![未来安全服务趋势解读:AI-SOC vs AI-MDR]( "未来安全服务趋势解读:AI-SOC vs AI-MDR")
关于AI在安全领域的未来有很多讨论,而大部分注意力集中在SOC自动化上,这完全合情合理。毕竟,安全团队的大部分时间都花在了这里。
在这篇文章中,我将探讨在安全运营背景下定义安全未来的趋势,解析“服务即软件”的含义及其各个方面,并讨论两种类型的AI x SOC解决方案以及AI SOC的未来。
AI是当今的热门话题——每个安全初创公司都在引用AI作为“为什么是现在?”这个问题的答案,每个风投都期望在他们投资的任何网络公司中看到一些AI的故事,社交媒体上几乎所有的内容都是关于AI如何改变我们行业的未来。与我交谈的CISOs和CIOs表示他们对AI感到兴奋,但如果你仔细观察,很容易发现他们实际上是对其他事情感到兴奋。
安全领域的领导者并不关心那些光鲜亮丽的新技术(无论是AI还是其他任何技术);他们关心的是实际成果。当他们听到“AI”时,他们不会去想象它带来的所有神奇可能性——那是创始人和投资者的工作。当安全工具的买家听到“AI”时,他们希望“也许现在这类工具能在上一代失败的地方取得成功”。当买家听到“AI”时,他们期待AI代理能够解决SOAR、SOC自动化、工作流自动化、身份认证、终端、IT以及其他所有工具之前未能解决的问题。
关键点在于:买家对AI感到兴奋,但实际上并不关心AI。没错,营销中带有“AI”可能会促使他们同意参加演示,但一旦他们出现在那次通话中,他们并不想听关于AI的内容——他们想听的是工具将为他们解决的具体问题。
换言之,客户关心的是结果,而非实现方式。如果一家初创企业能够达成其前辈未能实现的结果,且有人对此特定结果极为重视,那么无论是否使用AI,该公司都将拥有光明的未来。
越来越多的公司意识到,如果安全不是他们的核心竞争力,他们不妨将其委托给第三方。这种做法并非安全领域特有,多年来,企业一直在寻找将尽可能多的支持功能外包给第三方的方式。
我在Venture in Security之前的一期中曾谈及这一趋势:“尽管科技公司一直在招聘安全工程师和安全架构师,并在安全运营中采纳工程思维,但世界其他地方的运作方式却大相径庭。行业正在成熟,但这种‘成熟’的定义却更加微妙。对于科技公司、大型银行等而言,成熟可能确实意味着聘用技术安全从业者(安全工程师、架构师、检测工程师等),构建定制化工具以解决其组织特有的问题等。然而,它们最多仅代表市场的1-5%。对于市场上其余95%以上的企业来说,成熟意味着承认自身缺乏满足安全需求的专业知识,很可能永远无法负担这些专业知识,并且甚至不知道从何入手。对他们而言,成熟的成果将是继续将安全外包给第三方供应商,这包括安全产品,但更主要的是——安全服务。”
换句话说,客户关心的是结果,而非其交付方式。如果第三方能以极低的成本胜任工作,从商业角度来看,这种权衡可能是非常值得的。我注意到持续存在降低全职安全人员预算的压力。能够负担得起建立专门SOC或维持高水平内部专业知识的公司越来越少,且这一数字似乎逐年减少。
十年前,任何想要对网络安全公司进行细分和分类的人都会首先将它们分为两类:产品和服务。随着产品公司逐渐增加服务,反之亦然,这种区分变得越来越无关紧要。我之前曾详细讨论过这一现象。
促使安全产品供应商提供服务的主要因素是希望增加客户钱包份额,从而创造更多收入。此外,通过提供专业服务,产品供应商可以大大提高转化率,改善客户体验,并使其产品更具粘性。
服务业务需要人员来交付价值,这一事实使其难以扩展。公司看到的需求越多,就需要雇佣、培训和发展更多人员来交付项目。虽然无法完全摆脱服务模式的限制,但对其进行优化是相当现实的。为此,安全服务提供商需要找到一种大规模交付服务的方法,这通常意味着将服务产品化和自动化,直到它与产品难以区分。服务提供商被激励产品化的其他原因包括实现规模、提高估值和退出倍数,以及为客户提供可见层。
网络安全产品和服务之间的界限越来越模糊。随着我们走向未来,这条界限将完全消失。
换句话说,客户关心的是结果,而非实现方式。至于如何交付这一结果——通过提供产品、服务,还是两者的结合,则取决于供应商。
-
网络安全由边缘案例主导,单一产品无法涵盖所有场景。每个工具都需要针对不同环境进行调整,打造通用的瑞士军刀平台已被证明会导致采用困难。
-
安全团队缺乏将安全工具操作化的人才。在安全编排自动化和响应(SOAR)平台的实施中,这一点尤为明显,这些平台的成功部署几乎需要同时具备剧本编写和事件响应技能的人才,而这类人才极为稀缺。
-
即使供应商不直接提供服务,一个强大的服务提供商生态系统也常常会介入,以弥合产品所能提供的功能与客户期望之间的差距。对于各种各样的供应商来说,尤其是像SailPoint和Saviynt这样实施复杂的解决方案,这一点尤为明显。
我看到初创企业社区对“服务即软件”(Service as a Software)这一概念充满热情。难点在于理解人们使用这一术语时的具体含义。
在许多人看来,服务即软件(Service as a Software)是指将服务产品化,将传统上由人力驱动的任务转化为软件,以实现更高效的扩展。这种观点认为,服务即软件是一种将基于服务的业务编码化和自动化的方式,使其更具可预测性、成本效益和可扩展性,类似于传统SaaS将软件转变为自助服务产品的方式。
服务可以自动化和产品化的想法非常吸引人,因为在支出方面,安全服务市场比安全产品市场大得多。话虽如此,一系列细微差别使得软件完全自动化服务变得极不可能。例如,
-
存在不同类型的服务。其中一些,如托管检测与响应(MDR),确实处理了许多重复性任务,如警报分类。许多这类服务确实可以通过自动化来提高效率。然而,其他服务,如理解组织环境、识别正确的利益相关者以及应对政治复杂性,则不太可能被自动化。
-
当客户向服务寻求帮助时,他们通常希望获得一支专注于其独特需求的团队支持。现实情况是,大多数公司并不真正了解自己的需求,即使他们自认为知道,也往往能从第三方见解中受益匪浅。我们距离能够自动化洞察与体验还很遥远。
与其试图将服务完全产品化,我更倾向于将软件自动化与真实的人类专业知识相结合。与依赖自助工具让用户独立导航解决方案的传统SaaS(软件即服务)不同,Service as a Software将通过技术与人工干预的整合来优先考虑结果。在这种模式下,软件将高效处理数据处理、调度和匹配等重复性任务,而人类专家则介入提供指导、管理异常并应对复杂挑战。这种方法通常被称为“人在回路”,通过在关键决策点保持人类参与,确保提供更加个性化和富有同理心的客户体验。
如果我们退后几步,审视所有这些关于“服务即软件”、“软件与服务”、“成果即服务”、“AI服务”和“代理服务”的辩论,就会发现客户并不关心这些。换句话说,客户关心的是结果,而不是这些结果是如何交付的。那些将取得成功的企业,销售的是成果(结果),而非利用AI实现成果的能力。这些成果可以由人类交付,借助AI增强,或完全由AI代理交付。最终,所有这一切都只是提供服务的软件,并且它是用AI构建的。
划分AI x SOC市场有不同方式——按初创公司使用AI的方式、按它们支持的技术堆栈等。我认为,在最基本的层面上,使用AI来自动化SOC运营的公司有两种类型:
毫无疑问,企业正面临警报过载的困境。市场上最顶尖的1-10%有幸拥有自己的安全运营中心(SOCs)的企业,不仅要应对高级持续性威胁,还需筛选出95-99.9%仅仅是噪音和误报的警报。专为SOCs设计的AI代理承诺能穿透噪音,识别出真正重要的少数警报,并协助安全团队有效处理。
在我看来,AI for SOC是安全信息与事件管理(SIEM)以及安全编排、自动化与响应(SOAR)发展历程中的自然下一步。历史上,SOC团队不得不在海量警报中大海捞针(SIEM应用场景)。随后,他们需要将手动调查、分类及修复任务自动化(SOAR应用场景)。AI for SOC正致力于在一个平台上同时解决这两类应用场景的问题。
当今许多AI SOC客户是提供自有托管检测与响应服务的MSSP。AI SOC分析师技术使MSSP能够支持更多客户并保持始终如一的高质量服务——这在竞争激烈的市场中变得越来越重要。
尽管存在巨大的机遇,AI SOC领域的参与者仍需克服一些严峻挑战。首先,他们正在与CrowdStrike和SentinelOne等已建立市场地位的供应商竞争,这些供应商已占据用户心智,并已推出各自的AI SOC解决方案。其次,他们还要与Torq等成熟的自动化玩家竞争,这些玩家也已转向为SOC解决方案提供AI技术。第三,他们还需面对像Expel这样在企业领域拥有高品牌认知度的竞争对手。虽然竞争压力未必是坏事,但AI SOC供应商需要展示出真正的价值才能被市场认可。
虽然数十家初创公司将自己定位为面向SOC的人工智能,但只有少数公开追求成为人工智能驱动的MDR提供商的战略。
虽然服务自动化的AI方面是新的,但在基础层面上,安全服务提供商一直在尝试通过脚本、操作手册和编写代码来自动化服务交付中的手动部分。挑战在于,服务公司与软件公司以不同的思维模式和技术能力起步:
-
产品公司从一开始就考虑规模和自动化,而服务公司则从做不可扩展的事情开始。
-
虽然产品公司可以获得风险投资,但服务公司通常要么自筹资金,要么由其他风险偏好较低的投资者资助。
-
虽然产品公司有资源雇佣软件工程师,但服务公司需要雇佣专注于服务交付的人员。
-
虽然产品公司考虑的是产品和构建可以无需大量定制即可销售的解决方案,但服务公司通过接受定制来交付价值。
与以往不同的是,如今由软件工程师创立的AI赋能MDR服务公司,凭借风投资金支持,从第一天起就考虑规模化发展。像Arctic Wolf和Expel这样的公司,在创业初期利用现有技术成功打造了以产品为先的服务型企业。如今,人们寄希望于AI能让新进入者实现比以往更多的手动工作自动化,从而带来更高的效率和更好的利润率。
我坚信人工智能确实具有强大的潜力,能使服务提供商效率大幅提升。然而,挑战不在于效率,而在于分发。Expel和Arctic Wolf已经自动化了所有无需LLMs的警报调查环节。我推测他们自动处理了90-95%的工单和警报。尽管如此,所有获得风险投资的MDR(托管检测与响应)服务商加在一起,可能只占整个MSSP(管理安全服务提供商)/MDR市场份额的不到10%。我认为,阻止Expel和Arctic Wolf占领服务市场的障碍并非自动化。如果是自动化问题,那么LLMs和警报噪音的减少确实可能改变游戏规则。但更可能的是,AI驱动的MDR参与者需要解决并克服其前辈们面临的相同问题和障碍——即分发和进入市场。在企业之外,公司倾向于通过他们熟知且信任的托管服务提供商(MSPs)购买安全服务。而在大型企业中,则常常有转销商、集成商等角色参与其中。托管安全服务提供商需要找到一种方法来触达之前服务不足的客户群体——而AI将使之成为可能。
AI for SOC和AI-enabled MDR截然不同
许多人在审视用于SOC的AI和AI驱动的MDR时,认为两者之间的区别仅在于定位和品牌。在我看来,远不止如此。
为SOC构建AI代理的初创公司正在开发以产品为先的解决方案,这些方案假设将由其他人来操作它们。我倾向于认为,在未来十年,越来越多的客户将会将他们的SOC外包给第三方,而不是通过更好的工具来提升内部SOC的能力。毫无疑问,大型企业仍将继续存在对最佳工具的市场需求,但对于15-20家以上的公司来说,这个市场似乎并不足够大以让它们都生存下来。那些能够展示价值和真正影响力的公司将会蓬勃发展;而那些不能的,将会逐渐消失。
另一方面,AI赋能的MDR设计的产品将由他们自己的团队操作。他们尽可能抽象化平台的复杂性和内部运作,只向最终客户展示他们期望的结果。AI赋能的MDR正在构建内部服务交付能力,而SOC供应商的AI则依赖于客户的人才来充分发挥其工具的价值。
根据初创企业选择的路径,它们最终不可避免地会构建不同的产品方案。从一种方案转向另一种也并非易事。除非初创企业投资于开发运营能力、构建完全多租户的产品,并假设产品将由内部运营来设计,否则它不会轻易成为服务提供商。换句话说,MDR远不止是AI SOC加上几位SOC分析师。反之亦然(AI SOC产品并非由企业自身团队运营的AI驱动的MDR平台)。
我相信AI SOC和AI支持的MDR玩家都有四条退出路径:
我认为大多数玩家将被现有的服务公司吞并。这将使服务公司能够解决一些围绕人才短缺和随着增长需要扩展员工规模的问题。此外,服务提供商愿意不惜一切代价将自己定位为产品提供者。我们最近已经看到了Arctic Wolf和Cylance合并时这类交易是如何展开的。被私募股权收购并与服务公司合并是另一条强劲的退出路径。许多现有的小型MDR和MSSP由私募股权所有——这些人比任何人都更重视实现运营效率和降低成本。AI可能使私募股权公司实现以前不可能达到的回报水平。
在我看来,AI SOC和AI MDR供应商被产品公司收购的概率处于中低水平。这是因为CrowdStrike、Palo Alto、SentinelOne等企业正大力投资于自身的自动化能力。对他们而言,AI服务不太可能成为能向客户销售的新SKU。内部效率提升或许是一个强有力的驱动因素,但服务提供商无疑更能深切感受到手工操作的痛点。
我坚信,那些试图仅构建产品型AI SOC(安全运营中心)解决方案的公司,最终将演变为“产品加服务”的混合模式。原因很简单:虽然AI能够实现一级或二级分析的自动化(这正是许多低效之处所在),但企业真正面临的挑战在于吸引并留住高级人才。自动化处理低级安全筛选的某些方面固然有益,但若不解决更广泛的问题,其影响最多也只是有限的。
谈到AI赋能的MDR,我认为它们更有可能发展成为服务公司(想象一下下一代Expel和Arctic Wolf)。正如我在文章中多次提到的,客户关心的是结果,而不是它们是如何交付的。话虽如此,交付过程中有人类参与的方式,更有可能开拓企业细分市场之外的市场。此外,服务领域已经相当商品化,很多感知价值来自于个人关系和客户体验。MDR供应商(无论是否由 AI 驱动)如果以服务而非产品公司的模式运营,它们更有能力建立这些关系,并将自身定位为客户团队的真正延伸。
无论企业从何处起步,产品与服务的融合趋势将持续推进。无论是面向SOC的AI技术还是AI赋能的MDR(托管检测与响应)服务商,都将演变为形态相似的AI驱动、技术领先的服务提供商。正因如此,我断言,今日以AI为动力的SOC企业,必将是未来的安全服务提供商。
最终,我认为当今企业在人工智能(AI)与安全运营中心(SOC)交汇处所做的努力对行业而言是一大幸事。想象这样一个世界,每位MDR提供商都能接入由AI驱动的运营中心,AI SOC助力他们自动化处理警报疲劳及SOC周边的手动流程,AI渗透测试工具则帮助他们自动化大量渗透测试相关的手动工作,诸如此类,令人难以抑制兴奋之情。这有望改变服务交付的方式及其成本结构。当然,前提是技术能够兑现其承诺。
如果AI确实能够兑现其承诺,它也将颠覆传统的安全产品上市模式,即安全公司销售产品后,客户依赖生态系统合作伙伴(经销商、集成商和顾问)并支付大量额外费用才能成功使用他们刚购买的产品。希望我们很快能见证一个世界,在那里,安全产品的买家最终通过专业知识与技术的恰当结合,解决了长期以来的挑战。
https://ventureinsecurity.net/p/todays-ai-powered-soc-companies-are-524
![未来安全服务趋势解读:AI-SOC vs AI-MDR]( "未来安全服务趋势解读:AI-SOC vs AI-MDR")
关注「安全喵喵站」,后台回复关键词【报告】,即可获取网安行业研究报告精彩内容合集:
《网安供应链厂商成分分析及国产化替代指南》,《网安新兴赛道厂商速查指南》,《2023中国威胁情报订阅市场分析报告》,《网安初创天使投资态势报告》,《全球网络安全创业加速器调研报告》,《网安创业生态图》,《網安新興賽道廠商速查指南·港澳版》,《台湾资安市场地图》,《全球网络安全全景图》,《全球独角兽俱乐部行业全景图》,《全球网络安全创业生态图》
原文始发于微信公众号(安全喵喵站):未来安全服务趋势解读:AI-SOC vs AI-MDR
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3900895.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论