传统SOC模型为何需要进化？专家解析关键原因

快速阅读: Conifers.ai联合创始人兼CEO汤姆·芬德林表示，传统SOAR平台难以应对现代威胁，人工智能驱动的SOC平台通过动态响应、减少误报、提高信号质量，帮助组织扩大防御规模、提升威胁检测能力和主动风险管理。

安全运营中心（SOC）长期以来依赖传统SOAR平台管理事件，但如今的威胁环境变化太快，静态方法难以应对。随着攻击者利用人工智能进化战术，安全团队需要更智能、更灵活的系统来跟上步伐。

汤姆·芬德林是Conifers.ai的联合创始人兼首席执行官，他谈到了人工智能驱动的SOC平台如何帮助组织扩大防御规模、提高威胁检测能力，并从被动的警报管理转向主动的风险降低。

BN：您为什么认为传统的SOAR平台不足以满足现代安全需求？

TF：传统的SOAR平台是在安全扩展意味着雇佣更多分析师并为每个场景编写详细手册的时代设计的。这种模式无法跟上当今威胁的速度和复杂性。对手现在使用人工智能实时适应，安全运营必须更快地行动。

问题在于，大多数传统SOAR工具难以维护，需要具备特殊技能的额外工程人员，而且基于僵硬的规则，无法适应。这可能导致脆弱的系统，拖慢团队速度。SOC的卓越不是更努力工作，而是更聪明地工作，使用能够学习、适应和支持分析师判断的系统。

BN：人工智能驱动的SOC平台与传统SOAR工具有何不同，这有何重要性？

TF：人工智能驱动的SOC平台通过吸收特定环境的信息，提供情境感知决策，使分析师能够更快地优先处理和行动。从“如果X，则Y”的逻辑条件转变为动态、自适应响应。

这一点很重要，因为现代环境太复杂、变化太快，静态工具无法应对。最好的SOC领导者专注于让团队随着时间变得更聪明，而不仅仅是更快。人工智能驱动的SOC支持大规模多层次调查，减少手动分类，同时保留人类监督以进行决策。目标不是取代人，而是通过减少噪音和突出关键信息来增强人的能力。

BN：人工智能如何帮助组织在不牺牲质量或增加资源的情况下扩展SOC？

TF：简单增加人手来扩展安全运营既昂贵又不可持续。人工智能驱动的SOC通过使团队在相同或更少的资源下处理更多事件，同时保持高质量，改变了这一模式。

例如，服务提供商DTX通过使用人工智能加速并改进事件处理，无需增加人手就扩展了其管理的SOC业务。分析师专注于复杂的调查，由人工智能分析和丰富数据支持，技术则处理重复任务。

真正的扩展不仅限于速度。如果只用关闭工单的速度来衡量成功，就忽略了更大的图景。企业关心的是风险降低，而不仅仅是活动量。

BN：人工智能如何改变威胁狩猎和检测？主动方法与被动方法相比有哪些优势？

TF：加快应急响应并不能使SOC变得更好，如果仍然在损害发生后才做出反应。最好的团队使用工具和能力，在杀伤链早期发现威胁。他们建立检测和响应策略，使威胁在初始访问点附近得到遏制。

人工智能帮助团队从被动的警报疲劳转向主动的情报驱动过程。它不断优化检测逻辑，减少误报，提高信号质量。人工智能持续吸收机构知识，扩大判断范围，使每位分析师更加有效。这将检测和响应从战术层面提升到战略层面。

BN：人工智能驱动的SOC如何帮助组织内部和外部展示安全影响？

TF：证明SOC的价值一直是个难题。但人工智能驱动的SOC可以呈现针对每个组织或客户的有意义的关键绩效指标，如检测效果、遏制时间和服务质量。

这为安全团队提供了衡量关键事项的工具。他们不仅可以展示处理了多少警报，还可以展示实际影响，如减少了多少风险。这有助于建立与业务领导、客户和监管机构的信任。如果能证明SOC正在改善结果，而不仅仅是更快地关闭工单，就能使安全成为业务的推动者。

BN：实施人工智能的SOC时，有哪些现实的方法？对于希望快速扩展的小规模组织，您有什么建议？

TF：开始使用人工智能并不需要彻底改造整个SOC。分阶段的逐步推进方法最有效。首先确定高价值用例，人工智能可以在这些领域取得快速胜利。测试这些领域的AI，证明投资回报率，然后逐步扩展。

为了有效发挥作用，人工智能必须与现有的安全信息和事件管理（SIEM）、端点检测和响应（EDR）、身份访问管理（IAM）、云、威胁情报和工单系统等技术栈集成。当将事件映射到具体用例时，人工智能不再是一个空洞的概念，而是成为值得信赖的队友，提高信噪比，减轻分析师的负担。

展望未来，人工智能继续融入安全运营，安全运营中心（SOC）将从被动的警报管理中心转变为积极的风险降低枢纽。重点将转向构建能够持续学习和改进的系统。尽管人类分析师始终不可或缺，但他们的时间将更多地用于批判性思考和决策，而不再是低级别的任务。人工智能将作为倍增器，帮助团队以相同的资源管理更多的事件。那些明智采用人工智能的团队将获得更快更好的响应速度。

随着攻击者和防御者都使用人工智能，能够不断改进检测能力而非仅仅关闭误报的SOC将更加繁荣。最终，将人工智能视为战略伙伴而非仅仅是自动化层的SOC，将在降低风险和创造商业价值方面占据最佳位置。

(以上内容均由Ai生成)