人工智能驱动的 SOC 副驾驶是生成式人工智能工具,它使用机器学习来帮助安全分析师运行和管理SOC。常见的副驾驶任务包括检测威胁、管理事件、分类警报、预测攻击和违规的新趋势和模式以及自动响应威胁。
您是否曾希望自己的安全运营中心 (SOC) 有一名助理,尤其是一个从不请病假、心情不好或午休时间很长的助理?您的愿望可能很快就会实现。毫不奇怪,人工智能驱动的 SOC“副驾驶”在 2025 年网络安全预测中名列前茅,这些工具经常被描述为游戏规则改变者。
Check Point 网络安全推广员Brian Linder 表示:“人工智能驱动的 SOC 副驾驶将在 2025 年产生重大影响,帮助安全团队确定威胁的优先级,并将大量数据转化为可操作的情报。这将彻底改变 SOC 的效率。”
什么是AI驱动的SOC副驾驶?
人工智能驱动的 SOC 副驾驶是生成式人工智能工具,它使用机器学习来帮助安全分析师运行和管理SOC。常见的副驾驶任务包括检测威胁、管理事件、分类警报、预测攻击和违规的新趋势和模式以及自动响应威胁。副驾驶可能是公司为其特定需求构建的专有工具,也可能是市售的网络安全副驾驶,例如Microsoft Copilot。
例如,副驾驶可以查看警报并使用AI预测哪些警报最有可能是高优先级。这减少了 SOC 中常见的问题:误报。然后,分析师可以专注于最有可能成为真正威胁的警报。由于他们没有追踪非关键警报,分析师有更多时间花在实际威胁上,并且更有可能成功遏制威胁。
在 SOC 中,副驾驶可以采用多种不同的形式。分析师可以像使用 ChatGPT 一样使用副驾驶,为其分配特定任务,例如事件响应。分析师输入有关特定事件的信息,副驾驶分析数据以提出可能的原因以及组织应如何应对事件。但是,您也可以使用副驾驶在无需人工干预的情况下自动执行部分工作流程,例如监控当前防火墙和检测漏洞。
使用 AI 驱动的 SOC 副驾驶的好处
借助 AI 驱动的副驾驶来帮助管理 SOC 的企业将获得广泛的好处。常见好处包括:
• 提高工作效率:由于副驾驶能够处理的数据量比最高效的网络安全分析师还要大得多,因此副驾驶可以在更短的时间内完成更多工作。通过人机协作,副驾驶能够以更少的人力资源更有效地监控 SOC。
• 网络安全专业人员有更多时间完成高级任务:当副驾驶处理手动和重复性任务时,分析师有更多时间处理策略和分析等高级任务。当分析师的一天充满更有趣的工作时,他们更有可能全身心投入,从而减少倦怠。
• 错误更少:人类会犯错误,尤其是在查看日志等手动任务中。虽然人工智能工具的“智能”程度取决于算法和用于算法的训练数据,但它们通常能够发现人类可能无法察觉的模式。这可以减少错误并防止可能导致违规或攻击的问题。
• 更快地应对威胁:人类可能无法识别脆弱区域或反应较慢,而副驾驶则使用自动化技术立即做出反应并发送通知。副驾驶也不用上厕所或午休;他们总是“坐在办公桌前”,从而缩短了响应时间。
• 减少员工短缺和技能差距的影响:当网络安全职位无人填补或分析师不具备该职位所需的技能时,公司的风险就会增加。人工智能驱动的副驾驶可以通过承担各种手动任务来帮助减少空缺职位,这意味着 SOC 的覆盖范围更大。
人工智能驱动的SOC副驾驶会取代人类吗?
与许多人工智能工具一样,副驾驶可以接管许多目前由人类完成的手动和重复性任务。然而,人工智能取代 SOC 中人类需求的担忧不太可能成为现实。设置副驾驶来在没有人类监督或干预的情况下运行可能是一个错误。但让分析师和副驾驶一起工作的企业可以降低风险、提高响应速度和提高员工满意度。
虽然副驾驶可以成为 SOC 的第一道防线,但公司应该设置新一代人工智能工具,以便人类仍然是最终的决策者。例如,分析师可以设置一个由人工智能驱动的副驾驶自动化系统,以根据设定的标准监控和确定警报的优先级。然而,随着威胁行为者开始使用新策略,分析师可能需要更改标准以捕捉最新威胁。一旦副驾驶识别出高优先级警报,人类就可以要求该工具分析情况并提供建议的后续步骤。然后,分析师使用人类的判断力在当时情况下做出最佳决策,并指示工具采取下一步行动,例如关闭系统或暂时使网络离线。
在 SOC 中实施 AI 驱动的副驾驶
在将副驾驶付诸实践时,请考虑从小规模开始,使用案例有限。许多组织使用商业产品开始,为将来创建专有工具留有余地。在 SOC 中创建耗时任务列表,尤其是那些容易出错或让分析师感到沮丧的任务,将有助于您确定从哪个用例开始。启动该工具后,单个分析师可以收集反馈并进行更改。
一旦取得成功,您的团队就可以开始将副驾驶的使用范围扩大到其他分析师和用例。通过采取慎重的方法使用副驾驶并不断征求分析师的反馈意见,企业可以在分析师和副驾驶之间建立合作关系,从而提高员工的工作满意度,同时确保组织更加安全。
来源 :祺印说信安