安全團隊正淹沒在警報中，威脅、可疑活動和誤報的數(shù)量之大，使得分析師幾乎不可能有效地調(diào)查所有內(nèi)容，這時，出現(xiàn)了自主式AI，它能夠同時完成數(shù)百項任務(wù)而不會感到疲倦。

企業(yè)越來越多地采用自主式AI來處理重復(fù)的安全任務(wù)，如警報分類，從而讓人類分析師專注于最嚴(yán)重的威脅，但盡管自主式AI可能速度很快，但它并非萬無一失，它天生就不了解企業(yè)獨特的風(fēng)險環(huán)境或安全優(yōu)先級。

就像任何新員工一樣，智能體需要指導(dǎo)才能發(fā)揮效用，它必須被調(diào)整、監(jiān)控和完善，以與企業(yè)的安全政策和運營工作流程保持一致。

安全運營的轉(zhuǎn)變并不是要取代人類分析師，而是要增強他們的能力。智能體就像一雙額外的手，能夠篩選數(shù)據(jù)并識別潛在威脅，然而，如果不加以控制，AI可能會強化錯誤的假設(shè)、誤解數(shù)據(jù)或產(chǎn)生誤導(dǎo)性的結(jié)論。

AI就像初級分析師：有能力，但需要培訓(xùn)

網(wǎng)絡(luò)安全中的智能體與過去的傳統(tǒng)基于規(guī)則的系統(tǒng)不同。與基于劇本的自動化(遵循一組固定指令)不同，自主式AI是動態(tài)的——它會隨著時間的推移而學(xué)習(xí)、適應(yīng)和完善其方法。

它不會盲目地執(zhí)行預(yù)定義的規(guī)則，而是基于邏輯推理做出決策，分析龐大數(shù)據(jù)集中的模式以檢測可能表明威脅的異常，但這種靈活性也是一把雙刃劍。如果沒有明確的方向，AI可能會誤解信號、忽視關(guān)鍵上下文或強化錯誤的假設(shè)。

在許多方面，智能體就像一個非常聰明的初級安全分析師，但是，就像新入職的人類分析師在第一天不了解業(yè)務(wù)背景一樣，AI在沒有給出正確上下文的情況下，缺乏對企業(yè)風(fēng)險承受能力、關(guān)鍵資產(chǎn)或內(nèi)部工作流程的固有認(rèn)識。如果不提供正確的上下文，它可能會標(biāo)記出不重要的異常，同時錯過真正危險的威脅。

與初級員工一樣，自主式AI需要入職培訓(xùn)、指導(dǎo)和定期反饋，以確保其決策與現(xiàn)實世界的優(yōu)先級保持一致。安全團隊必須將AI視為一個發(fā)展中的分析師，而不是一個一次性使用的工具，它會隨著時間的推移而變得更加有效。

沒有這種指導(dǎo)，沒有業(yè)務(wù)背景的AI只是已經(jīng)十分復(fù)雜的安全環(huán)境中又一個不可預(yù)測的變量。有了這種指導(dǎo)，AI將成長為一個值得信賴的伙伴，它永遠(yuǎn)不會忘記細(xì)節(jié)，并且始終如一地應(yīng)用企業(yè)的政策、做法和偏好。

建立自主式AI入職培訓(xùn)流程

就像任何新團隊成員一樣，智能體在達到最大效能之前需要入職培訓(xùn)。如果沒有適當(dāng)?shù)娜肼毰嘤?xùn)，它們可能會錯誤地對威脅進行分類、產(chǎn)生過多的誤報或無法識別微妙的攻擊模式。這就是為什么更成熟的自主式AI系統(tǒng)會要求訪問內(nèi)部文檔、歷史事件日志或聊天歷史記錄，以便系統(tǒng)可以研究它們并根據(jù)企業(yè)情況進行調(diào)整。

歷史安全事件、環(huán)境細(xì)節(jié)和事件響應(yīng)手冊可作為培訓(xùn)材料，幫助AI識別企業(yè)獨特安全環(huán)境中的威脅，或者，這些細(xì)節(jié)也可以幫助代理系統(tǒng)識別良性活動。例如，一旦系統(tǒng)了解了允許哪些VPN服務(wù)或哪些用戶被授權(quán)進行安全測試，它就會知道將與這些服務(wù)或活動相關(guān)的某些警報標(biāo)記為良性。

上下文是關(guān)鍵，智能體可以輕松訓(xùn)練以了解業(yè)務(wù)特定的風(fēng)險因素：哪些資產(chǎn)最關(guān)鍵，哪些用戶擁有高級權(quán)限，哪些行為應(yīng)被視為安全而非可疑。還應(yīng)將其配置為遵循既定的調(diào)查工作流程、升級程序和報告結(jié)構(gòu)，以確保其決策與安全團隊的操作保持一致。當(dāng)?shù)玫竭m當(dāng)?shù)恼{(diào)整和配置時，自主式AI不僅處理警報，它還能做出明智的、基于上下文的決策，增強安全性，而不會增加不必要的噪音。

指導(dǎo)AI進行持續(xù)改進

調(diào)整AI不是一次性事件，而是一個持續(xù)的過程。就像任何團隊成員一樣，自主式AI的部署通過經(jīng)驗、反饋和持續(xù)改進而得到優(yōu)化。

第一步是保持人類參與的監(jiān)督，就像任何負(fù)責(zé)任的管理者一樣，安全分析師必須定期審查AI生成的報告，驗證關(guān)鍵發(fā)現(xiàn)，并在必要時完善結(jié)論。AI不應(yīng)作為黑箱操作，其推理必須是透明的，以便人類分析師了解決策是如何得出的。

要明白錯誤在所難免，誤報和漏報是不可避免的，但安全團隊如何處理它們決定了AI是變得更智能還是停滯不前。分析師必須介入，糾正AI的推理，并將這些見解反饋給系統(tǒng)。

大多數(shù)自主式AI系統(tǒng)都接受覆蓋和更正以完善其推理。隨著時間的推移，這種迭代過程提高了AI減少噪音的能力，同時提高了系統(tǒng)在識別真正威脅方面的準(zhǔn)確性。

當(dāng)將AI視為學(xué)習(xí)系統(tǒng)而不是萬無一失的神諭時，它就不僅僅是一個工具，而是網(wǎng)絡(luò)安全中的合作伙伴。投資于調(diào)整其AI的團隊將減少警報疲勞，并建立能夠不斷適應(yīng)新威脅的安全運營。

AI與人類協(xié)作：SOC工作的未來

安全運營的未來不是要在AI和人類分析師之間做出選擇，而是要利用兩者來構(gòu)建更強大、更具可擴展性的安全運營中心(SOC)。分析師將過渡到監(jiān)督和戰(zhàn)略角色，而AI將承擔(dān)起調(diào)查每個警報、查詢?nèi)罩疽曰卮饐栴}并將所有內(nèi)容整合到報告中的繁重工作。

安全專業(yè)人員將不再被重復(fù)的警報分類工作所困擾，而是將精力集中在監(jiān)督智能體和需要人類判斷和精細(xì)技巧的項目上。這一轉(zhuǎn)變將提高效率，并使安全團隊能夠變得更加主動，將更多時間花在威脅建模、攻擊面管理和長期風(fēng)險降低上。

為了迎接這個AI增強的未來，企業(yè)必須學(xué)會管理和微調(diào)自主式AI系統(tǒng)。分析師必須培養(yǎng)AI監(jiān)督的新技能，使用自然語言提示來調(diào)整AI行為，并進行調(diào)查審計，確保AI成為可靠資產(chǎn)而不是負(fù)債。

未來的網(wǎng)絡(luò)安全職位描述將反映這一演變，要求具備威脅檢測方面的專業(yè)知識以及監(jiān)督和完善AI驅(qū)動的安全工作流程的能力，就像SOC經(jīng)理一樣。那些適應(yīng)這一新現(xiàn)實的人將創(chuàng)建一個不僅更快、更高效，而且更具彈性的安全運營。