Connect with us

网络安全

从警报疲劳到可行的情报:AI 如何重塑 SOC

mm
Published
Updated

安全运营中心(SOC)正处于崩溃的边缘。分析师倦怠长期以来一直是一个关键风险,但问题只会变得更加严重。事实上,73% 的组织 最近调查 由 Cybersecurity Insiders 和 Gurucul 进行,表示他们正在遭受倦怠和持续的员工短缺。警报数量正在增加,威胁正在增殖,分析师们被迫使用传统和零碎的工具。

仅凭人类无法跟上,这意味着 AI 正在迅速从一种“nice-to-have”转变为一种战略必要性。

今日 SOC 的危机

虽然 SOC 中的倦怠率已经有详细的记录,但情况并没有改善,所以不能说得太多:分析师们已经到了极限。他们正在应对日益恶化的挑战,包括:

  • 警报疲劳 – 不仅警报数量太多,而且假阳性也在增加,这使得有效地响应警报变得困难和低效。事实上,根据上述调查,88% 的网络安全领导者表示警报数量已经增加;46% 报告过去一年警报数量增加了 25% 以上。
  • 新兴和不断演变的威胁 – 威胁格局一直在变化,AI 正在为恶意行为者提供新的工具,使他们能够更快地发起更多的威胁。凭证滥用和内部风险增加了复杂性。
  • 缺乏可见性和工具缺口 – 报告发现,96% 的公司承认存在重大盲点。云基础设施(74%)和身份和访问行为(67%)是主要关注点。
  • 技能缺口和人员流失 – 网络安全技能缺口继续是整个行业面临的挑战,高倦怠率意味着高人员流失率。您需要培训 2 级(L2)和更高级别的分析师,但如果他们在 1 级(L1)时就已经倦怠,那么就无法实现。找到、招聘、入职、培训和保留员工,以及维持替补人才库,以跟上人员流失,需要大量时间和精力。

将 AI 引入SOC

AI 和自动化为 SOC 提供了巨大的潜力。因此,81% 的组织在上述调查中表示,他们正在部署或试用 AI 工具用于 SOC。那些充分利用这些工具的组织正在取得重大成果:60% 的采用者表示他们的调查时间减少了 25% 或更多,21% 的调查时间减少了 50% 或更多。

AI 通过以下方式将警报疲劳转化为可行的情报:

  • 降噪 – SOC 中的 AI 有助于 AI 驱动的相关性和优先级
  • 更快的调查 – AI 和自动化有助于初步筛查、收集上下文和响应
  • 分析师赋权 – 分析师的时间被释放出来,专注于更高价值的活动

执行差距

AI 为 SOC 提供了巨大的潜力,但问题在于:只有 31% 的受访者在核心检测和响应工作流中使用这些工具。虽然兴趣很高,但存在执行差距。

将 AI 全面运营化存在障碍。其中一个障碍是集成挑战。传统基础设施和零碎的工具也使得采用新技术变得困难。另一个问题是透明度和可解释性;如何理解 AI 做出决策的原因?

第二个障碍集中在分析师需要对他们依赖的系统有信任。信任是 AI 成熟度的基本要求。只有 9% 的调查参与者报告说他们对 AI 生成的警报和建议“非常自信”。另外 33% “大多数信任”AI 结果,但希望审查它们,41% 认为 AI 总体上是有帮助的,但仍需要持续验证。

第三个障碍是变革管理。组织正在努力应对持续的技能缺口和新培训需求,这使得引入新技术和充分利用 AI变得困难。还存在文化抵制;一种“我们一直这样做,所以为什么要改变?”的思维方式。

克服障碍实现 SOC 成功

首先,启动能够快速带来投资回报的试点项目。关联身份和行为,而不仅仅是事件。由于身份和访问行为的可见性缺口,根据上述调查,xx% 的受访者经常被利用,AI 平台需要做的不仅仅是日志分析,以确定哪些人员和设备在系统中执行操作。这种行为上下文对于找到基于身份的复杂威胁至关重要。

清除 SOC 成功的障碍需要几步。首先,优先考虑 可解释的 AI 以实现透明度和信任。可解释的、透明的 AI 初步筛查和调查,带有上下文和详细的补救步骤,有助于 L1 分析师快速学习、更高水平地表现和快速提升技能。

其次,提高分析师的技能,以便他们能够进行更高价值的威胁狩猎和战略计划(如 零信任)。AI 不是用来取代人类的;它应该增强人类的能力。这是一个重要的区别,理解这一点是成功地在 SOC 中使用 AI 的关键。直到信任建立之前,请始终让人类参与决策过程,然后让 AI 处理平凡的、低影响的安全任务,并升级其余任务。

第三,像对待核心 SOC 战略一样对待 AI,而不是作为附加组件或事后补充,而是作为一个经过深思熟虑的、综合的方法的一部分。

是时候在 SOC 中采用 AI 了

SOC 面临着日益严重的危机,警报数量激增,分析师倦怠加剧,基于身份的威胁也在增多。传统的防御无法跟上那些模仿合法行为并在幕后耐心工作的威胁。AI 赋予 SOC 团队减少警报疲劳、克服数据过载和帮助基于上下文的调查的能力。您需要在发生泄密之前找到盲点,而不是在泄密期间或之后。评估 SOC 的能力、当前挑战和战略愿景,并找出 AI 如何在今天和长期内为创建更强大的安全态势做出贡献。

Related Topics:
mm

Chris Scheels,Gurucul的产品营销副总裁,已经将人员、流程和技术对齐以推动公司发展超过20年。 他拥有十多年的网络安全经验,在产品营销和产品管理方面。 他热衷于帮助企业通过战略性地使用技术来取得成功。 最近,他帮助客户在Appgate, Inc.加速他们的零信任之旅。 他的背景还包括运营、销售和新业务发展经验。