关注我们.

网络安全

从警报疲劳到可操作情报:人工智能如何重塑 SOC

mm
发布时间

安全运营中心 (SOC) 正处于崩溃边缘。分析师倦怠长期以来一直是关键风险,但问题只会愈演愈烈。事实上,73% 的组织 最近调查 Cyber​​security Insiders 和 Gurucul 表示,他们正遭受着倦怠和持续的人员短缺的困扰。警报量不断攀升,威胁不断扩散,而分析师却只能使用传统且碎片化的工具。

仅凭人类的力量根本无法跟上,这意味着人工智能正在迅速从一种可有可无的东西转变为一种战略必需品。

当今 SOC 的危机

虽然SOC的倦怠率已得到充分证实,但情况仍未改善,因此不得不说:分析师们已经走投无路。他们正努力应对日益严峻的挑战,其中包括:

  • 警觉疲劳 – 不仅警报过多,误报率也在上升,这使得有效应对警报洪流变得困难且低效。事实上,根据上述调查,88% 的网络安全负责人表示警报量有所增加;46% 的负责人表示,过去一年警报量激增了 25% 以上。
  • 新的和不断演变的威胁 威胁形势瞬息万变,人工智能为不法分子提供了新的工具,使他们能够更快地发动更多威胁。凭证滥用和内部风险进一步加剧了复杂性。
  • 缺乏可视性和工具缺口——报告发现,96% 的公司承认存在重大盲点。云基础设施(74%)以及身份和访问行为(67%)是最受关注的问题。
  • 技能差距和人员流动 网络安全技能缺口仍然是整个行业面临的挑战,高倦怠率意味着高流失率。你需要通过系统培训二级(L2)及更高级别的分析师,但如果他们在一级(L1)就倦怠了,那么培训就无法进行。仅仅为了跟上人员流失的速度,就需要花费大量的时间和精力来寻找、招聘、入职、培训和留住员工,以及维护一批接替人才。

 将人工智能带到桌面

人工智能和自动化为安全运营中心 (SOC) 带来了巨大的潜力。难怪上述调查中有 81% 的组织表示正在为 SOC 部署或试用人工智能工具。那些充分利用这些工具的企业正在获得显著成效:60% 的采用者表示调查时间缩短了 25%(或更多),21% 的采用者表示调查时间缩短了 50% 以上。

人工智能通过以下方式将警报疲劳转化为可操作的情报:

  • 降噪——借助 SOC 中的 AI,组织可以获得 AI 驱动的关联性和优先级
  • 更快的调查——人工智能和自动化有助于分类、收集背景和响应
  • 赋能分析师——分析师的时间得以释放,从而专注于更高价值的活动

执行力差距

人工智能在提升安全运营中心 (SOC) 方面潜力巨大,但问题在于:只有 31% 的受访者在核心检测和响应工作流程中使用这些工具。虽然人们对此兴趣浓厚,但在执行方面仍存在差距。

人工智能的全面落地存在诸多障碍。其中之一就是集成挑战。传统的基础设施和碎片化的工具也使得新技术的采用变得困难。另一个值得关注的问题是透明度和可解释性;你如何理解人工智能做出决策的原因?

第二个障碍在于分析师需要对他们所依赖的系统建立信任。信任是人工智能成熟度的必要条件。只有 9% 的受访者表示对人工智能生成的警报和建议“非常有信心”。另有 33% 的受访者“基本信任”人工智能的结果,但希望对其进行审核;41% 的受访者认为人工智能总体上是有帮助的,但仍需要持续验证。

第三个障碍是变革管理。企业正努力应对持续存在的技能差距和新的培训需求,这可能使其难以引入新技术并充分发挥人工智能的潜力。此外,还存在文化阻力;一种“好吧,我们一直都是这样做的,为什么要改变?”的心态。

克服SOC成功的障碍

从能够快速带来投资回报的试点项目开始。关联身份和行为,而不仅仅是事件。由于身份和访问行为的可见性差距(根据上述调查,xx% 的受访者认为这些差距经常被利用),人工智能平台需要做的不仅仅是日志分析,还要确定哪些人员和设备正在跨系统执行操作。这种行为情境对于发现身份驱动的复杂威胁至关重要。

扫清SOC成功的障碍需要几个步骤。首先,确定优先级 可解释的人工智能 实现透明度和信任。可解释、透明的 AI 分类和调查,并结合上下文和详细的补救步骤,可帮助 L1 分析师快速学习、提升绩效并快速提升技能。

其次,提升分析师的技能,以应对更高价值的威胁搜寻和战略举措(例如 零信任)。人工智能并非旨在取代人类,而是为了增强人类能力。这是一个需要理解的重要区别,也是人工智能在SOC中取得成功的关键。在建立信任之前,应让人类参与其中,然后让人工智能处理一些日常的、影响较小的安全任务,并逐步升级其余任务。

第三,将人工智能视为核心 SOC 战略,而不是附加的或事后的想法,而是深思熟虑的综合方法的一部分。

是时候在 SOC 中拥抱 AI 了

随着警报量激增、分析师倦怠加剧以及基于身份的威胁激增,SOC 面临着日益严重的危机。传统防御措施无法跟上那些模仿合法行为、在幕后耐心运作、“低调缓慢”的威胁的步伐。人工智能 (AI) 赋能 SOC 团队,使其能够减少警报疲劳、克服数据过载,并根据具体情况协助调查。您需要在漏洞发生之前,而不是在漏洞发生期间或之后,找到安全盲点。评估 SOC 的能力、当前挑战和战略愿景,并确定 AI 目前可以在哪些方面提供帮助,以及它在哪些方面能够长期助力构建更具韧性的安全态势。

相关话题:
mm

Chris Scheels,产品营销副总裁 Gurucul 20 多年来,他一直致力于协调人员、流程和技术,推动公司发展。他在网络安全领域拥有十年的产品营销和产品管理经验。他热衷于通过战略性地运用技术帮助企业取得成功。最近,他在 Appgate, Inc. 帮助客户加速零信任之旅。他的背景还包括运营、销售和新业务拓展方面的经验。