安全團隊正淹沒在警報中，威脅、可疑活動和誤報的數(shù)量之大，使得分析師幾乎不可能有效地調查所有內容，這時，出現(xiàn)了自主式AI，它能夠同時完成數(shù)百項任務而不會感到疲倦。

企業(yè)越來越多地采用自主式AI來處理重復的安全任務，如警報分類，從而讓人類分析師專注于最嚴重的威脅，但盡管自主式AI可能速度很快，但它并非萬無一失，它天生就不了解企業(yè)獨特的風險環(huán)境或安全優(yōu)先級。

就像任何新員工一樣，智能體需要指導才能發(fā)揮效用，它必須被調整、監(jiān)控和完善，以與企業(yè)的安全政策和運營工作流程保持一致。

安全運營的轉變并不是要取代人類分析師，而是要增強他們的能力。智能體就像一雙額外的手，能夠篩選數(shù)據(jù)并識別潛在威脅，然而，如果不加以控制，AI可能會強化錯誤的假設、誤解數(shù)據(jù)或產生誤導性的結論。

AI就像初級分析師：有能力，但需要培訓

網(wǎng)絡安全中的智能體與過去的傳統(tǒng)基于規(guī)則的系統(tǒng)不同。與基于劇本的自動化(遵循一組固定指令)不同，自主式AI是動態(tài)的——它會隨著時間的推移而學習、適應和完善其方法。

它不會盲目地執(zhí)行預定義的規(guī)則，而是基于邏輯推理做出決策，分析龐大數(shù)據(jù)集中的模式以檢測可能表明威脅的異常，但這種靈活性也是一把雙刃劍。如果沒有明確的方向，AI可能會誤解信號、忽視關鍵上下文或強化錯誤的假設。

在許多方面，智能體就像一個非常聰明的初級安全分析師，但是，就像新入職的人類分析師在第一天不了解業(yè)務背景一樣，AI在沒有給出正確上下文的情況下，缺乏對企業(yè)風險承受能力、關鍵資產或內部工作流程的固有認識。如果不提供正確的上下文，它可能會標記出不重要的異常，同時錯過真正危險的威脅。

與初級員工一樣，自主式AI需要入職培訓、指導和定期反饋，以確保其決策與現(xiàn)實世界的優(yōu)先級保持一致。安全團隊必須將AI視為一個發(fā)展中的分析師，而不是一個一次性使用的工具，它會隨著時間的推移而變得更加有效。

沒有這種指導，沒有業(yè)務背景的AI只是已經十分復雜的安全環(huán)境中又一個不可預測的變量。有了這種指導，AI將成長為一個值得信賴的伙伴，它永遠不會忘記細節(jié)，并且始終如一地應用企業(yè)的政策、做法和偏好。

建立自主式AI入職培訓流程

就像任何新團隊成員一樣，智能體在達到最大效能之前需要入職培訓。如果沒有適當?shù)娜肼毰嘤枺鼈兛赡軙e誤地對威脅進行分類、產生過多的誤報或無法識別微妙的攻擊模式。這就是為什么更成熟的自主式AI系統(tǒng)會要求訪問內部文檔、歷史事件日志或聊天歷史記錄，以便系統(tǒng)可以研究它們并根據(jù)企業(yè)情況進行調整。

歷史安全事件、環(huán)境細節(jié)和事件響應手冊可作為培訓材料，幫助AI識別企業(yè)獨特安全環(huán)境中的威脅，或者，這些細節(jié)也可以幫助代理系統(tǒng)識別良性活動。例如，一旦系統(tǒng)了解了允許哪些VPN服務或哪些用戶被授權進行安全測試，它就會知道將與這些服務或活動相關的某些警報標記為良性。

上下文是關鍵，智能體可以輕松訓練以了解業(yè)務特定的風險因素：哪些資產最關鍵，哪些用戶擁有高級權限，哪些行為應被視為安全而非可疑。還應將其配置為遵循既定的調查工作流程、升級程序和報告結構，以確保其決策與安全團隊的操作保持一致。當?shù)玫竭m當?shù)恼{整和配置時，自主式AI不僅處理警報，它還能做出明智的、基于上下文的決策，增強安全性，而不會增加不必要的噪音。

指導AI進行持續(xù)改進

調整AI不是一次性事件，而是一個持續(xù)的過程。就像任何團隊成員一樣，自主式AI的部署通過經驗、反饋和持續(xù)改進而得到優(yōu)化。

第一步是保持人類參與的監(jiān)督，就像任何負責任的管理者一樣，安全分析師必須定期審查AI生成的報告，驗證關鍵發(fā)現(xiàn)，并在必要時完善結論。AI不應作為黑箱操作，其推理必須是透明的，以便人類分析師了解決策是如何得出的。

要明白錯誤在所難免，誤報和漏報是不可避免的，但安全團隊如何處理它們決定了AI是變得更智能還是停滯不前。分析師必須介入，糾正AI的推理，并將這些見解反饋給系統(tǒng)。

大多數(shù)自主式AI系統(tǒng)都接受覆蓋和更正以完善其推理。隨著時間的推移，這種迭代過程提高了AI減少噪音的能力，同時提高了系統(tǒng)在識別真正威脅方面的準確性。

當將AI視為學習系統(tǒng)而不是萬無一失的神諭時，它就不僅僅是一個工具，而是網(wǎng)絡安全中的合作伙伴。投資于調整其AI的團隊將減少警報疲勞，并建立能夠不斷適應新威脅的安全運營。

AI與人類協(xié)作：SOC工作的未來

安全運營的未來不是要在AI和人類分析師之間做出選擇，而是要利用兩者來構建更強大、更具可擴展性的安全運營中心(SOC)。分析師將過渡到監(jiān)督和戰(zhàn)略角色，而AI將承擔起調查每個警報、查詢日志以回答問題并將所有內容整合到報告中的繁重工作。

安全專業(yè)人員將不再被重復的警報分類工作所困擾，而是將精力集中在監(jiān)督智能體和需要人類判斷和精細技巧的項目上。這一轉變將提高效率，并使安全團隊能夠變得更加主動，將更多時間花在威脅建模、攻擊面管理和長期風險降低上。

為了迎接這個AI增強的未來，企業(yè)必須學會管理和微調自主式AI系統(tǒng)。分析師必須培養(yǎng)AI監(jiān)督的新技能，使用自然語言提示來調整AI行為，并進行調查審計，確保AI成為可靠資產而不是負債。

未來的網(wǎng)絡安全職位描述將反映這一演變，要求具備威脅檢測方面的專業(yè)知識以及監(jiān)督和完善AI驅動的安全工作流程的能力，就像SOC經理一樣。那些適應這一新現(xiàn)實的人將創(chuàng)建一個不僅更快、更高效，而且更具彈性的安全運營。