agentic AI 在安全运作中可能带来的影响

摘要：如今的安全运作中心（ SOC ）正面临多重围攻——不仅来自外部对手，还来自自身生态系统内部。安全团队不堪重负，警报不断涌来，还得应付各种零散工具，并且苦于应对日益迅速的现代威胁。传统的分级检测与响应模式——由人工分析师在各个层级对警报进行分流处理——已经到了极

如今的安全运作中心（ SOC ）正面临多重围攻——不仅来自外部对手，还来自自身生态系统内部。安全团队不堪重负，警报不断涌来，还得应付各种零散工具，并且苦于应对日益迅速的现代威胁。传统的分级检测与响应模式——由人工分析师在各个层级对警报进行分流处理——已经到了极限。

结果就是：疲劳、低效率以及检测与响应之间日益扩大的鸿沟。对于从事网络安全工作的人来说，这一切都不足为奇。

然而，agentic AI 的前景已经显现出可能成为转折点。这类新兴的人工智能不仅仅是传统的自动化和机器学习。它旨在自主运行，从历史背景中学习，并做出决策，从而减轻人工分析师的工作负担——同时又不会将 SOC 变成一个不透明的黑盒子。

问题来了：agentic AI 只是最新的流行语吗？抑或它真有可能彻底重塑安全运作的运作方式？

从噪音走向清晰

当今的 SOC 面临着数量上的问题。据 2024 MSSP Market News 的一项研究显示，SOC 团队平均每天收到近 4,000 个警报，其中近三分之二被忽略。许多警报是误报或重复警报，但分流工作依然消耗了宝贵的分析师时间。传统的 SOAR 工具曾承诺通过自动化带来缓解，但大多数工具除了工作流票据管理和基础编排外，基本未能提供更多帮助。

我近期与 ReliaQuest 首席执行官 Brian Murphy 交流了这些挑战。他解释道，“SOAR 真正的功能只不过是一个票据工作流分发器。它实质上是将一个流程从一个团队转移到另一个团队的工具。大多数客户之所以使用它，正是因为利用它实现真正的自动化太困难。”他还提到，在最近一次与数百位客户的会议中，几乎所有客户都有 SOAR 解决方案，但只有三家运行了两个以上真正的自动化程序。

这种断层正是 agentic AI 所旨在解决的问题。

agentic AI 有何不同？

德勤技术、媒体与电信中心的一篇文章解释说，“顾名思义，agentic AI 拥有‘能动性’：即自主行动以及选择采取何种行动的能力。能动性意味着自治，即独立行动和决策的能力。当我们将这些概念扩展到 agentic AI 上时，可以说它能够独立规划、执行并实现目标——从而变得‘能动’。这些目标由人类设定，但代理体决定如何实现这些目标。”

不同于静态的行动手册，agentic AI 系统是动态的。它们不仅能够接收数据，还能从历史事件、分析师反馈以及环境背景中持续学习。它们可以从各个系统（端点、网络、身份、威胁情报）中提取遥测数据，并综合处理这些信息，以实时且透明的方式做出决策。

Murphy 强调，在 ReliaQuest 的 GreyMatter 平台中，agentic AI 并不是在幕后默默运作。它做出的决策可供分析师审查、审计和调整。“我们 AI 的另一个特点是对客户完全透明，”Murphy 说，“客户可以看到 agentic 模型在决策过程中所做的每一个决定及其原因。每个客户实际上都在以一种受保护的方式训练他们自己的模型。”

在一个本就对将太多控制权拱手相让保持高度戒备的行业中，这一点尤为关键。虽然 agentic AI 能够在常规操作上独立行动——例如基于异常旅行模式解决警报或为已离职员工重置账户——但在风险较高的决策上，它仍应服从人工监管。

疲劳、分级模式以及“一级响应”的终结

或许支持 agentic AI 的最有力论据并非技术本身，而是其对人类的影响。网络安全领域的疲劳感是真实且不断加剧的。其中一个主要原因便是对一级警报的重复、脱节操作的机械处理，而这些警报往往重复且价值不高。

Murphy 毫不客气地指出，“我们应停止让人来处理一级警报，也应停止让人来处理二级警报。”他认为 AI 应该承担起繁琐的工作——例如提取日志、交叉比对 IP、分析用户行为背景——从而让人类得以专注于做出更有意义的决策。

这一影响深远：取消传统分级模式不仅能腾出时间以降低疲劳，还能培养出更多具备战略眼光、了解业务的安全专业人才。而这反过来又能整体上强化安全方案，使团队有更多余地去侦查威胁、分析风险趋势并构建跨部门领导力。

不是替代，而是重启

尽管自治能力正在加速发展，Murphy 表示 agentic AI 并非用来裁员。网络安全的需求远远超过了大多数安全团队的处理能力。它的愿景是提升技能水平、弥补操作空白，并在现有基础上创造更多容量。

他说：“我们距离看到因采用这种技术而减少职位还很遥远。实际上，这将为我们培养安全领域的领导者、让网络安全团队有更多时间去了解业务和自我提升提供契机。”

换句话说，目标不是使用更少的人力，而是实现更智能的工作方式。

更大的图景

ReliaQuest 最近完成了 5 亿美元的融资，使公司估值达到 34 亿美元，这表明投资者对这一新模式寄予厚望。该公司目前为超过 1,200 家企业客户提供服务，年经常性收入超过 3 亿美元，并正以计划上市为目标稳步增长。与许多同行不同的是，它不仅实现了盈利，还在不断将收益再投资于产品创新和全球扩张，而不仅仅是销售。

不过，虽然 ReliaQuest 可能走在了前沿，但这一趋势已经席卷整个行业。首席信息安全官（ CISO ）越来越倾向于优先考虑能够减少威胁潜伏时间并提升分析师效率的 AI 驱动平台，同时避免进一步碎片化工具体系。

风险不在于 agentic AI 会接管一切，而在于那些忽略它的组织可能会被远远甩在后面。

结论

agentic AI 可能并非能解决所有 SOC 问题的灵丹妙药，但它确实向安全专业人士多年来一直渴求的目标迈出了坚实的一步：可见性、速度以及理智。如果它能兑现哪怕部分承诺——减少误报、快速遏制威胁、缓解分析师压力——那它很可能预示着网络安全运作进入一个更智能、更可持续的新时代。

归根结底，这不仅仅关乎取代人力，而是赋能于他们——提供时间、工具和清晰的视野。

来源：至顶网一点号

标签： soc agentic agenticai murphy 分

本文地址：https://news.43u.com.cn/a/1287095.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!