏见的重要问题，所有这些都需要仔细监督以避免意外后果。关键是，AI可以增强SOC性能，但必须在清楚理解其局限性的情况下部署。

然而，总体而言，对于行业中的许多人来说，增加AI在当代SOC中作用的理由已经成立。问题是，组织能以多快的速度实现这些不可否认的好处？

关于作者

Shahar Ben-Hador是Radiant Security的联合创始人兼CEO，这是一个旨在现代化安全运营中心（SOC）的AI驱动安全平台。在2021年创立Radiant Security之前，他在Exabeam担任关键领导角色，曾担任CIO和后来的产品管理VP，帮助开发了公司的首个SaaS产品。他的网络安全之旅始于Imperva，从IT管理员晋升为公司的首位首席信息安全官（CISO）。

可以通过marketing@radiantsecurity.ai和www.radiantsecurity.ai联系Shahar Ben-Hador。