ASOC的崛起｜SOC自动化的未来会怎样？

今天的文章，重点讨论SOC自动化平台。

这是继我关于现代安全数据平台发展的初始文章之后的续篇。我们关注的是安全数据堆栈的右侧，强调安全团队中AI响应和自动化的作用。本文章深入探讨了跨SOAR、超自动化和AI-SOC公司的自动化生态系统,揭示了相关领域所有事态的进展。

洞察

• 企业尚未从其自动化平台中获得预期的效益。随着大型企业成功构建SOC团队，采用SIEM解决方案和大量的安全工具，它们不得不应对这些工具产生日益增长的告警。工具泛滥、能力短缺和告警过多等痛点促使了对自动化解决方案的需求，我们将在本文章中广泛讨论这一点。

• 鉴于AI的最近突破，特别是在大型语言模型（LLMs）领域，我们尚未看到安全自动化工具的真正价值。我们相信，安全自动化工具将利用其与现有安全堆栈的深度集成和丰富的历史工作流数据，成为构建未来 SOC AI 助手的数据结构，将苦苦挣扎的单位转变为积极主动的动力源。

• 我们正在见证这场革命的发生。市场正为SOC团队功能的重大演变以及SOC自动化的未来做准备。因此，投资活动急剧增加，仅在2024年4月，超自动化/AI-SOC公司就吸引了超过1.75亿美元的资本投入！

• 本文章的其余部分将引导您了解安全自动化平台的历史，从内部定制的自动化脚本和通用自动化工具，到行业如何发展到专注于安全的SOAR平台、超自动化，以及最近出现的AI-SOC初创企业。

定义SOC

在深入探讨自动化及安全团队面临的挑战之前，我们首先需要清晰地定义什么是SOC。SOC是组织内部的关键集中单位，专门负责监控、检测、分析和响应网络安全事件。这些单位在保护组织的数字资产、基础设施和敏感数据免受各种网络威胁的攻击中发挥着关键作用。

尽管SOC对保护组织资产至关重要，但它们的日常运营并非光鲜。SOC常常以大量单调、重复的任务为特征，这些任务至关重要却又乏味。为了更好地理解谁在SOC中承担这些基本职责，让我们探索贡献于组织网络安全努力的各种角色和职能。

SOC内的角色和人物

1.SOC管理：负责监督SOC内的运营。

2.安全分析师：安全分析师是SOC的前线防御者。这些是核心团队成员，他们持续监视和分析组织的安全状况。他们通常按级别分层。

○一级（安全分析师I）：监控告警以进行分流、分类和初步分析。他们确定严重性并将事件升级到更高级别。

○二级（安全分析师II）：处理更复杂的分析，通常涉及详细的取证调查，以验证和优先处理事件。

○三级（安全分析师III）：专注于高级威胁检测、深入调查和缓解策略。他们还制定和调整安全措施。

3.安全工程师/架构师：负责设计、构建和维护SOC的安全基础设施。这个角色涉及配置和调整安全工具、开发自动化脚本，以及确保所有技术集成和优化。

4.合规审计师：确保SOC及组织遵守与信息安全相关的所有必要行业规定和标准。

5.根据SOC团队的规模，其他角色可以包括：

a.事件响应者

b.威胁猎人

c.取证分析师

d.威胁情报分析师

SOC的关键功能

Erik Bloch，Atlassian的检测与响应负责人，也是《安全运营指标宣言》的作者，他对SOC的关键功能有着深入的阐述。以下是他的一段引言：

SOC 团队会根据每个类别的平均解决时间，分配他们处理不同类型安全事件的时间。

人类VS机器生成事件：数据显示平均分布情况是人类生成的事件略多于机器生成的事件，比例为6.8 : 6.3。这突显了人类在网络安全管理中的重要作用。

钓鱼报告：SOC资源的相当部分被用于处理钓鱼事件。解决每份新报告通常需要大约2-3小时。鉴于钓鱼攻击的高并发，钓鱼报告大大增加了SOC的工作量。

确报事件：这些事件虽然数量较少，但需要进行广泛的调查，解决时间大约为8-10小时。确报事件是SOC成功内部识别并处理的确定性安全漏洞，无需升级至事件响应（IR）团队。

确报良性：这些事件是检测系统正确识别的活动，但额外的上下文揭示其为良性。处理这些案例比管理误报简单，是程序改进的一个成熟领域。

区分输出（SOC活动的直接结果）和成果（SOC行动带来的长期效果和变化）是一个挑战。

当今SOC团队面临的挑战

起初，SOC可能隐藏在公司的暗示中或是幕后，但近来已走向舞台，获得了它长期应得的认可。正如大多数突破性的演员、运动员或音乐家一样，这种地位和名声的提升带来了每年百分之几十的预算增长和董事会的一个席位。

根据Gartner的数据，全球信息安全和风险管理技术与服务的支出从2003年的660亿美元增长到2023年预计的1750亿美元，这反映出组织内对网络安全重要性的日益理解。这种转变也在全球董事会中得到了体现，网络安全已从一个技术问题转变为一个顶级战略关注点。这种优先级的提升推动了对先进安全基础设施的投资，并巩固了SOC团队在组织韧性和风险管理策略中的基本作用。

为了理解这种新发现的影响力，让我们解析过去20多年推动其发展的因素。网络安全一直是一场永无止境的竞赛，但变化的速度正在加快。自有以来，公司一直在利用新技术来运营和改进其产品和服务。最近，数字技术不断发展，这包括了互联网的出现、移动技术的引入、从本地到云的转变，现在则是AI。毫无疑问，无论是在规模还是复杂性上，公司的攻击面显著增长……更不用说远程工作如何将这个问题放大了10倍。

与攻击面的蔓延相伴的是，攻击方的策略也在飞速进步。网络攻击的增长不仅仅是数量上的；这些威胁的复杂性也在深刻演变。现在的攻击方部署了一系列复杂的策略，包括多态恶意软件、勒索软件和复杂的钓鱼方案，这些都更难以检测和对抗。攻击的数量和复杂性的增加显著加剧了SOC团队面临的挑战，他们必须不断适应以保护他们的组织免受日益狡猾的对手的攻击。

作为回应，组织发现自己利用新分配的预算购买并推出各种安全工具来保护和应对安全威胁的多个方面。根据Palo Alto Networks的安全运营顾问在2019年RSA会议上的演讲，小型组织使用15到20种安全工具，中型组织使用50到60种工具，大型组织使用多达130种工具！这种现象被广泛称为工具泛滥。其后果是安全基础设施的碎片化，管理和整合这些工具成为巨大的运营负担。

因此，安全工具的泛滥无意中导致SOC团队出现了告警疲劳。随着每个工具生成自己的数据流，监视、分流和响应的告警数量迅速升高。这种洪流可能会压倒分析师，导致关键告警被忽视或驳回，从而降低了威胁检测和响应工作的有效性。此外，有效处理大量的安全数据通常需要更复杂的安全信息和事件管理（SIEM）系统，这可能会因其复杂性和数据摄取与分析的高成本进一步拉伸SOC的预算。经济影响还因为SIEM解决方案经常产生大量告警（其中许多可能是误报）而加剧，从而增加了运营成本并复杂化了这些系统的有效使用。

无情的节奏和随着安全漏洞风险增加而不断升级的要求，导致SOC团队人员保留率低下。高压环境，加上需要不断管理一系列复杂工具并响应不断的告警，可能导致员工倦怠。这种情况还因行业普遍的技能短缺而加剧，这对现有员工造成了额外的压力，使得人员保留成为组织努力维持强大网络安全防御的更加关键的挑战。全球SOC岗位严重人手不足，有超过350万个空缺职位。

在这种网络防御状况下，企业平均需要277天的时间来检测网络安全漏洞并不令人惊讶。尽管在SOC及其团队上进行了数十年的集中投资，战场仍然倾向于对手。在上述困境中……确实有一个希望的前景出现在地平线上：安全自动化工具的出现和AI驱动防御的到来，旨在减轻和卸载对SOC的日益增长的压力。

SOC的历史与演变

SOC的概念起源于网络安全的早期日子，并在多年来显著演变，以满足不断变化的安全需求。

Source: TrendMicro - SOC Technology

安全工具的泛滥

随着SOC适应日益复杂的网络威胁，它们通常选择“同类最佳”的单点解决方案来增强其防御能力的特定方面，这随时间推移导致了工具泛滥的出现。最初，SOC使用了数量可管理的专业工具，但数字威胁环境的日益复杂化需要更广泛的武器库。

这种工具泛滥使安全团队的可见性变得模糊，使分析师难以获得对威胁和漏洞的统一视角，并增加了事件响应工作流程的复杂性。因此，由于来自不同系统的通知数量过多，每个系统都需要单独评估，关键告警可能会被遗漏。这些工具的集成挑战可能会导致在关键威胁期间响应时间延迟，因为需要在系统之间手动关联数据。

SIEM在SOC中的初现

我在之前的一份研究文章中写过现代SOC的演变。在那里，我广泛讨论了SIEM（安全信息和事件管理系统）的角色以及它们如何广泛地定义了当前的SOC。然而，这里简要介绍一下这些解决方案的历史是值得的。

2005年，SIEM系统开始获得突出地位。这些系统集成并聚合了不同的日志和安全数据，为监控和分析潜在的安全事件提供了一个集中视图。随着我们进一步进入数字时代，下一代SIEM和数据湖开始成为SOC分析师的关键工具。这些云原生的SIEM工具，如Anvilogic、Panther Labs和Hunters AI,，均支持SOC分析师应急响应，同时为大公司的高级安全团队提供安全自动化解决方案。我们已经广泛讨论了像Anvilogic这样的多数据SIEM是如何成为这个不断演变的SOC态势的核心。

Source: Anvilogic Multi-data SIEM

例如，像Anvilogic多数据SIEM这样的平台充当客户的云数据平台上的检测和分析层。一旦它检测到一个事件或创建一个告警，就会将其发送到一个自动化平台（我们稍后在本文章中会更深入地解释）。

Source: Software Analyst Cybersecurity Research

到2010年，SIEM系统变得更加复杂，具备了不仅包括日志聚合，还包括事件相关性、告警和仪表板的功能，这有助于更快地检测异常情况。在2010年代，网络安全领域继续迅速发展，出现了越来越复杂的网络威胁，如高级持续性威胁（APTs）、勒索软件和内部威胁。因此，SOC也变得更加复杂，采用了像安全信息和事件管理（SIEM）系统、威胁情报平台和高级分析工具这样的先进安全技术。SOC内的角色也日益多样化，专门从事威胁检测、事件响应、威胁搜索和取证等方面的分析师。

SOC自动化的兴起

自动化的核心目标在于让机器执行重复、耗时和单调的任务。这反过来释放了宝贵的人才，使其可以专注于更重要的事情，或者简单地说，需要人的关注。其结果是更高效、更具成本效益和更有生产力的工作力量。

在网络安全领域和更广泛的世界中，一个持续存在的担忧是自动化将取代人类。尽管这种担忧在一定程度上是有道理的，但现实是自动化增强了人类在执行安全操作方面的能力，并在某些情况下帮助组织补充和解决人才缺口。尽管看起来很先进，但自动化始终依赖于人类，完全可以配置，并在安全团队的监督下进行。

不同的组织和SOC团队根据预算、技术人才和团队规模以不同的方式来处理自动化。一些明确的方法包括：

1．定制自动化脚本

2．通用自动化

3．SOAR平台

4．超自动化

5．AI-SOC的出现

1. 定制脚本（内部开发团队）

在我们在下一节中广泛讨论的专门的安全自动化工具出现之前，许多组织依赖于定制的内部脚本来管理安全任务。这些定制脚本虽然针对特定的组织需求进行了定制，但通常需要大量的软件工程专业知识来开发和维护。由于这些脚本难以更新和与其他系统集成，因此这种方法在一致性和可扩展性方面存在挑战。

随着时间的推移，对更健壮、易于维护的解决方案的需求导致采用了现成的通用无代码自动化（RPA）工具或安全编排、自动化和响应（SOAR）平台，如果预算允许的话。

2. 通用自动化（UIPath、Zapier、n8n等）

最初主要针对IT团队的解决方案是通用自动化平台，如Zapier、n8n和UIPath，主要专注于在各种应用程序和系统之间自动化工作流程，无需广泛的编码知识。虽然它们并非专为安全运营设计，但它们的功能对于不得不处理诸如自动化IT应用程序之间工作流程的SOC团队是有帮助的。

例如，当监控工具检测到告警时，自动在管理系统中创建工单。这减少了在系统之间传输数据所需的手动工作量，并确保行动项目得到及时处理，提高了对潜在威胁的响应时间。

然而，这些解决方案的挑战在于它们缺乏专门针对安全团队独特需求的功能，例如高级威胁情报集成、事件响应playbook或对有效SOC运营至关重要的取证功能。

3. SOAR平台

通用自动化工具在满足SOC的需求方面的局限性，特别是对于正在转向云计算并淹没在告警中的公司，导致了专门安全自动化平台的发展，被称为安全编排、自动化和响应（SOAR）解决方案。

SOAR平台是根据安全特定功能构建的，包括威胁情报/SIEM平台集成、事件响应playbook和为安全事件量身定制的自动化工作流。这些解决方案旨在处理SIEM的输出，通过自动化响应并提供管理、规划和协调事件响应活动的工具。这些系统设计用于根据其安全相关性理解和优先处理告警，确保SOC团队能够快速识别和应对最关键的威胁。

到2018年，先进的SOAR平台开始集成人工智能（AI）和机器学习（ML）来提高威胁检测和响应能力，使这些系统不仅具有反应性，还能通过预测和缓解潜在的安全威胁来具有主动性。

传统厂商：

Splunk（Phantom）：Phantom安全公司于2018年被Splunk收购，是SOAR领域最早和最著名的名字之一。Phantom的平台允许安全团队自动化任务、编排工作流程和集成各种安全工具。Splunk的集成进一步增强了Phantom的功能，提供了先进的分析和更广泛的数据平台，支持复杂的安全运营。

Siemplify：Siemplify，现在是Google Cloud的一部分，提供的安全运营平台通常被归类为SOAR解决方案。它强调安全运营中的简单性和背景，旨在使分析师更容易管理、调查和应对事件。Siemplify的SOAR方法将高级威胁分析与实用、可扩展的自动化相结合。

Demisto (By Palo Alto Networks)：Cortex XSOAR，以前称为Demisto（2019年被Palo Alto Networks收购），是一个综合的SOAR平台，具有自动化、案例管理、实时协作和威胁情报管理功能。它是早期以其安全运营能力和集成市场所闻名的公司之一，在被收购之前是其集成和playbook市场的先驱。

4. 超自动化的兴起

2020年代为SOC带来了一系列挑战，现有的安全编排、自动化和响应（SOAR）工具难以解决。随着企业整合更多云原生数据解决方案并不得不处理更多安全工具，网络安全威胁变得更加复杂。所有这些都与对经验丰富的网络安全专业人员的需求增长同时发生，但供应量有限。

以下是SOAR的一些现有缺点：

Source: Mindflow unbundling SOAR

这些传统的SOAR工具随着规模和复杂性的增长面临着重大挑战，通常迫使组织雇佣专家或花费在专业服务上。这些成本往往远远超出了SOAR工具的初始价格。

因此，这些挑战导致了一个新市场的出现，Gartner称之为超自动化。

Hyperautomation超自动化

这些平台自动化重复和耗时的安全任务，使SOC能够专注于更具战略意义的活动。它们通过易于使用的无/低代码UI提供大量的安全和基础设施集成，用于创建自定义的自动化工作流程。因此，不太技术性的员工可以轻松设置自动化和编排过程，包括增强事件响应能力和简化操作。通过减少手动干预，这些解决方案提高了效率，缩短了对威胁的响应时间，并增强了整体安全姿态，使其在现代网络安全环境中变得不可或缺。以下是一个简单的案例研究工作流示例：

Source: Mindflow Sample Automation

安全超自动化的示例用例：

1.IAM：自动化用户入职和离职流程，确保随团队变化而动态更新访问权限和权限。另一个重点是实时访问审查和权限调整，以保持安全合规性并降低风险。

2.威胁狩猎：自动化从不同来源收集数据的过程，以快速识别环境中的威胁。它还能够对识别的威胁进行自动响应，简化补救过程。

3.CSPM：用例包括对云环境进行持续监控和合规性检查，以确保配置符合最佳实践和监管标准。另一个用例是自动响应配置错误或未经授权的更改，快速恢复更改或提醒团队。

SOAR vs 超自动化解决方案

同样重要的是我们注意到，传统的SOAR解决方案主要协助SOC和事件响应团队。然而，像Torq这样的下一代自动化解决方案处理这些用例，但更进一步地处理安全堆栈中更广泛的CISSP领域和用例。

这些领域包括资产安全、安全架构和工程、身份和访问管理、安全评估和测试、软件开发安全性以及网络安全，除了SOAR涵盖的领域。

如果组织的主要目标是简化其SOC运营，例如事件响应、威胁情报、取证和漏洞管理，则可能更喜欢SOAR。相反，如果组织希望在各种网络安全功能和部门之间实施全面的自动化策略，则超自动化可能更适合。要了解更多关于这些差异的信息，我们鼓励阅读来自网络安全自动化的博客。

Source: Torq

超自动化市场态势

Torq安全

Torq是一家AI驱动的超自动化公司，致力于解决SOC团队的关键需求，通过自动化和管理他们的任务。他们的平台被称为“超SOC”，在响应安全事件时节省了SOC分析师的时间和精力。它有助于调查、分类、简化事件响应案例和规模化的补救措施。这些功能有助于减少手动工作量并简化事件响应行动。虽然Torq经常与Tines进行比较，但我们的文章强调了Torq的独特特点。我们认为，这两家公司有着重要的差异，对读者来说理解这些差异很重要。

Torq成立于2020年，由具有丰富安全背景和专业知识的创始人建立。这种丰富的经验使他们深刻理解安全运营团队面临的复杂挑战。这种专业的理解增强了Torq与安全团队的有效性和联系。

架构

Torq的架构基本上是一个云原生解决方案。它围绕着自然语言处理（NLP）、人工智能和各种集成能力构建。这些功能使其能够收集、分析和过滤来自企业各种安全工具的数据、信息或安全信息。这种功能的关键部分来自于其对安全事件和告警的响应能力。这些告警可以直接从SIEM工具生成，也可以来自公司的云堆栈，如SaaS应用程序。他们的系统通过采用先进的数据聚合和规范化技术，处理了比传统SOAR解决方案更多的安全事件。这种方法确保了他们的系统在强烈的“事件或告警风暴”期间仍然高效有效。

Source: Torq Security

Torq最近宣布推出其超SOC解决方案，这是一种基于其现有超自动化平台的先进人工智能自动化工具。超SOC允许SecOps内的分析师、工程师和经理自动处理虚假的安全告警，管理事件调查并响应案例。他们的超SOC还允许用户在不需要广泛技术技能的情况下实施自动化。虽然Torq可以处理公司的复杂工作流自动化用例，但由于其基于模板的工作流创建功能，它仍然直观易用。这使得快速部署和使用变得更加简单，与我们文章中提到的传统SOAR解决方案相比，大大减少了复杂性和价值实现时间。

可扩展性

最后，他们的解决方案具有全面且开放的集成框架，可以实现广泛的可扩展性。正如之前简要讨论的其集成能力，他们的解决方案通过其开放式架构实现了与组织堆栈内任何系统的无缝连接。这种可扩展性对于创建跨多种环境（包括AWS、GCP和Azure等云服务以及本地系统）集成的统一安全姿态至关重要。他们的解决方案允许公司超越API实现可扩展性。公司可以利用SSH、PowerShell、SQL、Python、BASH、Kubernetes、AWS、GCP、Azure CLI和其他脚本或编程语言等功能扩展其用例数量。

他们还采用了自助集成的方法。与传统平台可能需要昂贵的专业服务来为第三方工具构建连接器不同，Torq支持100%的自助集成方法。这增强了其实用性，并降低了总拥有成本。该平台还支持各种编程和脚本语言。这使技术用户能够带入自己的代码，进一步增强了系统在复杂IT环境中的多功能性和实用性。

更专注于安全并深度融入SecOps

我们对Torq及其竞争对手的分析表明，Torq具有更多的安全用例，并与安全团队紧密结合。Torq的超SOC通过使用生成式人工智能自动调查威胁的严重性，并有效地启动最佳升级和战略解决方案，增强了SecOps专业人员的能力。

我们要强调两个用例，Torq在其中表现突出：

1.SOC自动化工作流：他们的平台使企业能够创建无代码、专家策划的模板工作流程库和基本Tier-1 SOC分析师任务的建议。Torq允许自定义自动化工作流程。组织可以在Torq中定制其自动化工作流程，定义符合其独特安全需求和环境的操作参数。这种定制水平将Torq的适用性扩展到超越传统安全任务，涵盖协作、通信和基础架构应用程序的运营。

2.超自动化案例管理：传统系统通常要求安全分析人员从各种来源手动收集数据来调查告警。这一过程耗时且可能延迟对威胁的响应。然而，像Torq这样的解决方案允许组织将AI驱动的洞察力与超自动化剧本（预设方案）相结合，从而无缝地自动化从识别到解决的整个案例生命周期。这不断校准了多个安全工具之间的安全响应，增强了整体安全姿态。

总之，Torq的关键差异化因素包括其架构、可扩展性和与SOC团队的深度整合。过去四年中，公司的显著增长凸显了这些点。为小型初创企业创建自动化解决方案是一回事，但在大规模上实现自动化则引入了一整套新的复杂性。Torq已经展示了他们有效执行和扩展自动化解决方案的能力。

Tines

Tines提供了一个旨在优化和自动化复杂和重复的安全流程的安全自动化平台。该平台具有灵活性，允许来自复杂安全团队的用户定制自动化工作流程以满足其需求。Tines的起源根植于创始人在eBay和DocuSign等公司的安全领域的经验，他们在这些公司遇到了过多的手工工作和现有安全工具的低效率等挑战。以下我们计划概述Tines安全的一些核心差异化因素：

差异化扩展：

1.可用性和可访问性：Tines强调快速、安全和简单的自动化方法。通过减少通常与自动化平台相关的复杂性，Tines使强大的技术可供更广泛的用户使用。他们的无代码和低代码解决方案特别吸引那些没有广泛编程技能的团队，降低了进入门槛，并允许更多用户从自动化技术中受益。

2.定制化和集成：Tines提供了一个灵活的框架，允许用户构建并与任何工具或数据源集成。这种能力对于需要快速适应新威胁而无需等待厂商更新或新集成的SOC至关重要。Tines支持“构建、运行和监控”的理念，为这些任务提供了强大的后端支持，增强了在关键任务环境中的可靠性。

3.市场适应性和扩展性超越安全：Tines成功地从一个以安全为重点的解决方案转变为面向IT、基础设施、工程等团队的工作流自动化平台。他们报告称，虽然92%的客户使用Tines进行安全性方面的工作，但有15%的客户将该平台用于非安全性任务，如IT运营和欺诈检测。这种适应性使Tines能够进入超越传统安全领域的更大市场，满足更广泛的业务需求。

4.战略市场定位：Tines在高端市场细分中成功地取代了传统的SOAR平台，如XSOAR、Phantom和Demisto，特别是在高端市场细分中。他们能够在不同环境（本地、云端或混合）中运行，并提供单租户部署，使它们脱颖而出，使Tines成为需要灵活部署选项的企业的首选。

5.未来战略和AI创新：Tines最近通过AI增强了其自动化能力，特别是在“构建时间”和“运行时间”过程中。两项新的由AI驱动的功能将于5月29日推出，适用于美国和悉尼的租户，其他地区将会陆续推出。新的AI动作将安全且私密的LLM能力带入工作流程 - 数据永远不会离开租户。自动转换利用AI从用户提示生成代码，加快了将强大的数据处理功能融入工作流程的能力。

Tines通过其强大、灵活和用户友好的平台实现了差异化，该平台不仅适用于安全需求，还适用于广泛的业务流程。通过降低与自动化相关的技术障碍，并通过AI扩展其功能，Tines在安全自动化市场和更广泛的企业自动化领域都处于领先地位。他们在市场上强调诚实和功能性有效性，而不是被表面特征所迷惑，为与客户建立持续信任和可靠性奠定了基础。

Mindflow

Mindflow是一个无代码的安全编排、自动化和响应（SOAR）平台，旨在让安全和IT专业人员通过其专有的集成引擎连接到任何安全或基础设施工具，轻松构建处理重复任务的自动化工作流程。这可以包括处理钓鱼告警、漏洞管理、威胁情报等。与其他SOAR平台一样，Mindflow从不同的系统中收集情报，使SOC分析师能够丰富和分类告警，并最终更有效地和迅速地应对事件。然而，与SOAR解决方案不同的是，Mindflow被设计得非常易于使用 - 不需要开发技能，并且具有极高的灵活性，可与大多数安全和IT工具进行大量集成。这使团队能够创建反映其企业内甚至最微妙流程的工作流，这些工作流可以自主运行，使具有不同技术能力水平的人员能够自动化重复任务，从而将时间花在更重要的任务上。

为了在企业级别实现大规模自动化，Mindflow旨在涵盖所有业务流程、逻辑和服务。因此，Mindflow开发了一种创新方法，可以实现与650多种产品的100% API操作的集成，实现无缝自动化。

Mindflow无代码策略的一个关键部分是集成了Large Action Model技术，该技术使工程师可以使用自然语言与其广泛的工具生态系统进行交互，有效降低了企业团队的准入门槛。基于AI驱动的代理可以直观地识别和配置最佳操作，从而优化工作流程设计和操作流程。

Source: Mindflow

Palo Alto Networks (XSIAM)

需要注意的是，XDR厂商已经迅速进入这个市场。正如前面和之前的几集中讨论的，Palo Alto Networks收购了Demisto（一个SOAR厂商）。近年来，Palo Alto将端点检测和响应（EDR）、扩展检测和响应（XDR）、攻击面管理（ASM）、安全信息和事件管理（SIEM）以及安全编排、自动化和响应（SOAR）等几个关键安全功能整合到一个名为Cortex XSIAM 2.0的中心平台中。XSIAM利用其AI模型自动处理和关联不同来源的安全数据，以识别可能指示潜在安全威胁的模式。他们平台的自动化部分旨在通过集中管理Palo Alto安全工具的安全任务并提供更快的事件纠正，简化安全操作的工作流程。我们相信，在未来几年内，Palo Alto Networks仍将是这个市场上值得关注的核心厂商。

BlinkOps

BlinkOps是一家开创性的安全自动化公司，彻底改变了安全团队与技术互动的方式。他们的平台被描述为安全自动化副驾驶，利用生成式AI的力量来促进安全任务和流程的创建。该平台突出之处在于提供了一种用户友好的方法，极大地简化了复杂安全操作的集成和自动化。

截至3月23日，Blink的安全平台提供了几个旨在自动化安全的功能。其关键更新包括Blink Copilot，这是一个可以根据文本提示生成工作流的AI系统；一个拖放编辑器，用于定制工作流程；一个包含超过7,000个预构建自动化工作流程的库，用于常见安全任务；一个用于将平台连接到其他安全工具的集成中心；以及一个用于在本地和云环境中扩展执行自动化流程的工作流引擎。

SentinelOne & Stride Security

最近，SentinelOne宣布收购了一家初创公司Stride Security。Stride提供下一代安全编排、自动化和响应（SOAR）和超自动化用例。SentinelOne计划将其与现有的XDR平台整合在一起。

5. AI-SOC的出现

人工智能（AI）方面的最新进展，特别是关于LLM（大型语言模型）代理系统的进展，正在引领安全自动化能力进入新时代。虽然许多重新定义这一类别的初创公司还不够成熟，无法明确区分与超自动化解决方案的不同之处，但它们最初的产品演示吸引了安全从业者、首席信息安全官（CISO）和投资者的注意。它们的构想是，AI代理将能够实现完全自主的运作，模仿SOC分析员，掌握各种工具的独特查询语言，解释安全数据，并计划调查，同时将严重问题升级至人工审查并解决无害的告警。

这些初创公司希望将最近的LLM功能引入他们的自动化解决方案中。主要在LLM在以下方面的能力：1）数据提取和操作方面：LLM可以学习每个平台的独特查询语言和数据结构，像专业人员一样操作，从数十种工具中查询和解析结果。其次是LLM的解释和规划功能。LLM可以被训练来以常识性的安全分析解释结果。它们可以计划调查的每个步骤，然后最终确定一组证据最有可能是恶意的还是无害的。所有这些功能都被新兴初创公司所利用。

AI-SOC解决方案

因此，市场上出现了大量新公司，推出旨在自动化SOC（ASOC）并成为团队中独立的SOC分析员的产品。仅在过去一个月，全球范围内已有超过1.75亿美元的资金投入到了超自动化/ASOC公司中。其中一些公司包括：

Source: Crunchbase / Author’s Analysis

AI专员承诺，安全团队将不需要配置更多基于规则的剧本。相反，AI分析师将被吸纳进SOC团队。他们可以自行执行一级调查——对真实问题进行升级以供人工审查，并关闭无害问题。这些虚拟分析师可以在24/7的情况下在几分钟内对威胁做出响应。它们永远不会感到疲倦或忘记先前告警的上下文。而且通过其他分析师的反馈，它们不断了解有关组织、系统和最佳实践调查的更多信息。我们认为现在说这个承诺会实现有些为时过早。

未来趋势和我们对该领域发展的看法

随着我们展望未来，宏观趋势继续显示威胁的复杂性和数量将不断升级，这可能会推动安全预算的显著增长。这些资金预计将越来越多地用于设计用于积极主动和预测性措施的创新工具。远程工作的持续增长将继续推动传统安全范围的界限，需要更具适应性和灵活性的解决方案。

根据Deloitte和Google Cloud的SOC未来报告，SOC发现自己正面临改变方式或继续耗尽精力、勉强管理当前技术堆栈的决定。SOC是否有改进或改变其方法的途径？这样做将提高其检测和应对威胁的能力，并保护其组织免受网络攻击。保持现状会导致落后，因为商业和IT威胁继续发展。他们提出在这种情况下SOC有两种方法：

1.改造您的SOC：这涉及彻底改变您的SOC，从其架构和流程到人员配备和培训。通常，这意味着演变为更注重工程的方法，例如自主安全运营或合并为一个中央平台。

2.优化您的SOC：这涉及对您的SOC进行渐进式改进，例如添加新工具和技术，改进某些流程或改进您的事件响应流程。

虽然如上所述完全改造您的SOC的想法是吸引人的，但从头开始获得董事会批准彻底改变一切的可行性是完全不现实的。这就是超自动化平台变得至关重要的地方。这些工具不仅为以前手动流程引入了自动化，而且还使开发更复杂的工作流成为可能。这使SOC团队能够逐渐从怀疑转向接受完全自动化、AI辅助的运营模式。通过与现有安全堆栈的深度集成和丰富的历史工作流数据，这些平台为未来SOC AI助手的构建奠定了基础...可能成为数据布局，将挣扎的单位转变为积极主动的强大力量。

自主安全运营中心（ASOC）的崛起

我们目睹了自主安全运营中心（ASOC）的兴起，其中AI驱动的系统可以预测威胁、启动响应，并实时调整安全措施，无需人为干预，显著缩短了从威胁检测到响应的时间。我们预计这种情况将在2025年及以后发生。我们不认为SOC的演变能一蹴而就。然而，我们预期随着时间的推移将进行优化，最终对SOC团队来说将会是重生。

原文链接：

https://softwareanalyst.substack.com/p/the-future-of-soc-automation-platforms

关注「安全喵喵站」，后台回复关键词【报告】，即可获取网安行业研究报告精彩内容合集：

《网安供应链厂商成分分析及国产化替代指南》，《网安新兴赛道厂商速查指南》，《2023中国威胁情报订阅市场分析报告》，《网安初创天使投资态势报告》，《全球网络安全创业加速器调研报告》，《网安创业生态图》，《網安新興賽道廠商速查指南·港澳版》，《台湾资安市场地图》，《全球网络安全全景图》，《全球独角兽俱乐部行业全景图》，《全球网络安全创业生态图》

话题讨论，内容投稿，报告沟通，商务合作等，请联系喵喵 [email protected]。

原文始发于微信公众号（安全喵喵站）：ASOC的崛起｜SOC自动化的未来会怎样？