Gartner 預(yù)測(cè)，到 2030 年，75%的SOC團(tuán)隊(duì)將依賴自動(dòng)化和人工智能。當(dāng)前，AI技術(shù)與安全運(yùn)營(yíng)的融合已成為行業(yè)趨勢(shì)，ISOC（智能化安全運(yùn)營(yíng)中心）成為未來(lái)安全運(yùn)營(yíng)的重要發(fā)展方向。在安全牛即將發(fā)布的《智能安全運(yùn)營(yíng)中心（ ISOC）應(yīng)用研究報(bào)告》中，對(duì)ISOC的最新趨勢(shì)、技術(shù)框架、最佳實(shí)踐與案例等進(jìn)行深入的研究。

其中，人工智能技術(shù)在安全運(yùn)營(yíng)中的廣泛應(yīng)用，正在重塑安全分析師的角色和工作方式。人工智能并非萬(wàn)能，安全運(yùn)營(yíng)的高效復(fù)雜性和對(duì)抗性決定了人類的經(jīng)驗(yàn)、直覺(jué)、判斷力和創(chuàng)造力依然存在。安全分析師需要與人工智能協(xié)同工作，才能充分發(fā)揮人工智能的優(yōu)勢(shì)，構(gòu)建更智能的安全運(yùn)營(yíng)體系。

安全牛認(rèn)為，隨著人工智能技術(shù)在安全運(yùn)營(yíng)中心（ISOC）的深入應(yīng)用，安全分析師的角色將從傳統(tǒng)的“規(guī)則工程師”、“告警分析師”擴(kuò)展到“AI訓(xùn)練師”、“AI監(jiān)督員”和“安全策略架構(gòu)師”。這不僅需要高效具備傳統(tǒng)的安全技能，還需要掌握人工智能相關(guān)的知識(shí)和技能。企業(yè)需要加強(qiáng)對(duì)安全分析師的培訓(xùn)，幫助他們實(shí)現(xiàn)角色轉(zhuǎn)型，才能充分運(yùn)用人工智能技術(shù)，構(gòu)建更智能的安全運(yùn)營(yíng)體系。

1.AI訓(xùn)練師

職責(zé)

負(fù)責(zé)AI模型的全生命周期訓(xùn)練管理，包括數(shù)據(jù)準(zhǔn)備、模型、模型調(diào)優(yōu)、模型評(píng)估、模型部署和模型監(jiān)控等，確保AI模型能夠在實(shí)際安全運(yùn)營(yíng)環(huán)境中發(fā)揮最佳效果。

應(yīng)具備的能力

數(shù)據(jù)分析能力：

• 理解數(shù)據(jù)：能夠理解安全數(shù)據(jù)的含義、來(lái)源、類型、格式等，并識(shí)別出數(shù)據(jù)的潛在價(jià)值。
• 數(shù)據(jù)處理：掌握數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、提取等數(shù)據(jù)挖掘技術(shù)。
• 數(shù)據(jù)標(biāo)注：能夠?qū)Π踩珨?shù)據(jù)進(jìn)行高精度的標(biāo)注，例如標(biāo)注不良樣本、識(shí)別錯(cuò)誤報(bào)和漏報(bào)等，為AI模型提供數(shù)據(jù)。
• 數(shù)據(jù)分析：能夠利用數(shù)據(jù)分析工具，對(duì)安全數(shù)據(jù)進(jìn)行探索性分析，發(fā)現(xiàn)數(shù)據(jù)中的模式和規(guī)律。

AI模型知識(shí)：

• 模型原理：了解常見(jiàn)人工智能模型（例如機(jī)器學(xué)習(xí)、深度學(xué)習(xí)、NLP、知識(shí)圖譜等）的基本原理、優(yōu)缺點(diǎn)和適用場(chǎng)景。
• 模型選擇：能夠根據(jù)具體的安全運(yùn)營(yíng)場(chǎng)景和數(shù)據(jù)特點(diǎn)，選擇合適的AI模型。
• 模型調(diào)優(yōu)：掌握AI模型的參數(shù)調(diào)優(yōu)方法，例如網(wǎng)格搜索、隨機(jī)搜索、貝葉斯優(yōu)化等。
• 模型評(píng)估：能夠使用合適的指標(biāo)（如準(zhǔn)確率、識(shí)別率、F1值、ROC曲線、AUC值等）對(duì)AI模型的性能進(jìn)行評(píng)估。
• 模型部署：了解AI模型的部署方式，例如將模型部署到EDR、NDR、UEBA等平臺(tái)中。

AI平臺(tái)使用：

• 熟悉工具：熟練使用AI安全分析平臺(tái)、機(jī)器學(xué)習(xí)平臺(tái)、深度學(xué)習(xí)框架等工具；
• 模型訓(xùn)練：能夠利用這些平臺(tái)和工具進(jìn)行AI模型的訓(xùn)練、調(diào)優(yōu)和部署；
• 模型監(jiān)控：持續(xù)監(jiān)控AI模型的狀態(tài)；
• 模型更新：根據(jù)新的威脅數(shù)據(jù)和安全分析師的反饋，對(duì)AI模型進(jìn)行更新和優(yōu)化。

2.AI監(jiān)督員

職責(zé)

負(fù)責(zé)監(jiān)控AI Agent和AI驅(qū)動(dòng)的安全平臺(tái)的運(yùn)行狀態(tài)，審核AI的分析結(jié)果和決策建議，并在必要時(shí)進(jìn)行人工干預(yù)，確保AI技術(shù)在安全運(yùn)營(yíng)中的應(yīng)用安全、可靠、有效。

所需能力：

1）AI結(jié)果審核：

• 審核和確認(rèn)：對(duì)AI模型的分析結(jié)果進(jìn)行審核和確認(rèn)，判斷結(jié)果的合理性和可信度。
• 誤報(bào)識(shí)別：能夠識(shí)別AI模型的誤報(bào)，并進(jìn)行分析和處理。
• 漏報(bào)識(shí)別：能夠發(fā)現(xiàn)AI模型的漏報(bào)，并進(jìn)行補(bǔ)充分析。

2）AI決策干預(yù)：

• 安全決策：能夠在緊急情況下快速判斷AI代理的決策是否合理，并在緊急情況下進(jìn)行干預(yù)。
• 風(fēng)險(xiǎn)評(píng)估：能夠評(píng)估AI代理決策的潛在風(fēng)險(xiǎn)，并采取相應(yīng)的措施進(jìn)行控制。
• 人工接管：能夠在AI代理無(wú)法處理的復(fù)雜情況下，接管安全事件的處理。

3） AI安全與合規(guī)：

• 安全意識(shí)：關(guān)注AI技術(shù)在安全運(yùn)營(yíng)中應(yīng)用的安全問(wèn)題，例如數(shù)據(jù)隱私保護(hù)、算法偏差等。
• 合規(guī)意識(shí)：了解相關(guān)法律法規(guī)和行業(yè)標(biāo)準(zhǔn)，確保人工智能技術(shù)在安全運(yùn)營(yíng)中的應(yīng)用符合合規(guī)性要求。
• 安全審計(jì)：能夠?qū)I的行為進(jìn)行安全審計(jì)，發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。

3.安全策略架構(gòu)師

職責(zé)

• 負(fù)責(zé)將AI能力與企業(yè)整體安全戰(zhàn)略相結(jié)合，設(shè)計(jì)和優(yōu)化安全策略，并推動(dòng)AI賦能的安全運(yùn)營(yíng)體系的持續(xù)改進(jìn)。
• 所需能力：
• 安全戰(zhàn)略理解：深入理解企業(yè)的安全戰(zhàn)略和業(yè)務(wù)目標(biāo)。
• 安全架構(gòu)設(shè)計(jì)：將AI能力封裝到安全架構(gòu)設(shè)計(jì)中，例如設(shè)計(jì)AI驅(qū)動(dòng)的安全檢測(cè)、AI驅(qū)動(dòng)的安全響應(yīng)體系等。
• 安全策略制定：根據(jù)AI的能力和特點(diǎn)，制定和優(yōu)化安全策略。
• 安全流程優(yōu)化：將AI能力封裝到安全運(yùn)營(yíng)流程中，并進(jìn)行流程優(yōu)化。
• 溝通協(xié)調(diào)能力：與不同的團(tuán)隊(duì)（如IT運(yùn)維團(tuán)隊(duì)、業(yè)務(wù)部門(mén)等）進(jìn)行有效的溝通和協(xié)調(diào)，推動(dòng)AI安全項(xiàng)目的落地實(shí)施。