AI 速度下的网络安全：代理 AI 如何在 2025 年为 SOC 团队提供强大支持

安全运营中心 (SOC) 正受到新一波自动对抗性攻击的围攻。这些攻击以前所未有的速度传播，并且事实证明难以检测、破译和防御。

随着对手实现突破时间仅需两分零七秒，这不是 SOC 是否会受到攻击的问题，而是何时受到攻击的问题。和77%的企业已经成为对抗性人工智能攻击的受害者。 

对于 SOC 来说，要保护自身及其公司基础设施，速度至关重要。

输入代理人工智能

Agentic AI 帮助 SOC 自动化决策、适应不断变化的威胁并简化工作流程，包括警报分类和事件响应。事实证明，它可以识别风险，同时减少跟踪风险所需的人工工作，从而有效提高效率并增强安全性。

为 SOC 提供代理 AI 解决方案的领先网络安全提供商包括 Arcanna.ai、Cato Networks、Cisco Security Cloud、CrowdStrike（采用 Charlotte AI 的 Falcon 平台）、Dropzone AI、Google Cloud Security AI Workbench、Microsoft Security Copilot、Palo Alto Networks 和 Zscaler。

– 当今网络攻击的速度要求安全团队快速分析大量数据，以便更快地检测、调查和响应。对手们正在创造记录，突破时间只有两分钟多一点，没有任何拖延的余地。”乔治·库尔茨 (George Kurtz)，总裁、首席执行官兼联合创始人群众罢工，在最近的一次采访中告诉 VentureBeat。

规划 SOC 团队和代理 AI 相辅相成

对于任何代理 AI 或更广泛的 SOC AI 实施要取得成功，中间人工作流程至关重要。Gartner 最近的报告，-预测 2025 年：永远不会有自主 SOC，强化了 VentureBeat 对 SOC 如何试点和采用代理 AI 以及更广泛的 AI 应用程序和平台的观察。“安全领导者和高级运营人员需要确定以人为主导的 SOC 职能在哪里持续存在，以及如何将 SOC 分析师转变为需要更多人参与决策的角色，”Gartner 建议。 

该报告预测，到 2026 年，人工智能将使 SOC 效率比 2024 年提高 40%，开始将 SOC 专业知识转向人工智能开发、维护和保护。

为了有效地集成代理人工智能，SOC 需要一个清晰的框架来平衡技术与人类专业知识。下面的 Gartner 扩展 SOC 模型说明了角色、能力和目标如何协调一致以提高效率和适应性。

SOC 挑战是代理 AI 的完美用例

如果 SOC 想要有机会阻止入侵或破坏尝试，那么他们需要与攻击者的速度和洞察力相匹配的代理 AI。

许多 SOC 人手不足。许多人还发现，理解遗留安全信息和事件管理 (SIEM) 系统中的数据具有挑战性，这些系统缺乏可视化技术或使用图形数据库来映射威胁的能力。

需要超越列表思考，更多地用图表思考，就像攻击者在计划破坏时所做的那样，这是几个因素之一推动强大的图数据库军备竞赛整个行业。

SOC 团队努力跟上警报、误报和持续维护工作的洪流，每天面临以下挑战：

遗留系统使 SOC 面临日益增长的人工智能威胁。SOC 仍然受到过时的 SIEM 系统、传统端点检测和响应 (EDR)、防火墙和入侵检测系统 (IDS/IPS) 的困扰，这些系统无法应对人工智能驱动的威胁的速度和复杂性。什洛莫·克莱默，首席执行官卡托网络，在一次采访中告诉 VentureBeat最近的采访, – 组织面临的最大威胁是其安全基础设施的复杂性。点产品在其安全态势中造成了差距，使它们成为威胁行为者的主要目标。”Kramer 补充道，“在未来五年中，我看到网络威胁在三个方面不断发展：战术上、人工智能与人工智能之间的战斗;运营上，通过基础设施的复杂性；从战略上讲，是由地缘政治冲突决定的。依赖分散的遗留工具的组织将难以防御这些不断升级的威胁。”

长期的警觉疲劳会导致错过入侵尝试和人员流动率高。SOC 分析师很难跟上来自其中心多个传统 SIEM 和 SOAR 系统的数千个警报、误报和不兼容的报告。CISO 报告称，每天都会在其运营中心的广泛系统基础上看到多达 10,000 个事件。他们质疑，当人工智能已经证明自己有能力检测异常事件时，分析师的时间去发现三四个真正的威胁是否是最好的选择。

组织面临关键 SOC 角色的人员短缺。对于许多企业家来说，仅靠内部人才来扩展 SOC 团队几乎是不可能的。虽然从外部招聘始终是一种选择，但 SOC 团队需要对其团队的持续培训和职业发展进行投资，以保留业务专业知识，同时加强网络专业知识。 

日益增长的安全数据风险浪潮可能会压垮 SOC 团队。Kurtz 在最近的一次采访中回应了这一挑战的严重性，“安全方面的主要问题之一是数据问题，这也是我创办 CrowdStrike 的原因之一。”这就是我创建我们所拥有的架构的原因，而 SOC 团队要整理如此大量的数据和卷以发现威胁是极其困难的。

代理人工智能正在发挥影响力

代理人工智能最显着的回报将来自于增强 SOC 分析师和团队的日常任务自动化能力，同时为他们提供更多尖端的智能工具来学习。

VentureBeat 发现代理人工智能正在影响以下领域：

对于最常规、重复性的任务，大规模提高效率。代理人工智能试点和生产系统通过大规模自动化日常任务来提高效率。Vasu Jakkal，微软公司副总裁，在最近的一次采访中与 VentureBeat 分享她的公司完成的关于安全副驾驶生产力提高的研究结果。– 研究表明，使用 Security Copilot 的早期职业专业人员的速度提高了 26%，准确度提高了 35%。使用该工具的经验丰富的专业人士的速度提高了 22%，准确度提高了 7%，其中 90% 的人表示希望再次使用它，”Sakkal 说。

实时威胁检测、分析和情报，同时还发现海量数据集中的异常情况。代理人工智能应用程序和支持它们的平台可以有效地识别人类可能错过的潜在威胁和异常情况。人机交互设计有助于保持代理人工智能模型不断学习和微调其识别威胁的能力。

帮助 SOC 加快事件响应。每个代理人工智能应用程序、系统和平台的设计核心是能够实时识别和隔离关键事件响应任务，以更快地修复威胁。VentureBeat 最近采访了扭矩首席技术官 Leonid Belkind 介绍了他公司的多代理系统，他将其描述为“通过将复杂的工作流程分解为由专用代理处理的专门的、互连的任务来改变 SOC 操作。这种方法可确保准确地对每个警报进行分类、调查和解决，从而减少人为错误，并使 SOC 团队能够有效地扩展运营。

持续学习。Agentic AI 加强了 SOC 中的检测工程，其中系统大规模分析大型威胁情报数据集。法学硕士正在接受培训，帮助安全团队区分真正的威胁和误报，提供实时的上下文见解，从而节省 SOC 分析师的宝贵时间。VentureBeat 了解到，这些功能正在推动威胁响应的显着改进。

Agentic 人工智能的成功完全依赖于人类协作

——这不是要取代人类；而是要取代人类。这是关于增强人类能力，”Elia扎伊采夫CrowdStrike 的首席技术官在一次采访中告诉 VentureBeat早些时候的采访。——这就是人工智能辅助人类，我认为这是一个非常关键的概念……我认为技术领域的人太多了——我会以首席技术官的身份这么说，我应该一切都与技术有关——有时过于关注想要取代人类。我认为这是非常误导的，尤其是在网络领域。”