本文来自微信公众号“数世咨询”。
#01
Gartner预计,到2028年包括EDR、XDR、SIEM和SOAR等技术在内50%的威胁检测与响应平台将集成AI Agent,而2024年这一比例不到10%。
#02
埃森哲分析师表示,组织已经在低层SOC任务中看到了约40-50%的效率提升,从而让人类分析师能够专注于更高级的调查和响应活动。
#03
人类决策是必需的。除非机器决策的误差范围接近零,否则全自动化会带来很大的商业风险。
▍以下正文内容基于英文原文编译,可能存在语义偏差,请以原文为准。
以下为正文
人工智能正在迅速重塑安全团队检测和狩猎网络威胁的方式——帮助分析海量安全数据、发现恶意活动的微妙迹象,并以远快于传统工具或人类分析师的速度识别潜在攻击。
分析机构Gartner预计,到2028年,50%的威胁检测、调查与响应(TDIR)平台——包括EDR、XDR、SIEM和SOAR等技术——将集成AI Agent能力,而2024年这一比例还不到10%。Gartner表示,AI可以帮助组织加强威胁检测、事件响应和遏制,同时帮助安全团队弥补持续存在的技能缺口,减少对稀缺网络安全人才的依赖。
规模问题
安全专家普遍认为,AI在威胁检测中的核心价值在于处理遥测数据的能力——规模之大,人类团队根本无法管理。
现代IT环境每天可以在端点、网络、云服务和身份系统之间生成数十亿条日志和事件。机器学习模型能够近乎实时地关联这些信号,识别异常行为——比如异常的登录模式、可疑的横向移动或数据窃取尝试——这些迹象原本很可能淹没在海量噪音中。
许多企业安全团队预计,这类能力将显著增强他们的检测能力。在Anvilogic与SANS Institute合作开展的2025年调查中,45%的受访者表示其组织已将AI集成到威胁检测工作流程中;88%认为AI在未来三年内将在检测工程领域扮演核心角色。
Accenture高级技术与安全架构师Martin Sordilla指出,组织已经在用AI自动化传统上一级和二级分析师承担的日常任务,包括日志审查、警报分诊、妥协指标识别、事件关联,以及调查期间联系系统所有者。他补充道,AI能显著加速这些过程——自动完成警报分诊、文档编制、证据收集和监管链跟踪等任务。
Sordilla透露,组织目前在低层SOC任务中已实现了约40-50%的效率提升,这让人类分析师能够专注于更高级的调查和响应活动。
减少警报疲劳
Black Duck首席产品和技术官Dipto Chakravarty补充说,在警报分诊环节,AI Agent正通过聚合警报模式并实现基于风险的优先级排序来缓解警报疲劳。
比如,自然语言处理代理可以大规模汇总威胁警报,并将其与CVE.org和CISA KEV目录等威胁情报源进行关联。
他说:"通用事件响应工作流程是AI代理的主要受益者之一,我们看到了常见事件自动播放列表的实际价值。"
AI代理还在大规模丰富威胁情报方面发挥着作用——摄取并关联来自无数来源的威胁情报,再用CVE数据等增值上下文丰富这些警报。
Databee首席执行官Nicole Bucala指出:"现在的AI代理能有效地加速从有组织和规范化数据集中提炼洞察。"它们省去了这类任务通常需要的专门查询、分析仪表板或手动分析。
启用AI的检测平台不再用成千上万条低置信度警告淹没分析师,而是能够对警报进行评分和关联,将相关活动归类为更高精度的incidents,并过滤掉常规或良性行为。供应商和安全专家表示,这样做减少警报疲劳,让分析师的工作流程从手动分诊转向更深层次的调查和响应。
Ontinue首席安全官Craig Jones认为:"AI正在帮助SOC摆脱'活动剧场',将原始噪音转化为更快、更高置信度的循证决策。"
Jones指出,SOC倦怠是个现实问题。行业内导致倦怠的主要原因是警报数量过多、信息碎片化,以及指向不明——这些压力对任何规模化运营的团队都存在。分析师常常发现,自己一天大部分时间都在处理大量警报却信号极低,然后又得在多个工具之间来回切换,才能拼凑出调查的基本信息。
更早遏制威胁
Jones认为,AI的真正价值不在于处理更多警报或关闭更多工单,而在于更快、更少犯错地遏制真实威胁。
"当AI被用来将弱信号关联为连贯的incidents、自动丰富调查,并在明确护栏内推荐安全的下一步行动时,你就不再只是衡量工作量,而是开始证明成果。"他解释道。
安全专家预计,AI将改变安全团队所需的技能。Accenture的Sordilla表示,AI不会取代人类工作,而是帮助安全团队自动化日常任务,并将角色转向工程和系统设计。传统的SOC分析师角色——严重依赖手动日志审查——可能会演变为专注于构建弹性系统、自动化管道和AI辅助防御的安全工程角色。
早期数据表明,在检测工程中部署AI的组织正在看到可衡量的收益。在Google对3,466名高级领导者开展的一项研究中,67%率先采用AI Agent的受访者表示看到了对其安全态势的积极影响。在这一群体中,85%认为AI改善了其威胁识别能力。Google指出,AI的早期采用者不仅在效率方面看到了可量化的收益,在实际效果上也是如此。
与此同时,专家警告说,AI驱动的检测并非银弹。对手正在越来越多地自己尝试使用AI——用它来生成更可信的钓鱼活动、自动化侦察,或修改恶意软件以逃避基于签名的防御。这种博弈正在推动防御者将AI不仅仅视为另一种安全工具,而是视为安全运营更广泛演进的一部分——在这一演进中,人类专业知识、威胁情报和机器学习必须协同工作。
Acalvio首席执行官Ram Varadarajan表示:"网络攻击已经以机器速度工业化。我们需要做出相应的回应。"
这意味着部署防御性AI来处理高容量的技术任务:对钓鱼邮件进行分诊、分析大规模网络日志以发现行为异常、部署AI感知的网络欺骗,以及自主隔离受损端点以防止横向移动。
他指出:"当对手是机器速度的AI攻击者时,没有任何人类能跟上,而这些复杂的AI攻击将大规模发动。"
正确实施AI
Databee的Bucala认为,在威胁检测中从AI获取最大价值的关键是确保人类参与。任何基于AI洞察的威胁发现或由此产生的修复操作,特别是那些对业务运营有重大影响的操作,至少应保持在人类监督之下。
"人在循环中是基本原则,"她说。"除非机器决策的误差范围接近零,否则全自动化会带来很大的商业风险。"
尽管AI在威胁检测中显示出了前景,但它仍需要改进。Bucala指出,对组织而言,最佳实践是建立包含人类验证的流程,由具备足够注意力和上下文的人类来抽查AI汇总结果和决策。
Accenture的Sordilla补充道,AI不能替代基本的安全卫生。如果一个组织已经有薄弱的安全实践,AI可能只是加速现有问题。因此,公司应该在将AI引入安全计划之前,首先确保自己有强有力的治理、清晰的安全标准和成熟的过程——比如NIST和国际标准化组织框架中概述的那些。
"AI是力量倍增器,"Sordilla警告说。"如果你的公司走错了方向,错误地部署AI只会让你更快地走向深渊。"
*本文为泽钧编译,原文地址:
https://www.csoonline.com/article/4154239/how-ai-is-transforming-threat-detection.html
