Connect with us

思想领袖

AI 如何推动未来安全运营中心的发展

mm
Published
A professional security analyst working in a modern, high-tech Security Operations Center (SOC) with multiple monitors displaying AI-driven data visualizations and neural network interfaces.

传统的安全运营中心(SOC)正在经历一场重大变革,主要驱动因素是人工智能(AI)的集成。近90%的组织现在使用人工智能技术,其应用范围包括威胁检测、响应和事件恢复。然而,只有27%的组织完全实现了威胁检测的自动化,表明在实现人工智能的全部潜力方面仍存在差距。为了跟上时代的步伐,安全领导者必须战略性地利用人工智能来构建未来安全运营中心。

人工智能如何增强安全运营中心团队和工作量

人工智能可以帮助安全分析师重新定义他们的角色,并赋予他们专注于更高价值、战略性工作的能力。防御者可以从不断的反应模式转变为减少风险和提高安全运营在业务中的价值的工作。

我们经常讨论安全运营中心中的产品,例如安全信息和事件管理(SIEM)、安全编排和自动响应(SOAR)以及用户和实体行为分析(UEBA)是安全运营的核心组成部分。这些产品有时会被糟糕地集成到工作流中,导致互操作性困难和不必要的精神负担。然而,现代对话现在更关注能力而不是产品,尤其是人工智能帮助减少切换疲劳,作为连接组织的粘合剂。

人工智能不仅仅是连接现有工具;它也是一个主要的生产力增强器。它可以与分析师合作创建剧本,节省他们从头开始创建另一个自动响应的基本工作。人工智能还可以总结事件,提取最相关的信息,并为分析师提供早期简报的头脑。

当安全运营中心团队在工作流中使用人工智能代理时,他们可以从更快的包含、扩大响应、增加能力和减少手动劳动中受益。例如,人工智能代理可以自动分离和删除假阳性,给分析师一个处理票队的头脑。然而,这不仅仅是关于效率或生产力;人工智能可以将新的能力引入安全运营中心,这些能力以前是外包工具。例如,逆向工程,人工智能可以弄清楚特定的恶意软件如何工作,以便安全团队了解可能发生的攻击。这些工具还可以在调查期间执行更深入的分析,以确保在分析师审查事件之前完成大部分准备工作。

利用这些人工智能工具将成为安全运营中心的必需,因为威胁行为者正在利用人工智能,猫鼠游戏的步伐正在加快。

人工智能驱动安全运营中心的优势

当安全运营中心团队花费所有时间响应警报或处理事件时,他们没有时间为推动安全运营中心效率的战略计划做出贡献。这对业务来说是有害的,因为数字系统的恢复力直接影响盈利能力。

人工智能解锁了一种新的步骤,释放时间,就像自动化之前一样。这使安全运营中心团队能够专注于战略性、主动性的工作,推动业务增长,减少事件数量,并为进一步投资创造更多容量。

除了为安全运营中心团队释放时间外,人工智能还将提高响应质量,并帮助团队更快地响应。随着攻击者越来越多地使用人工智能来加速和扩大攻击,现代安全运营中心采用类似的能力至关重要。

开发人工智能驱动安全运营中心

为了建立人工智能驱动安全运营中心,网络安全领导者必须首先分析当前安全运营中心的做法,以确定需要最多手动工作的任务,然后使用人工智能来加速这些任务。常见的起点包括:

创建和管理检测: 许多安全运营中心已经利用供应商编写的检测,并对其进行微调以满足其特定的需求。人工智能可以进一步增强此过程,通过共同创建和编写新的检测。除了创建和编写新的检测外,人工智能还可以从分析师的负担中解脱出来,管理检测的生命周期。当检测停止触发或变得过于嘈杂时,人工智能可以识别问题并建议改进以提高检测保真度。例如,就像Netflix建议电影一样,人工智能可以为检测推荐引擎提供动力,根据您的数据和您面临的威胁确定哪些检测提供了最佳的覆盖。

解释发现: 人工智能可以通过总结和突出警报中的关键信息为分析师提供一个头脑。除了自动丰富功能外,人工智能还可以节省时间,防止重复、枯燥的任务,并识别重要细节,建议可能的下一步骤。这使分析师能够保留控制权,同时节省每次调查的宝贵时间。

运行调查: 对于安全运营中心来说,潜在威胁的协作调查不仅是一种功能;它是核心使命。有效的调查依赖于拥有高质量的数据来应用正确的分析并做出明智的决定。虽然这听起来很基本,但在所有业务领域中实现这种工作流程却出乎意料地具有挑战性。人工智能可以通过自动处理调查的某些部分(例如分析恶意软件样本)来增强安全运营中心的调查能力,或者加速现有的方法(例如在其他资产中高效地搜索类似的恶意模式)。将这些任务卸载到过度劳累的分析师身上可以增加团队容量,并使他们能够专注于复杂的分析、调查和补救。

起草调查报告: 调查报告通常冗长、耗时,但对于企业知识、历史记录和合规性来说,它们是必不可少的。高质量的报告甚至可以作为人工智能的宝贵数据源,揭示安全运营中心内的常见模式和补救趋势。然而,编写这些报告通常需要很长时间、劳动力和单调。人工智能可以快速收集信息并创建综合报告。它是否光彩夺目?也许不是。但它可以节省每次调查15-20分钟的时间;时间很快就会增加起来。

编写剧本: 剧本自动化安全工作流程,允许安全分析师花更多时间调查威胁。它们在时间节省、响应质量和一致性方面带来显著的好处。另外,剧本作为特定场景的正确响应的明确文档,对合规团队来说是一项宝贵的优势!然而,创建有效的剧本需要时间和精炼,以确保它们在相关情况下激活。分析师通常面临着如此大的时间压力,以至于很难从头开始开发这些资源。再次,人工智能可以通过生成和合作编写剧本来帮助加速此过程,使分析师能够避免从空白页开始。

建立未来安全运营中心

利用人工智能将为您的安全运营中心提供显著的优势,释放宝贵的时间来开发安全策略并为未来做好准备。随着复杂性的增加,包括人工智能驱动的攻击、有针对性的内部威胁和不断演变的网络安全法规,保持领先地位比以往任何时候都更加具有挑战性。然而,未来安全运营中心不仅仅是准备战斗;它是关于建立能够经久不衰的恢复力,实现组织的敏捷性,并加强业务的底线和声誉。

Related Topics:
mm

Kirsty Paine (她/她) 是 Splunk 的 EMEA 区域技术和创新战略顾问,在那里她为战略账户提供技术思想领导。作为一位经验丰富的技术专家、战略家和安全专家,她在理解困难问题和找到创造性解决方案方面表现出色。