作者：马克·奥兰多

2024年7月

编译 老烦的草根安全观

2025年1月26日

介绍

直到现在人工智能（AI）可以改变安全操作，消除对人工驱动的手动任务的需求还只是一个模糊的承诺。但最近在协作自动化方面的创新有可能对SOC产生真正的变化。为了充分利用这一创新，我们必须首先了解人工智能、实施不当的风险以及为SOC团队带来最大价值的用例。本文将描述一个功能模型，我们可以用它来描述关键的SOC能力，使用常见的SOC工具提供这些能力的挑战，以及人工智能可以给SOC工作流程带来转型变革的方式。

SOC功能与技术

团队结构、内部流程和工具可能因独特的组织要求而异，但无论行业或组织如何，核心SOC功能都是一致的。如图1所示，这些功能是：

l收集，收集、组织和存储对调查、警报和合规具有价值的企业数据

l检测，将智能应用于环境数据以识别感兴趣的事件

l分类和调查，对警报进行优先级排序和分析，以确定对组织的潜在影响

l响应，对事件进行范围界定、控制和补救

图1.SOC核心功能

用于这些功能的产品也各不相同，但通常包括：

l攻击面管理（ASM），用于持续发现、分析、修复和监控漏洞和潜在攻击媒介

l端点检测和响应（EDR），以保护端点免受网络攻击，检测异常行为，并近乎实时地修复威胁

l安全信息和事件管理（SIEM），用于在单个平台中分析各种数据源类型和安全工具

l安全编排、自动化和响应（SOAR），以标准化和自动化事件响应工作流程

熟练的员工使用正确的技术可以做伟大的事情。挑战在于如何在有限的时间和资源下，持续、大规模地这样做。

安全运营挑战

当时间和专业知识供应有限时，即使是成熟的SOC团队也难以保持容量、质量和一致性。安全运营中的一些最重大挑战是：

l大规模的专业知识——有幸找到、雇佣和留住有才华的SOC员工的安全经理仍然面临着跨时间（轮班）、地域和具有不同专业和经验的个人扩展这些技能的挑战。即使在经验丰富的团队中，当准确性和速度往往至关重要时，决策中的偏见和不一致也会导致质量问题和延误。

l透明度——衡量和持续改进是跨领域的功能，应用于所有核心SOC功能，而不仅仅是事件响应。这项工作通常需要将复杂的概念和调查提炼成简化的非技术术语。在许多情况下，必须在调查期间实时完成。收集衡量业务流程或为技术数据添加上下文所需的数据通常会阻碍检测和响应工作，从而难以管理SOC性能。

l容量——SOC团队消耗的警报和遥测数据量不断增长，再加上重复和手动工作流程，使大多数团队远远超过了可用容量。这种持续的不平等会导致倦怠、警觉疲劳和关键错误，如偏见、事件中止、过早结案和假阴性（误判导致错过的威胁）。

l专注——当面临上述挑战时，分析师很难决定在哪里花时间最好，这会导致不一致、浪费周期和流程瓶颈。应根据情报确定检测和响应任务的优先级。然而，这种优先级往往归结为分析师的偏好和心态。缺乏重点会降低SOC容量，并经常导致SOC功能的质量问题。

网络安全中的人工智能

人工智能已经成为克服这些挑战的强大盟友，通过自动化和简化核心SOC功能，以及提高各种SOC工具提供的功能。了解AI的能力以及各种AI实现之间的差异至关重要，因为这些功能在SOC工具集中变得越来越普遍。

人工智能与机器学习：有什么区别？

人工智能被定义为“超越或匹配人类的能力，包括发现、推断和推理的能力”。人工智能是机器学习、深度学习和其他能力的超集，如自然语言处理、视觉、文本到语音和机器人技术。

机器学习是人工智能的一个子集，它涉及基于数据而不是程序逻辑的预测或决策。机器学习有两种类型：监督式和无监督式，监督式有更多的人工监督。深度学习是机器学习的一个子领域，涉及多层神经网络，但系统可能并不总是完全显示其工作。

经典人工智能模型的成熟现在为生成式人工智能（GAI）奠定了坚实的基础，GAI对现有的人工智能模型有各种依赖性。与当前的人工智能功能一样，基于GAI的产品也可以作为加速器。关键的区别在于它们是自我监督的，这使它们具有适应性和直观性。GAI不仅关乎速度，也关乎远见和推理。

机器学习和人工智能在SOC中有应用，但如果应用不当，它们也可能增加复杂性和工作量。如果统计模型没有考虑过程中的变化或期望结果的差异，使用人工智能功能自动化任务可以增加缺陷数量和失败速度。

执行不力的风险

尽管人工智能在SOC中有前景，但糟糕的实施可能会加剧运营挑战，而不是简化它们。例如，如果安全团队想要应用一种算法，根据对之前真阳性/假阳性决策的统计分析来确定警报是否为假阳性。这种方法失败的可能性很高，因为：

1.我们不能确定以前的决定是100%正确的。

2.根据不同的上下文，单个警报可能是真阳性或假阳性。

如果我们应用人工智能功能来模拟人类的专业知识——在我们的例子中，考虑到警报上下文——我们可能会有一个更合适的解决方案来解决这个问题，但仍然可能会遇到数据集质量差或模型有误的问题。

理解正确的方法、选择正确的模型和使用正确的数据集可能很复杂。但是，随着SOC团队被他们必须捍卫的资产的规模和复杂性所超越，对这些先进能力的需求也在不断增长。通过自定义脚本和SOAR实现机器人处理自动化有所帮助，但仍需要额外的构建和维护能力。这就是为什么许多SOC向供应商和解决方案提供商寻求他们使用的工具中“内置”的AI功能。

SOC用例

将AI功能整合到SOC功能中，同时将风险降至最低，这通常归结为选择正确的用例。我们可以从评估我们的一些核心SOC工具和功能开始，以找到最佳用例，其中包括：

l通过ASM的收集功能——ASM中最重要的挑战之一是获取有关发现的软件和服务的上下文。ASM技术内置的人工智能功能可以提供有关如何使用服务以及是否应该公开服务的有用见解，以帮助运营商根据ASM报告数据做出明智的决策。

l通过EDR和SIEM的检测功能——鉴于平均SOC每天必须审查的数据量，大规模检测变得越来越困难。人工智能模型可以通过识别警报数据中的偏差来生成额外的风险背景。

l通过SIEM进行分类和调查——人工智能模型可以提高严重程度评分，自动化高分警报的调查工作流程，并用于生成替代假设，以提高调查的尽职调查和质量。

l通过SOAR进行事件响应——可以使用AI模型生成动态剧本，根据威胁背景、历史模式和环境因素确定最佳行动方案，这可以帮助SOC团队摆脱静态剧本，缩短反应时间。

人工智能的影响

自动化带来了更快的性能、更高质量的结果，并减少了人工劳动。SOC指标应突出这些效率，可以表示为：

l更快、更有效地减少攻击面

l减少环境中威胁的停留时间

l通过调查和响应管道传递警报的成功率更高

l对发现的威胁做出更快的响应和补救

l可测量地减少重复的手动任务，从而减少倦怠，更好地留住员工，提高能力

l调查质量和一致性的显著提高

即使是这些领域的微小改进也具有战略意义，因为从重复性任务中节省的时间和注意力可以重新导向人类更适合的创造性任务和改进。人工智能自动化对SOC工作流程的复合效应意味着更好的工具、更好的团队和更好的安全性，并随着时间的推移不断提高。

结论

在现代IT环境中，持续的收集、检测和响应操作比以往任何时候都更加重要。但是，对于仍然依赖重复的、人为驱动的手动流程的SOC团队来说，跟上企业IT和相关数据集日益复杂的步伐已经成为一项难以应对的挑战。人工智能在SOC中的前景在于辅助应用程序，帮助分析师更明智地利用有限的时间，并以更可扩展的方式应用他们的专业知识。

赞助商

SANS要感谢本文的赞助商：

原文始发于微信公众号（老烦的草根安全观）：安全运营中的人工智能