指導智能體:為什么你的下一個安全雇員可能是算法
安全團隊正淹沒在警報中,威脅、可疑活動和誤報的數量之大,使得分析師幾乎不可能有效地調查所有內容,這時,出現了自主式AI,它能夠同時完成數百項任務而不會感到疲倦。
企業越來越多地采用自主式AI來處理重復的安全任務,如警報分類,從而讓人類分析師專注于最嚴重的威脅,但盡管自主式AI可能速度很快,但它并非萬無一失,它天生就不了解企業獨特的風險環境或安全優先級。
就像任何新員工一樣,智能體需要指導才能發揮效用,它必須被調整、監控和完善,以與企業的安全政策和運營工作流程保持一致。
安全運營的轉變并不是要取代人類分析師,而是要增強他們的能力。智能體就像一雙額外的手,能夠篩選數據并識別潛在威脅,然而,如果不加以控制,AI可能會強化錯誤的假設、誤解數據或產生誤導性的結論。
AI就像初級分析師:有能力,但需要培訓
網絡安全中的智能體與過去的傳統基于規則的系統不同。與基于劇本的自動化(遵循一組固定指令)不同,自主式AI是動態的——它會隨著時間的推移而學習、適應和完善其方法。
它不會盲目地執行預定義的規則,而是基于邏輯推理做出決策,分析龐大數據集中的模式以檢測可能表明威脅的異常,但這種靈活性也是一把雙刃劍。如果沒有明確的方向,AI可能會誤解信號、忽視關鍵上下文或強化錯誤的假設。
在許多方面,智能體就像一個非常聰明的初級安全分析師,但是,就像新入職的人類分析師在第一天不了解業務背景一樣,AI在沒有給出正確上下文的情況下,缺乏對企業風險承受能力、關鍵資產或內部工作流程的固有認識。如果不提供正確的上下文,它可能會標記出不重要的異常,同時錯過真正危險的威脅。
與初級員工一樣,自主式AI需要入職培訓、指導和定期反饋,以確保其決策與現實世界的優先級保持一致。安全團隊必須將AI視為一個發展中的分析師,而不是一個一次性使用的工具,它會隨著時間的推移而變得更加有效。
沒有這種指導,沒有業務背景的AI只是已經十分復雜的安全環境中又一個不可預測的變量。有了這種指導,AI將成長為一個值得信賴的伙伴,它永遠不會忘記細節,并且始終如一地應用企業的政策、做法和偏好。
建立自主式AI入職培訓流程
就像任何新團隊成員一樣,智能體在達到最大效能之前需要入職培訓。如果沒有適當的入職培訓,它們可能會錯誤地對威脅進行分類、產生過多的誤報或無法識別微妙的攻擊模式。這就是為什么更成熟的自主式AI系統會要求訪問內部文檔、歷史事件日志或聊天歷史記錄,以便系統可以研究它們并根據企業情況進行調整。
歷史安全事件、環境細節和事件響應手冊可作為培訓材料,幫助AI識別企業獨特安全環境中的威脅,或者,這些細節也可以幫助代理系統識別良性活動。例如,一旦系統了解了允許哪些VPN服務或哪些用戶被授權進行安全測試,它就會知道將與這些服務或活動相關的某些警報標記為良性。
上下文是關鍵,智能體可以輕松訓練以了解業務特定的風險因素:哪些資產最關鍵,哪些用戶擁有高級權限,哪些行為應被視為安全而非可疑。還應將其配置為遵循既定的調查工作流程、升級程序和報告結構,以確保其決策與安全團隊的操作保持一致。當得到適當的調整和配置時,自主式AI不僅處理警報,它還能做出明智的、基于上下文的決策,增強安全性,而不會增加不必要的噪音。
指導AI進行持續改進
調整AI不是一次性事件,而是一個持續的過程。就像任何團隊成員一樣,自主式AI的部署通過經驗、反饋和持續改進而得到優化。
第一步是保持人類參與的監督,就像任何負責任的管理者一樣,安全分析師必須定期審查AI生成的報告,驗證關鍵發現,并在必要時完善結論。AI不應作為黑箱操作,其推理必須是透明的,以便人類分析師了解決策是如何得出的。
要明白錯誤在所難免,誤報和漏報是不可避免的,但安全團隊如何處理它們決定了AI是變得更智能還是停滯不前。分析師必須介入,糾正AI的推理,并將這些見解反饋給系統。
大多數自主式AI系統都接受覆蓋和更正以完善其推理。隨著時間的推移,這種迭代過程提高了AI減少噪音的能力,同時提高了系統在識別真正威脅方面的準確性。
當將AI視為學習系統而不是萬無一失的神諭時,它就不僅僅是一個工具,而是網絡安全中的合作伙伴。投資于調整其AI的團隊將減少警報疲勞,并建立能夠不斷適應新威脅的安全運營。
AI與人類協作:SOC工作的未來
安全運營的未來不是要在AI和人類分析師之間做出選擇,而是要利用兩者來構建更強大、更具可擴展性的安全運營中心(SOC)。分析師將過渡到監督和戰略角色,而AI將承擔起調查每個警報、查詢日志以回答問題并將所有內容整合到報告中的繁重工作。
安全專業人員將不再被重復的警報分類工作所困擾,而是將精力集中在監督智能體和需要人類判斷和精細技巧的項目上。這一轉變將提高效率,并使安全團隊能夠變得更加主動,將更多時間花在威脅建模、攻擊面管理和長期風險降低上。
為了迎接這個AI增強的未來,企業必須學會管理和微調自主式AI系統。分析師必須培養AI監督的新技能,使用自然語言提示來調整AI行為,并進行調查審計,確保AI成為可靠資產而不是負債。
未來的網絡安全職位描述將反映這一演變,要求具備威脅檢測方面的專業知識以及監督和完善AI驅動的安全工作流程的能力,就像SOC經理一樣。那些適應這一新現實的人將創建一個不僅更快、更高效,而且更具彈性的安全運營。
