Gartner 預測，到 2030 年，75%的SOC團隊將依賴自動化和人工智能。當前，AI技術與安全運營的融合已成為行業(yè)趨勢，ISOC（智能化安全運營中心）成為未來安全運營的重要發(fā)展方向。在安全牛即將發(fā)布的《智能安全運營中心（ ISOC）應用研究報告》中，對ISOC的最新趨勢、技術框架、最佳實踐與案例等進行深入的研究。

其中，人工智能技術在安全運營中的廣泛應用，正在重塑安全分析師的角色和工作方式。人工智能并非萬能，安全運營的高效復雜性和對抗性決定了人類的經(jīng)驗、直覺、判斷力和創(chuàng)造力依然存在。安全分析師需要與人工智能協(xié)同工作，才能充分發(fā)揮人工智能的優(yōu)勢，構建更智能的安全運營體系。

安全牛認為，隨著人工智能技術在安全運營中心（ISOC）的深入應用，安全分析師的角色將從傳統(tǒng)的“規(guī)則工程師”、“告警分析師”擴展到“AI訓練師”、“AI監(jiān)督員”和“安全策略架構師”。這不僅需要高效具備傳統(tǒng)的安全技能，還需要掌握人工智能相關的知識和技能。企業(yè)需要加強對安全分析師的培訓，幫助他們實現(xiàn)角色轉型，才能充分運用人工智能技術，構建更智能的安全運營體系。

1.AI訓練師

職責

負責AI模型的全生命周期訓練管理，包括數(shù)據(jù)準備、模型、模型調優(yōu)、模型評估、模型部署和模型監(jiān)控等，確保AI模型能夠在實際安全運營環(huán)境中發(fā)揮最佳效果。

應具備的能力

數(shù)據(jù)分析能力：

• 理解數(shù)據(jù)：能夠理解安全數(shù)據(jù)的含義、來源、類型、格式等，并識別出數(shù)據(jù)的潛在價值。
• 數(shù)據(jù)處理：掌握數(shù)據(jù)清洗、數(shù)據(jù)轉換、提取等數(shù)據(jù)挖掘技術。
• 數(shù)據(jù)標注：能夠對安全數(shù)據(jù)進行高精度的標注，例如標注不良樣本、識別錯誤報和漏報等，為AI模型提供數(shù)據(jù)。
• 數(shù)據(jù)分析：能夠利用數(shù)據(jù)分析工具，對安全數(shù)據(jù)進行探索性分析，發(fā)現(xiàn)數(shù)據(jù)中的模式和規(guī)律。

AI模型知識：

• 模型原理：了解常見人工智能模型（例如機器學習、深度學習、NLP、知識圖譜等）的基本原理、優(yōu)缺點和適用場景。
• 模型選擇：能夠根據(jù)具體的安全運營場景和數(shù)據(jù)特點，選擇合適的AI模型。
• 模型調優(yōu)：掌握AI模型的參數(shù)調優(yōu)方法，例如網(wǎng)格搜索、隨機搜索、貝葉斯優(yōu)化等。
• 模型評估：能夠使用合適的指標（如準確率、識別率、F1值、ROC曲線、AUC值等）對AI模型的性能進行評估。
• 模型部署：了解AI模型的部署方式，例如將模型部署到EDR、NDR、UEBA等平臺中。

AI平臺使用：

• 熟悉工具：熟練使用AI安全分析平臺、機器學習平臺、深度學習框架等工具；
• 模型訓練：能夠利用這些平臺和工具進行AI模型的訓練、調優(yōu)和部署；
• 模型監(jiān)控：持續(xù)監(jiān)控AI模型的狀態(tài)；
• 模型更新：根據(jù)新的威脅數(shù)據(jù)和安全分析師的反饋，對AI模型進行更新和優(yōu)化。

2.AI監(jiān)督員

職責

負責監(jiān)控AI Agent和AI驅動的安全平臺的運行狀態(tài)，審核AI的分析結果和決策建議，并在必要時進行人工干預，確保AI技術在安全運營中的應用安全、可靠、有效。

所需能力：

1）AI結果審核：

• 審核和確認：對AI模型的分析結果進行審核和確認，判斷結果的合理性和可信度。
• 誤報識別：能夠識別AI模型的誤報，并進行分析和處理。
• 漏報識別：能夠發(fā)現(xiàn)AI模型的漏報，并進行補充分析。

2）AI決策干預：

• 安全決策：能夠在緊急情況下快速判斷AI代理的決策是否合理，并在緊急情況下進行干預。
• 風險評估：能夠評估AI代理決策的潛在風險，并采取相應的措施進行控制。
• 人工接管：能夠在AI代理無法處理的復雜情況下，接管安全事件的處理。

3） AI安全與合規(guī)：

• 安全意識：關注AI技術在安全運營中應用的安全問題，例如數(shù)據(jù)隱私保護、算法偏差等。
• 合規(guī)意識：了解相關法律法規(guī)和行業(yè)標準，確保人工智能技術在安全運營中的應用符合合規(guī)性要求。
• 安全審計：能夠對AI的行為進行安全審計，發(fā)現(xiàn)潛在的安全風險。

3.安全策略架構師

職責

• 負責將AI能力與企業(yè)整體安全戰(zhàn)略相結合，設計和優(yōu)化安全策略，并推動AI賦能的安全運營體系的持續(xù)改進。
• 所需能力：
• 安全戰(zhàn)略理解：深入理解企業(yè)的安全戰(zhàn)略和業(yè)務目標。
• 安全架構設計：將AI能力封裝到安全架構設計中，例如設計AI驅動的安全檢測、AI驅動的安全響應體系等。
• 安全策略制定：根據(jù)AI的能力和特點，制定和優(yōu)化安全策略。
• 安全流程優(yōu)化：將AI能力封裝到安全運營流程中，并進行流程優(yōu)化。
• 溝通協(xié)調能力：與不同的團隊（如IT運維團隊、業(yè)務部門等）進行有效的溝通和協(xié)調，推動AI安全項目的落地實施。