Anomali的AI原生方案:如何用智能自动化重塑SOC安全防御

本文深入探讨了Anomali的AI原生安全解决方案如何通过数据湖、LLM和智能代理技术帮助安全团队降低噪音、快速缓解威胁,实现从被动响应到主动防御的转变,同时将平台成本降低50%以上。

关键洞察问答:Anomali的AI原生方法帮助防御者减少噪音、快速缓解威胁

作者:Byron V. Acohido

网络安全世界正深入进行AI转型。

相关阅读:AI原生SOC的案例

头条新闻聚焦于末日威胁和自主网络武器。但真正的革命可能发生在更安静的层面:SOC内部。

安全运营团队正面临巨大压力。根据IBM的2024年数据泄露成本报告,组织现在平均在13个不同环境中存储日志和遥测数据——从云服务到本地工具,再到第三方SaaS平台。与此同时,识别和遏制漏洞的平均时间仍停留在277天。

传统SIEM(安全信息和事件管理系统)从未为这种扩展而构建。许可模式惩罚数据量,孤立的工具造成盲点,即使运行最好的SOC也在应对警报疲劳和人员短缺问题。如果答案不是增加人力,而是更智能的自动化呢?

在Black Hat 2025上,我与Anomali的首席增长官George Moser进行了交流,探讨了一个有前景的转变:AI原生SIEM的兴起。Moser认为,数据湖、LLM和智能AI的结合可以减少噪音、加强检测,甚至实时自主中和威胁——同时将平台成本降低50%。

以下是我们对话的摘录。

LW:为什么传统SIEM无法满足当今SOC团队的需求?

Moser: 归根结底是规模和复杂性问题。SOC的工作现在涉及防御这种庞大的网络足迹:云应用、SaaS供应商、远程端点、第三方合作伙伴。每个都生成自己的日志。而传统SIEM并非为摄取和关联如此大量的遥测数据而构建,特别是在成本方面。

从客户那里听到的是,他们的数据是孤立的,许可成本高得令人望而却步。你想要集中日志,但每个新数据源都会增加成本。这是一个巨大的障碍。

LW:那么AI原生SIEM如何改变模式——集中式数据湖如何帮助打破这些孤岛?

Moser: 一旦数据进入那个众所周知的数据湖,就没有孤岛了。你不再需要试图管理来自各处的日志——防火墙、电子邮件、端点系统、SaaS应用——每个都在自己的盒子中,集成有限。在Anomali,所有东西都进入单个对象存储,无论它是结构化的还是非结构化的。这让我们的AI能够实时跨所有数据进行关联。而且由于我们不受传统SIEM许可模型的约束,客户在日志摄取和存储方面看到了超过50%的节省。

但真正的力量来自于一切进入数据湖后发生的事情。因为现在,它不是孤立的。它只是一个大的对象存储,我们的AI可以查看所有数据。它知道威胁行为者试图做什么——它了解已知的向量、战术、行为模式。而且它不仅仅是匹配列表。它能够根据在您数据中看到的内容预测那些行为者接下来可能尝试什么。这就是你从被动转向主动的方式。这就是转变。

LW:这就是智能AI发挥作用的地方?

Moser: 正是。这是平台的最大好处之一。你可以预先定义工作流程——如果检测到高置信度威胁时要采取的行动。想想诸如禁用受损账户、阻止可疑IP或将设备从网络中移除等操作。如果与已知威胁向量高度匹配,这些步骤可以自动实时发生。我们说的是秒级,而不是小时级。

但关键是:这些是已知良好的程序,已经由变更管理编写和批准。系统不会产生幻觉或编造东西。它只是将正确的变量插入经过审查的例程并执行它们。所以是的,它是自主的——但始终有防护栏。人类仍然在控制中。AI只是在做繁重的工作。

LW:误报呢?这是一个长期存在的痛点。

Moser: 是的,这仍然是一个挑战——毫无疑问。但我们正在取得实际进展。AI在这里的力量不仅仅在于检测。它在于帮助分析师弄清楚什么才是重要的。太多的警报,没有足够熟练的人力——这是多年来一直存在的问题。特别是当你处理来自十几个不同系统的非结构化数据时。

我们的平台所做的是查看那团混乱——跨电子邮件、端点、SaaS日志,所有东西——并在上下文中理解它。它帮助SOC区分一次性的小问题和真正的泄露信号。因此,你的团队可以专注于真正重要的威胁,而不是追逐幽灵。当平台能够对高置信度事件自动采取行动时,它更能减轻分析师的负担。

LW:你能分享这在现场是什么样子吗?

Moser: 当然——我们有几个大型金融机构真正投入并部署了完整的Anomali平台:数据湖、安全分析、ThreatStream和我们的AI自动化层。其中一个——一个主要金融机构——看到了关键事件减少约90%。我不仅仅是在谈论警报。我指的是真实的、高严重性的事件,这些事件通常会触发完整的响应周期。

是什么造成了这种差异?他们能够在潜在威胁变成实际威胁之前识别它们。系统预测了即将发生的事情,并提前采取了行动。这就是当你把所有东西都集中到一个地方,将其与实时威胁情报联系起来,并给你的AI工作空间时会发生的事情。

LW:让我们谈谈ThreatStream。它是如何融入这一切的?

Moser: ThreatStream实际上是我们第一个产品——它仍然是我们所做一切的核心。在我看来,Anomali在我们可以汇集到一个流中的威胁情报源的数量和种类方面是领先的供应商。但我们不仅仅是聚合源。我们丰富了这些情报。我们可以告诉你哪个威胁行为者可能 behind 一组给定的指标——以及他们的意图可能是什么。

现在我们通过ThreatStream AI更进一步。这就是LLM发挥作用的地方。它们不仅帮助解释什么,还帮助解释为什么——模式、可能的目标、正在使用的战术。因此,我们不仅仅是给你IP和哈希值,我们还在给你上下文。我们给你实际上可以采取行动的情报。

LW:对于未来发展方向有什么最后的想法?

Moser: 我认为我们在这方面仍处于早期阶段——特别是在生成式AI和自主响应方面。我们还有很多需要弄清楚。但方向是明确的。目标不是取代人员。而是让防御者摆脱持续灭火的模式——给他们能够看得更远一点、行动比单靠人类更快的工具。

当我们谈论与威胁行为者公平竞争时,我们就是这样做的。不是通过向问题投掷更多的仪表板,而是通过给安全团队一些真正的喘息空间——以及一个帮助他们保持领先而不是总是追赶的平台。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次