您是否曾希望自己的安全運營中心 (SOC) 有一名助理，尤其是一個從不請病假、心情不好或午休時間很長的助理？您的愿望可能很快就會實現。毫不奇怪，人工智能驅動的 SOC“副駕駛”在 2025 年網絡安全預測中名列前茅，這些工具經常被描述為游戲規則改變者。

Check Point 網絡安全推廣員Brian Linder 表示：“人工智能驅動的 SOC 副駕駛將在 2025 年產生重大影響，幫助安全團隊確定威脅的優先級，并將大量數據轉化為可操作的情報。這將徹底改變 SOC 的效率。”

什么是AI驅動的SOC副駕駛？

人工智能驅動的 SOC 副駕駛是生成式人工智能工具，它使用機器學習來幫助安全分析師運行和管理SOC。常見的副駕駛任務包括檢測威脅、管理事件、分類警報、預測攻擊和違規的新趨勢和模式以及自動響應威脅。副駕駛可能是公司為其特定需求構建的專有工具，也可能是市售的網絡安全副駕駛，例如Microsoft Copilot。

例如，副駕駛可以查看警報并使用AI預測哪些警報最有可能是高優先級。這減少了 SOC 中常見的問題：誤報。然后，分析師可以專注于最有可能成為真正威脅的警報。由于他們沒有追蹤非關鍵警報，分析師有更多時間花在實際威脅上，并且更有可能成功遏制威脅。

在 SOC 中，副駕駛可以采用多種不同的形式。分析師可以像使用 ChatGPT 一樣使用副駕駛，為其分配特定任務，例如事件響應。分析師輸入有關特定事件的信息，副駕駛分析數據以提出可能的原因以及組織應如何應對事件。但是，您也可以使用副駕駛在無需人工干預的情況下自動執行部分工作流程，例如監控當前防火墻和檢測漏洞。

使用 AI 驅動的 SOC 副駕駛的好處

借助 AI 驅動的副駕駛來幫助管理 SOC 的企業將獲得廣泛的好處。常見好處包括：

• 提高工作效率：由于副駕駛能夠處理的數據量比最高效的網絡安全分析師還要大得多，因此副駕駛可以在更短的時間內完成更多工作。通過人機協作，副駕駛能夠以更少的人力資源更有效地監控 SOC。
• 網絡安全專業人員有更多時間完成高級任務：當副駕駛處理手動和重復性任務時，分析師有更多時間處理策略和分析等高級任務。當分析師的一天充滿更有趣的工作時，他們更有可能全身心投入，從而減少倦怠。
• 錯誤更少：人類會犯錯誤，尤其是在查看日志等手動任務中。雖然人工智能工具的“智能”程度取決于算法和用于算法的訓練數據，但它們通常能夠發現人類可能無法察覺的模式。這可以減少錯誤并防止可能導致違規或攻擊的問題。
• 更快地應對威脅：人類可能無法識別脆弱區域或反應較慢，而副駕駛則使用自動化技術立即做出反應并發送通知。副駕駛也不用上廁所或午休；他們總是“坐在辦公桌前”，從而縮短了響應時間。
• 減少員工短缺和技能差距的影響：當網絡安全職位無人填補或分析師不具備該職位所需的技能時，公司的風險就會增加。人工智能驅動的副駕駛可以通過承擔各種手動任務來幫助減少空缺職位，這意味著 SOC 的覆蓋范圍更大。

人工智能驅動的SOC副駕駛會取代人類嗎？

與許多人工智能工具一樣，副駕駛可以接管許多目前由人類完成的手動和重復性任務。然而，人工智能取代 SOC 中人類需求的擔憂不太可能成為現實。設置副駕駛來在沒有人類監督或干預的情況下運行可能是一個錯誤。但讓分析師和副駕駛一起工作的企業可以降低風險、提高響應速度和提高員工滿意度。

雖然副駕駛可以成為 SOC 的第一道防線，但公司應該設置新一代人工智能工具，以便人類仍然是最終的決策者。例如，分析師可以設置一個由人工智能驅動的副駕駛自動化系統，以根據設定的標準監控和確定警報的優先級。然而，隨著威脅行為者開始使用新策略，分析師可能需要更改標準以捕捉最新威脅。一旦副駕駛識別出高優先級警報，人類就可以要求該工具分析情況并提供建議的后續步驟。然后，分析師使用人類的判斷力在當時情況下做出最佳決策，并指示工具采取下一步行動，例如關閉系統或暫時使網絡離線。

在 SOC 中實施 AI 驅動的副駕駛

在將副駕駛付諸實踐時，請考慮從小規模開始，使用案例有限。許多組織使用商業產品開始，為將來創建專有工具留有余地。在 SOC 中創建耗時任務列表，尤其是那些容易出錯或讓分析師感到沮喪的任務，將有助于您確定從哪個用例開始。啟動該工具后，單個分析師可以收集反饋并進行更改。

一旦取得成功，您的團隊就可以開始將副駕駛的使用范圍擴大到其他分析師和用例。通過采取慎重的方法使用副駕駛并不斷征求分析師的反饋意見，企業可以在分析師和副駕駛之間建立合作關系，從而提高員工的工作滿意度，同時確保組織更加安全。