由于警报疲劳、高流动率和工具过时,日益复杂的多域攻击不断涌现,安全领导者正在拥抱人工智能原生的安全运营中心 (SOC) 作为防御的未来。
今年,攻击者利用了仅为外围防御而设计的传统系统的弱点,甚至更糟的是,还利用了跨网络的可信连接的弱点,创下了入侵速度的新记录。
攻击者在过去一年中将电子犯罪入侵活动的平均时间缩短了 17 分钟,并将电子犯罪入侵的平均突破时间从79 分钟缩短至 62 分钟。观察到的最快突破时间仅为 2 分 7 秒。
攻击者将生成式人工智能、社会工程、交互式入侵活动和对云漏洞和身份的全面攻击结合起来。通过这种策略,他们试图利用那些网络安全武器库过时或没有的组织的弱点。
网络安全公司 CrowdStrike 总裁、首席执行官兼联合创始人 George Kurtz 表示:“当今网络攻击的速度要求安全团队快速分析大量数据,以便更快地检测、调查和应对威胁。这是 SIEM(安全信息和事件管理)未能兑现的承诺。客户渴望更好的技术,以更低的总拥有成本提供即时的价值实现时间和更强大的功能。 ”
Gartner 在其报告《为您的安全运营中心选择合适工具的技巧》中写道:“SOC 领导者必须在提高检测和阻止能力之间找到平衡。这应该会减少事件数量并提高他们的响应能力,最终减少攻击者的停留时间。”
AI 原生 SOC:解决转椅集成难题的良方
访问任何 SOC,就会发现大多数分析师都被迫依赖“转椅集成”,因为传统系统并非设计用于实时共享数据。
这意味着分析师经常将他们的轮椅从一个显示器转到另一个显示器,检查警报并清除误报。在对抗日益增多的多域攻击时,准确性和速度都已丧失,因为这些攻击在实时涌入的大量警报中并不直观和明显。
以下只是 SOC 领导者希望 AI 原生 SOC 能够帮助解决的众多挑战中的一部分:
长期警报疲劳:包括 SIEM 在内的传统系统发出的警报数量越来越多,SOC 分析师需要跟踪和分析。一位不愿透露姓名的 SOC 分析师表示,他们发出的每 10 个警报中就有 4 个是误报。分析师通常花在分类误报上的时间比调查实际威胁的时间要多,这严重影响了生产力和响应时间。让 SOC 原生化 AI 可以立即减少这一时间,这是每个 SOC 分析师和领导者每天都要处理的问题。
持续的人才短缺和流失:经验丰富的 SOC 分析师在工作中表现出色,他们的领导可以影响预算,为他们带来加薪和奖金,但大多数情况下,他们仍留在目前的职位上。值得称赞的是,那些意识到投资留住优秀 SOC 团队是其业务核心的组织。一个常被引用的统计数据是,全球网络安全劳动力缺口为 340 万名专业人员。行业中确实存在长期的 SOC 分析师短缺问题,因此组织必须缩小薪酬差距,加倍培训以在内部发展团队。在人手不足的团队中,倦怠现象普遍存在,他们被迫依靠旋转椅整合来完成工作。
广告
多域威胁呈指数级增长。包括网络犯罪团伙、民族国家和资金雄厚的网络恐怖组织在内的对手正在加倍努力利用端点安全和身份方面的漏洞。过去一年来,无恶意软件攻击一直在增长,其种类、数量和攻击策略的巧妙性都在增加。保护开发基于人工智能的平台、系统和新技术的企业软件公司的 SOC 团队受到的打击尤其严重。无恶意软件攻击通常无法检测到,利用对合法工具的信任,很少生成唯一签名,并且依赖无文件执行。Kurtz 表示,以端点和身份漏洞为目标的攻击者经常在两分钟内在系统内横向移动。他们的先进技术,包括社会工程学、勒索软件即服务 (RaaS) 和基于身份的攻击,需要更快、更具适应性的 SOC 响应。
日益复杂的云配置增加了遭受攻击的风险。云入侵事件同比增长 75%,攻击者利用原生云漏洞(例如不安全的 API 和身份配置错误)。SOC 通常会面临有限的可视性和不足的工具,无法在复杂的多云环境中缓解威胁。
数据过载和工具泛滥造成了防御漏洞,SOC 团队需要填补这些漏洞。传统的基于边界的系统(包括许多已有数十年历史的 SIEM 系统)难以处理和分析现代基础设施、端点和遥测数据源产生的大量数据。要求 SOC 分析师掌握多个警报源并协调不同工具之间的数据会降低他们的效率,导致他们精疲力竭,并阻碍他们实现必要的准确性、速度和性能。
AI 如何提高 SOC 的准确性、速度和性能
万事达卡安全与网络创新执行副总裁 Johan Gerber警告称: “犯罪分子已经利用人工智能来攻破全球部分网络安全措施。但人工智能必须成为我们未来的一部分,成为我们攻击和解决网络安全问题的一部分。”
思科安全与协作执行副总裁兼总经理 Jeetu Patel 援引 2024 年思科网络安全就绪指数的调查结果说: “如果将 AI 视为附加功能,那么就很难开展业务;你必须将其视为 [不可或缺的]。 ” “这里的关键词是 AI 在您的核心基础设施中原生使用。”
考虑到向 AI 原生 SOC 过渡的诸多准确性、速度和性能优势,Gartner 支持这一想法的原因也就不难理解了。该研究公司预测,到 2028 年,威胁检测和事件响应(包括在 SOC 内)中的多代理 AI 占 AI 实施的比例将从 5% 增加到 70%——主要是增强而不是取代员工。
聊天机器人正在产生影响
人工智能驱动的 SOC 为网络安全和 IT 团队带来的价值的核心是使用实时遥测数据提高预测准确性,从而加速威胁检测和分类。
SOC 团队报告称,包括聊天机器人在内的基于 AI 的工具可以更快地处理各种查询,从简单分析到更复杂的异常分析。最新一代聊天机器人旨在简化 SOC 工作流程并协助安全分析师,包括 CrowdStrike 的 Charlotte AI、Google 的 Threat Intelligence Copilot、Microsoft Security Copilot、Palo Alto Networks 的 AI Copilot 系列和 SentinelOne Purple AI。
图形数据库是 SOC 未来的核心
图形数据库技术正在帮助防御者像攻击者一样发现他们的弱点。攻击者会考虑遍历企业的系统图,而 SOC 防御者传统上依靠他们用来循环执行威慑行动的列表。图形数据库军备竞赛旨在让 SOC 分析师在跟踪身份、系统和网络图中的威胁、入侵和漏洞方面与攻击者旗鼓相当。
事实证明,人工智能在减少误报、自动化事件响应、增强威胁分析以及不断寻找简化 SOC 运营的新方法方面非常有效。
将 AI 与图形数据库相结合也有助于 SOC 跟踪和阻止多域攻击。图形数据库是 SOC 未来的核心,因为它们擅长实时可视化和分析互联数据,从而实现更快、更准确的威胁检测、攻击路径分析和风险优先级排序。
微软安全研究公司副总裁 John Lambert 强调了基于图形的思维对于网络安全的重要性,他解释道:“防御者以列表的方式思考,而网络攻击者以图形的方式思考。只要这是真的,攻击者就会获胜。”
AI 原生 SOC 需要人类作为中间人才能发挥其潜力
精心设计中间人工作流程作为 AI 原生 SOC 战略核心部分的 SOC 最有可能取得成功。首要目标应该是加强 SOC 分析师的知识,并为他们提供在角色中脱颖而出和成长所需的数据、见解和情报。中间人工作流程设计中还隐含着保留。
那些已经建立了持续学习文化并将 AI 视为加速培训和在职成果的工具的组织已经领先于竞争对手。看到 SOC 高度重视让分析师专注于复杂的战略任务,而 AI 则管理日常运营,留住他们的团队。有很多小胜利的故事,比如阻止入侵或违规。AI 不应被视为SOC 分析师或经验丰富的人类威胁猎手的替代品。相反,AI 应用程序和平台是威胁猎手更好地保护企业所需的工具。
人工智能驱动的 SOC 可以显著缩短事件响应时间,一些组织报告称响应时间缩短了50%。这种加速使安全团队能够更及时地应对威胁,最大限度地减少潜在损害。
人工智能在 SOC 中的作用预计将扩大,包括主动对手模拟、SOC 生态系统的持续健康监测以及通过零信任集成实现的高级端点和身份安全。这些进步将进一步加强组织对不断演变的网络威胁的防御能力。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/ying-de-dui-kang-xing-ren-gong-zhi-neng-de-zhan-zheng-xu
