您是否曾希望自己的安全運(yùn)營(yíng)中心 (SOC) 有一名助理，尤其是一個(gè)從不請(qǐng)病假、心情不好或午休時(shí)間很長(zhǎng)的助理？您的愿望可能很快就會(huì)實(shí)現(xiàn)。毫不奇怪，人工智能驅(qū)動(dòng)的 SOC“副駕駛”在 2025 年網(wǎng)絡(luò)安全預(yù)測(cè)中名列前茅，這些工具經(jīng)常被描述為游戲規(guī)則改變者。

Check Point 網(wǎng)絡(luò)安全推廣員Brian Linder 表示：“人工智能驅(qū)動(dòng)的 SOC 副駕駛將在 2025 年產(chǎn)生重大影響，幫助安全團(tuán)隊(duì)確定威脅的優(yōu)先級(jí)，并將大量數(shù)據(jù)轉(zhuǎn)化為可操作的情報(bào)。這將徹底改變 SOC 的效率?！?/span>

什么是AI驅(qū)動(dòng)的SOC副駕駛？

人工智能驅(qū)動(dòng)的 SOC 副駕駛是生成式人工智能工具，它使用機(jī)器學(xué)習(xí)來(lái)幫助安全分析師運(yùn)行和管理SOC。常見(jiàn)的副駕駛?cè)蝿?wù)包括檢測(cè)威脅、管理事件、分類警報(bào)、預(yù)測(cè)攻擊和違規(guī)的新趨勢(shì)和模式以及自動(dòng)響應(yīng)威脅。副駕駛可能是公司為其特定需求構(gòu)建的專有工具，也可能是市售的網(wǎng)絡(luò)安全副駕駛，例如Microsoft Copilot。

例如，副駕駛可以查看警報(bào)并使用AI預(yù)測(cè)哪些警報(bào)最有可能是高優(yōu)先級(jí)。這減少了 SOC 中常見(jiàn)的問(wèn)題：誤報(bào)。然后，分析師可以專注于最有可能成為真正威脅的警報(bào)。由于他們沒(méi)有追蹤非關(guān)鍵警報(bào)，分析師有更多時(shí)間花在實(shí)際威脅上，并且更有可能成功遏制威脅。

在 SOC 中，副駕駛可以采用多種不同的形式。分析師可以像使用 ChatGPT 一樣使用副駕駛，為其分配特定任務(wù)，例如事件響應(yīng)。分析師輸入有關(guān)特定事件的信息，副駕駛分析數(shù)據(jù)以提出可能的原因以及組織應(yīng)如何應(yīng)對(duì)事件。但是，您也可以使用副駕駛在無(wú)需人工干預(yù)的情況下自動(dòng)執(zhí)行部分工作流程，例如監(jiān)控當(dāng)前防火墻和檢測(cè)漏洞。

使用 AI 驅(qū)動(dòng)的 SOC 副駕駛的好處

借助 AI 驅(qū)動(dòng)的副駕駛來(lái)幫助管理 SOC 的企業(yè)將獲得廣泛的好處。常見(jiàn)好處包括：

• 提高工作效率：由于副駕駛能夠處理的數(shù)據(jù)量比最高效的網(wǎng)絡(luò)安全分析師還要大得多，因此副駕駛可以在更短的時(shí)間內(nèi)完成更多工作。通過(guò)人機(jī)協(xié)作，副駕駛能夠以更少的人力資源更有效地監(jiān)控 SOC。
• 網(wǎng)絡(luò)安全專業(yè)人員有更多時(shí)間完成高級(jí)任務(wù)：當(dāng)副駕駛處理手動(dòng)和重復(fù)性任務(wù)時(shí)，分析師有更多時(shí)間處理策略和分析等高級(jí)任務(wù)。當(dāng)分析師的一天充滿更有趣的工作時(shí)，他們更有可能全身心投入，從而減少倦怠。
• 錯(cuò)誤更少：人類會(huì)犯錯(cuò)誤，尤其是在查看日志等手動(dòng)任務(wù)中。雖然人工智能工具的“智能”程度取決于算法和用于算法的訓(xùn)練數(shù)據(jù)，但它們通常能夠發(fā)現(xiàn)人類可能無(wú)法察覺(jué)的模式。這可以減少錯(cuò)誤并防止可能導(dǎo)致違規(guī)或攻擊的問(wèn)題。
• 更快地應(yīng)對(duì)威脅：人類可能無(wú)法識(shí)別脆弱區(qū)域或反應(yīng)較慢，而副駕駛則使用自動(dòng)化技術(shù)立即做出反應(yīng)并發(fā)送通知。副駕駛也不用上廁所或午休；他們總是“坐在辦公桌前”，從而縮短了響應(yīng)時(shí)間。
• 減少員工短缺和技能差距的影響：當(dāng)網(wǎng)絡(luò)安全職位無(wú)人填補(bǔ)或分析師不具備該職位所需的技能時(shí)，公司的風(fēng)險(xiǎn)就會(huì)增加。人工智能驅(qū)動(dòng)的副駕駛可以通過(guò)承擔(dān)各種手動(dòng)任務(wù)來(lái)幫助減少空缺職位，這意味著 SOC 的覆蓋范圍更大。

人工智能驅(qū)動(dòng)的SOC副駕駛會(huì)取代人類嗎？

與許多人工智能工具一樣，副駕駛可以接管許多目前由人類完成的手動(dòng)和重復(fù)性任務(wù)。然而，人工智能取代 SOC 中人類需求的擔(dān)憂不太可能成為現(xiàn)實(shí)。設(shè)置副駕駛來(lái)在沒(méi)有人類監(jiān)督或干預(yù)的情況下運(yùn)行可能是一個(gè)錯(cuò)誤。但讓分析師和副駕駛一起工作的企業(yè)可以降低風(fēng)險(xiǎn)、提高響應(yīng)速度和提高員工滿意度。

雖然副駕駛可以成為 SOC 的第一道防線，但公司應(yīng)該設(shè)置新一代人工智能工具，以便人類仍然是最終的決策者。例如，分析師可以設(shè)置一個(gè)由人工智能驅(qū)動(dòng)的副駕駛自動(dòng)化系統(tǒng)，以根據(jù)設(shè)定的標(biāo)準(zhǔn)監(jiān)控和確定警報(bào)的優(yōu)先級(jí)。然而，隨著威脅行為者開(kāi)始使用新策略，分析師可能需要更改標(biāo)準(zhǔn)以捕捉最新威脅。一旦副駕駛識(shí)別出高優(yōu)先級(jí)警報(bào)，人類就可以要求該工具分析情況并提供建議的后續(xù)步驟。然后，分析師使用人類的判斷力在當(dāng)時(shí)情況下做出最佳決策，并指示工具采取下一步行動(dòng)，例如關(guān)閉系統(tǒng)或暫時(shí)使網(wǎng)絡(luò)離線。

在 SOC 中實(shí)施 AI 驅(qū)動(dòng)的副駕駛

在將副駕駛付諸實(shí)踐時(shí)，請(qǐng)考慮從小規(guī)模開(kāi)始，使用案例有限。許多組織使用商業(yè)產(chǎn)品開(kāi)始，為將來(lái)創(chuàng)建專有工具留有余地。在 SOC 中創(chuàng)建耗時(shí)任務(wù)列表，尤其是那些容易出錯(cuò)或讓分析師感到沮喪的任務(wù)，將有助于您確定從哪個(gè)用例開(kāi)始。啟動(dòng)該工具后，單個(gè)分析師可以收集反饋并進(jìn)行更改。

一旦取得成功，您的團(tuán)隊(duì)就可以開(kāi)始將副駕駛的使用范圍擴(kuò)大到其他分析師和用例。通過(guò)采取慎重的方法使用副駕駛并不斷征求分析師的反饋意見(jiàn)，企業(yè)可以在分析師和副駕駛之間建立合作關(guān)系，從而提高員工的工作滿意度，同時(shí)確保組織更加安全。