您是否曾希望自己的安全運營中心 (SOC) 有一名助理，尤其是一個從不請病假、心情不好或午休時間很長的助理？您的愿望可能很快就會實現(xiàn)。毫不奇怪，人工智能驅(qū)動的 SOC“副駕駛”在 2025 年網(wǎng)絡(luò)安全預(yù)測中名列前茅，這些工具經(jīng)常被描述為游戲規(guī)則改變者。

Check Point 網(wǎng)絡(luò)安全推廣員Brian Linder 表示：“人工智能驅(qū)動的 SOC 副駕駛將在 2025 年產(chǎn)生重大影響，幫助安全團隊確定威脅的優(yōu)先級，并將大量數(shù)據(jù)轉(zhuǎn)化為可操作的情報。這將徹底改變 SOC 的效率。”

什么是AI驅(qū)動的SOC副駕駛？

人工智能驅(qū)動的 SOC 副駕駛是生成式人工智能工具，它使用機器學(xué)習(xí)來幫助安全分析師運行和管理SOC。常見的副駕駛?cè)蝿?wù)包括檢測威脅、管理事件、分類警報、預(yù)測攻擊和違規(guī)的新趨勢和模式以及自動響應(yīng)威脅。副駕駛可能是公司為其特定需求構(gòu)建的專有工具，也可能是市售的網(wǎng)絡(luò)安全副駕駛，例如Microsoft Copilot。

例如，副駕駛可以查看警報并使用AI預(yù)測哪些警報最有可能是高優(yōu)先級。這減少了 SOC 中常見的問題：誤報。然后，分析師可以專注于最有可能成為真正威脅的警報。由于他們沒有追蹤非關(guān)鍵警報，分析師有更多時間花在實際威脅上，并且更有可能成功遏制威脅。

在 SOC 中，副駕駛可以采用多種不同的形式。分析師可以像使用 ChatGPT 一樣使用副駕駛，為其分配特定任務(wù)，例如事件響應(yīng)。分析師輸入有關(guān)特定事件的信息，副駕駛分析數(shù)據(jù)以提出可能的原因以及組織應(yīng)如何應(yīng)對事件。但是，您也可以使用副駕駛在無需人工干預(yù)的情況下自動執(zhí)行部分工作流程，例如監(jiān)控當(dāng)前防火墻和檢測漏洞。

使用 AI 驅(qū)動的 SOC 副駕駛的好處

借助 AI 驅(qū)動的副駕駛來幫助管理 SOC 的企業(yè)將獲得廣泛的好處。常見好處包括：

• 提高工作效率：由于副駕駛能夠處理的數(shù)據(jù)量比最高效的網(wǎng)絡(luò)安全分析師還要大得多，因此副駕駛可以在更短的時間內(nèi)完成更多工作。通過人機協(xié)作，副駕駛能夠以更少的人力資源更有效地監(jiān)控 SOC。
• 網(wǎng)絡(luò)安全專業(yè)人員有更多時間完成高級任務(wù)：當(dāng)副駕駛處理手動和重復(fù)性任務(wù)時，分析師有更多時間處理策略和分析等高級任務(wù)。當(dāng)分析師的一天充滿更有趣的工作時，他們更有可能全身心投入，從而減少倦怠。
• 錯誤更少：人類會犯錯誤，尤其是在查看日志等手動任務(wù)中。雖然人工智能工具的“智能”程度取決于算法和用于算法的訓(xùn)練數(shù)據(jù)，但它們通常能夠發(fā)現(xiàn)人類可能無法察覺的模式。這可以減少錯誤并防止可能導(dǎo)致違規(guī)或攻擊的問題。
• 更快地應(yīng)對威脅：人類可能無法識別脆弱區(qū)域或反應(yīng)較慢，而副駕駛則使用自動化技術(shù)立即做出反應(yīng)并發(fā)送通知。副駕駛也不用上廁所或午休；他們總是“坐在辦公桌前”，從而縮短了響應(yīng)時間。
• 減少員工短缺和技能差距的影響：當(dāng)網(wǎng)絡(luò)安全職位無人填補或分析師不具備該職位所需的技能時，公司的風(fēng)險就會增加。人工智能驅(qū)動的副駕駛可以通過承擔(dān)各種手動任務(wù)來幫助減少空缺職位，這意味著 SOC 的覆蓋范圍更大。

人工智能驅(qū)動的SOC副駕駛會取代人類嗎？

與許多人工智能工具一樣，副駕駛可以接管許多目前由人類完成的手動和重復(fù)性任務(wù)。然而，人工智能取代 SOC 中人類需求的擔(dān)憂不太可能成為現(xiàn)實。設(shè)置副駕駛來在沒有人類監(jiān)督或干預(yù)的情況下運行可能是一個錯誤。但讓分析師和副駕駛一起工作的企業(yè)可以降低風(fēng)險、提高響應(yīng)速度和提高員工滿意度。

雖然副駕駛可以成為 SOC 的第一道防線，但公司應(yīng)該設(shè)置新一代人工智能工具，以便人類仍然是最終的決策者。例如，分析師可以設(shè)置一個由人工智能驅(qū)動的副駕駛自動化系統(tǒng)，以根據(jù)設(shè)定的標準監(jiān)控和確定警報的優(yōu)先級。然而，隨著威脅行為者開始使用新策略，分析師可能需要更改標準以捕捉最新威脅。一旦副駕駛識別出高優(yōu)先級警報，人類就可以要求該工具分析情況并提供建議的后續(xù)步驟。然后，分析師使用人類的判斷力在當(dāng)時情況下做出最佳決策，并指示工具采取下一步行動，例如關(guān)閉系統(tǒng)或暫時使網(wǎng)絡(luò)離線。

在 SOC 中實施 AI 驅(qū)動的副駕駛

在將副駕駛付諸實踐時，請考慮從小規(guī)模開始，使用案例有限。許多組織使用商業(yè)產(chǎn)品開始，為將來創(chuàng)建專有工具留有余地。在 SOC 中創(chuàng)建耗時任務(wù)列表，尤其是那些容易出錯或讓分析師感到沮喪的任務(wù)，將有助于您確定從哪個用例開始。啟動該工具后，單個分析師可以收集反饋并進行更改。

一旦取得成功，您的團隊就可以開始將副駕駛的使用范圍擴大到其他分析師和用例。通過采取慎重的方法使用副駕駛并不斷征求分析師的反饋意見，企業(yè)可以在分析師和副駕駛之間建立合作關(guān)系，從而提高員工的工作滿意度，同時確保組織更加安全。