AI时代的12大网络安全平台（第三部分）

SOC、应用安全和IAM加入战局

我们希望在AI时代看到的不仅仅是用户体验调整和生成报告，而是真正的自动化、行动和修复能力。

生成式AI的真实影响

目前网络安全平台中的大多数AI"升级"都停留在用户界面增强层面。当安全工具为你生成报告、检索正确文档或用通俗语言解释警报时，这确实为安全专业人员节省了培训时间，减少了查阅手册的时间，并帮助安全新手获得支持。这很有价值。

但我认为这并没有改变游戏规则。

你仍然需要2-5人来操作每个平台。考虑到12个主要网络安全平台，仅维持基本运营就需要一个30人的团队。AI驱动的用户体验调整并未带来足够的生产力提升以减少人员配置。

真正的突破在于AI不仅能平滑工作负载，还能削减工作负载。当平台不仅能帮你检查警报，而是替你检查警报；当平台不仅能解释风险，而是自动降低风险。

这就是生成式AI将改变网络安全的地方：

• 生产力提升：减少手动工作、减少点击、减少重复任务
• 人员配置减少：在不影响覆盖范围的情况下减少每个平台所需的人员数量
• 更好的安全结果：更快的检测、更智能的预防，以及能够适应业务而无需分析师大军不断调整的规则

身份与访问管理（IAM）

身份已成为新的边界。当攻击者可以窃取或滥用凭证时，他们就不再需要破坏防火墙。AI正在重塑访问监控、调整和防御的方式——既作为查询构建器，也作为一套异常检测算法。

🔎 AI作为查询构建器

查询构建器用例旨在使身份治理不再局限于电子表格，而是更多关注洞察。分析师和IAM团队可以直接用自然语言提问，以识别和发现风险与错误配置。

SailPoint Atlas AI使用AI驱动的洞察来推荐最小权限访问和建模角色。它识别过度配置的账户并突出显示异常权限，无需人工审查。

SailPoint的机器身份安全更进一步，通过发现隐藏的服务账户和云身份，标记哪些存在风险。这不是一个小问题——最近与我交谈的许多IAM经理都表示，管理机器身份，特别是非人类身份（NHI），正成为一个重大的运营挑战。

结果：IAM团队无需手动解析权限或角色层次结构。AI以通俗语言呈现异常、模式和治理建议。

🤖 AI作为检测和响应算法

代理用例涉及实时决策。AI不是等待定期审查，而是检测滥用并立即采取行动。

Okta Identity Threat Protection与Okta AI监控实时活动会话，检测异常行为（例如会话劫持、设备不匹配）并触发自动响应，如升级认证或强制注销。

Okta还与Okta Workflows集成，允许团队在检测到可疑行为时自动修复，如禁用账户、撤销令牌或通知下游系统。

PingOne Protect将AI驱动的欺诈检测应用于登录流程，利用行为和设备风险评分来确定是允许、升级还是阻止认证尝试。

结果：身份系统不再是一次性认证就假定信任。它们持续评估会话，适应上下文，并在滥用升级前将其关闭。

SOC赋能（SIEM和IR）

这是网络安全中AI应用的中心地带。SOC是规模与疲劳相遇的地方——AI正以两种不同方式应用：作为查询构建器和作为代理。

🔎 AI作为查询构建器

SIEM/IR中第一波AI浪潮旨在使数据可访问，而无需分析师记忆查询语言。分析师可以用自然语言提问，而不是编写SPL或KQL。

Microsoft Security Copilot嵌入Defender和Sentinel，生成KQL查询，总结事件并建议调查路径。

Splunk AI Assistant支持自然语言查询生成SPL搜索，降低了初级分析师的门槛。

Elastic AI Assistant for Security使用户能够用通俗语言查询Elastic Security数据，使关联和狩猎更易访问。

结果：分析师不再需要记忆复杂的查询语法。他们提问，获得结构化结果，并更快地完成调查步骤。

🤖 AI作为代理

第二波浪潮是关于实际工作：AI代理不仅生成查询，而且自主分类、调查，有时还进行修复。这是我看到更多价值的地方。

Microsoft Copilot Agents将Copilot扩展到特定任务助手，如网络钓鱼分类代理或漏洞管理代理。这些代理端到端处理定义的工作流程。

Google正在将Gemini集成到SecOps中，用于引导式狩猎和AI驱动的检测工作流程。

Prophet Security构建了一个自主SOC平台，AI分析师可以自主分类警报、调查原因并提出响应。

Qevlar AI将其AI SOC分析师定位为实时代理，自动调查警报并仅升级重要内容。

结果：分析师不再手动点击警报队列，而是与助手对话或让代理解决低价值任务，从而将人类注意力保留给更复杂的决策。目标明确：用更少的人类分析师完成更多SOC工作。

应用安全

开发人员讨厌漏洞噪音。当安全工具停止仅仅发出警报而开始修复时，魔法就出现了。AI正在将这些警报转化为可操作的代码更改，有时是自动的。

GitHub的Copilot Autofix现在不仅仅是建议补丁——它自动为代码扫描警报提出多文件修复，解释漏洞，甚至帮助推出更改。它作为GitHub Advanced Security（GHAS）的一部分提供。

GitHub推出了Security Campaigns（公开预览），使团队能够跨数百或数千个历史警报批量应用Copilot Autofix，为支持的修复大规模打开拉取请求。

因此，GitHub吹捧Copilot Autofix让开发人员修复速度比之前"快3倍"。

然而，有些公司在帮助软件团队解决问题方面进展更快。

Glev.ai构建了每个软件工程团队需要但从未得到的东西。一种不仅检测而且修复问题并与开发团队协作的方式。

AI不会自动解决所有方面。有些代码在生产中，有些用于测试。有些容器公开暴露，有些没有。开发人员有自己的输入清理，不会让AI重新发明轮子或生成糟糕代码。

正如我们在之前的帖子中讨论的，AppSec中的AI必须：

• 协调修复
• 从数十个扫描器中重复数据删除问题
• 根据之前的修复和公司范围的AppSec知识，为软件开发人员提供上下文指导

真正的突破在于安全工具打开修复工单而不是安全警报时。开发人员保持他们的工作流程，安全债务更快缩小，人类评审员被释放出来专注于复杂逻辑和设计决策，而不是样板补丁。

结论

AI在网络安全中的真正承诺不仅仅是更简洁的界面或更快的查询。它关乎从根本上重塑我们防御、构建和运营的方式。

随着平台从被动助手演变为主动代理，焦点必须从边际生产力提升转向运营转型。未来属于消除繁忙工作、自动化决策并使人类能够专注于战略和创造性的解决方案。

拥抱这种转变、超越将AI作为仪表板功能的组织，不仅将超越威胁，还将在快速变化的世界中重新定义安全的意义。