Gartner 預測，到 2030 年，75%的SOC團隊將依賴自動化和人工智能。當前，AI技術與安全運營的融合已成為行業趨勢，ISOC（智能化安全運營中心）成為未來安全運營的重要發展方向。在安全牛即將發布的《智能安全運營中心（ ISOC）應用研究報告》中，對ISOC的最新趨勢、技術框架、最佳實踐與案例等進行深入的研究。

其中，人工智能技術在安全運營中的廣泛應用，正在重塑安全分析師的角色和工作方式。人工智能并非萬能，安全運營的高效復雜性和對抗性決定了人類的經驗、直覺、判斷力和創造力依然存在。安全分析師需要與人工智能協同工作，才能充分發揮人工智能的優勢，構建更智能的安全運營體系。

安全牛認為，隨著人工智能技術在安全運營中心（ISOC）的深入應用，安全分析師的角色將從傳統的“規則工程師”、“告警分析師”擴展到“AI訓練師”、“AI監督員”和“安全策略架構師”。這不僅需要高效具備傳統的安全技能，還需要掌握人工智能相關的知識和技能。企業需要加強對安全分析師的培訓，幫助他們實現角色轉型，才能充分運用人工智能技術，構建更智能的安全運營體系。

1.AI訓練師

職責

負責AI模型的全生命周期訓練管理，包括數據準備、模型、模型調優、模型評估、模型部署和模型監控等，確保AI模型能夠在實際安全運營環境中發揮最佳效果。

應具備的能力

數據分析能力：

• 理解數據：能夠理解安全數據的含義、來源、類型、格式等，并識別出數據的潛在價值。
• 數據處理：掌握數據清洗、數據轉換、提取等數據挖掘技術。
• 數據標注：能夠對安全數據進行高精度的標注，例如標注不良樣本、識別錯誤報和漏報等，為AI模型提供數據。
• 數據分析：能夠利用數據分析工具，對安全數據進行探索性分析，發現數據中的模式和規律。

AI模型知識：

• 模型原理：了解常見人工智能模型（例如機器學習、深度學習、NLP、知識圖譜等）的基本原理、優缺點和適用場景。
• 模型選擇：能夠根據具體的安全運營場景和數據特點，選擇合適的AI模型。
• 模型調優：掌握AI模型的參數調優方法，例如網格搜索、隨機搜索、貝葉斯優化等。
• 模型評估：能夠使用合適的指標（如準確率、識別率、F1值、ROC曲線、AUC值等）對AI模型的性能進行評估。
• 模型部署：了解AI模型的部署方式，例如將模型部署到EDR、NDR、UEBA等平臺中。

AI平臺使用：

• 熟悉工具：熟練使用AI安全分析平臺、機器學習平臺、深度學習框架等工具；
• 模型訓練：能夠利用這些平臺和工具進行AI模型的訓練、調優和部署；
• 模型監控：持續監控AI模型的狀態；
• 模型更新：根據新的威脅數據和安全分析師的反饋，對AI模型進行更新和優化。

2.AI監督員

職責

負責監控AI Agent和AI驅動的安全平臺的運行狀態，審核AI的分析結果和決策建議，并在必要時進行人工干預，確保AI技術在安全運營中的應用安全、可靠、有效。

所需能力：

1）AI結果審核：

• 審核和確認：對AI模型的分析結果進行審核和確認，判斷結果的合理性和可信度。
• 誤報識別：能夠識別AI模型的誤報，并進行分析和處理。
• 漏報識別：能夠發現AI模型的漏報，并進行補充分析。

2）AI決策干預：

• 安全決策：能夠在緊急情況下快速判斷AI代理的決策是否合理，并在緊急情況下進行干預。
• 風險評估：能夠評估AI代理決策的潛在風險，并采取相應的措施進行控制。
• 人工接管：能夠在AI代理無法處理的復雜情況下，接管安全事件的處理。

3） AI安全與合規：

• 安全意識：關注AI技術在安全運營中應用的安全問題，例如數據隱私保護、算法偏差等。
• 合規意識：了解相關法律法規和行業標準，確保人工智能技術在安全運營中的應用符合合規性要求。
• 安全審計：能夠對AI的行為進行安全審計，發現潛在的安全風險。

3.安全策略架構師

職責

• 負責將AI能力與企業整體安全戰略相結合，設計和優化安全策略，并推動AI賦能的安全運營體系的持續改進。
• 所需能力：
• 安全戰略理解：深入理解企業的安全戰略和業務目標。
• 安全架構設計：將AI能力封裝到安全架構設計中，例如設計AI驅動的安全檢測、AI驅動的安全響應體系等。
• 安全策略制定：根據AI的能力和特點，制定和優化安全策略。
• 安全流程優化：將AI能力封裝到安全運營流程中，并進行流程優化。
• 溝通協調能力：與不同的團隊（如IT運維團隊、業務部門等）進行有效的溝通和協調，推動AI安全項目的落地實施。