从SOC诞生伊始,AI一直就扮演了重要作用。正如《》所详细分析的,当AI发展到了GenAI和Agentic AI阶段后,因其特有的普适性、普惠性、自主性、协作性,以及让知识价值快速释放的特性,给SOC带来了重大机遇。尤其是Agentic AI的工作过程完美契合了安全运营的流程型任务处理过程,并能够更加智能地对分散安全机制进行编排调度,使得其成为了重塑SOC,尤其是支撑SOC的安全运营平台的关键力量。从刚刚结束的RSAC2025大会上,也可见一斑。缺乏实战:名为安全运营,实际上更多是安全分析,偏重面向专家用户的功能设计,缺乏面向广大运营人员的功能设计,导致安全运营平台的易用性很差,实战化程度不够
数据过载:大数据技术的加持,带来了数据沼泽,大量的告警和事件积压,真假难辨,误报频频,负责研判和响应处置的运营人员不堪重负,极易产生工作疲劳,运营效果大打折扣。
自动化水平偏低:当前以SOAR为基础的响应自动化对于缓解运营疲劳作用有限,囿于用户运营流程不健全,剧本开发成本高、剧本适应性低,运营自动化难以普及
智能化程度有限:现有的智能化更多应用于分散的安全运营功能点,对于整体的安全运营过程还是以人的智力为主,对人的要求依然很高,距离安全运营者的期望始终存在较大差距【参见注1】
运营价值难以体现:SOC建设的价值如何?平台虽有大量数据,但都是安全数据,缺少运营过程数据,安全运营自身的数字化水平不足
定制化能力非常薄弱:安全运营平台的可定制性和可扩展性不够,要么无法定制,要么定制周期过长、成本过高,导致安全运营的实际使用落后于不断增长的安全需求和持续变化的对抗形势。
AI有助于缓解上述部分挑战,但并不能从根本上扭转局面。很显然,AI是赋能者,是加速装置,是倍增器,但并非不可或缺,我们还需要找到安全运营平台的原动力(原力),并激活它。2012年,Gartner发布了一份名为《信息安全正在成为大数据分析问题》的报告,揭开了数据驱动安全时代的序幕。也就是从那时起,确认了数据是驱动安全运营的一个原动力。从技术层面看,安全运营的本质就是将海量的、分散的多元异构安全数据变成安全洞察、形成决策,并付诸行动的过程。当前,安全运营平台的数据技术架构已经完全基于大数据技术。但随着安全建设的不断深入,尤其是数据驱动的GenAI的引入,现有的安全数据技术架构再次遇到瓶颈,数据驱动正在变成垃圾驱动,数据驱动安全面临挑战,譬如:边缘检测的兴起引发的数据引力(Data Gravity)问题,以及由此导致的数据移动与集中的代价越来越大;一个单位内不同作用的安全运营/态势感知平台越来越多导致的数据分散问题;新的数据不断涌现,数据关系越发复杂,囿于现有的数据驱动架构,情境数据难以利用,数据价值难以释放。更重要的是,GenAI本身就是建立在数据之上的,没有好的数据,GenAI也难以奏效。应该说,数据驱动这个古老的原力依然有效,但现在的数据驱动遇到了困境,需要革新后重装上阵。只有采用全新的数据架构,才能重新激活数据这个原力,让安全运营平台重新焕发活力。那么,这个全新的数据架构是什么?在《》一文中,笔者提及了数据管道(Data Pipeline),并详细阐释了数据管道对于重塑和盘活整个安全运营平台的作用和价值。这里,笔者需要进一步指出,仅仅依靠数据管道还不够,新的数据架构还需要全新的数据治理能力。除了数据驱动,安全运营平台还有其它原力吗?显然,数据不是唯一的原力。让我们把目光转向安全运营/SOC的三要素(技术、流程、人员/组织),并再次思考“运营”(Operations)这个词。什么是运营?如果说运营是数据驱动的过程,那么这个过程就是一个流程牵引的过程!一项项安全运营的工作和任务最终必定转化为一个个安全运营的流程、规程和标准操作步骤。因此,流程驱动是数据驱动之外的安全运营的另一个技术本质,流程就是那个被人忽略的驱动安全运营的古老原力!长久以来,流程就游离于技术平台之外。传统上,安全运营平台就是安全运营技术的集成平台和人员的操作平台,但流程更多是凝聚于人脑之中,人手之上,所谓“操之在你”。平台如何使用,用的好坏,取决于“你”,导致平台的实战性不够,易用性不够,阻碍了平台的发展。必须看到,真正闭环的安全运营过程是数据驱动和流程驱动叠加的结果。安全运营平台除了需要数据驱动,还需要流程驱动。必须将战术性流程落实到安全运营平台之中,辅助运营人员以流程为牵引,串接起各种平台的能力和安全防御体系中分散的能力,完成既定的安全运营任务。唯有如此,才能进一步发挥Agentic AI的作用。当前,很多安全运营平台引入了SOAR,初步实现了流程技术在平台中的落地。但这还不够,因为SOAR实现的流程自动化更适合于机机流程,而不适合于人人流程和人机流程。外挂的ITSM模式也不是长久的解决之道。我们需要全面梳理安全运营的组织和流程,然后建立一个全新的、基于编排的安全运营平台流程架构。如前所述,数据驱动和流程驱动是安全运营平台的两个原力,即两个技术本质。同时,一个闭环的安全运营平台一定是二者互相依赖,互为驱动的。如下图所示,展示了两大原力之间的转化关系。其中,数据是安全运营的力量源泉,在数据的驱动下,源源不断地发现问题、分析问题、解决问题、总结问题。流程是安全运营持续运转的纽带,连接人、运营工具与平台、网络安全防御设施,实现协同防御、联防联控。
现有的数据架构和流程架构不足以继续推动安全运营平台前进,未来的SOC需要新的平台,新的平台需要新一代的数据架构和流程架构。
同时,在AI的赋能和加持之下,新的数据架构和流程架构的价值将进一步释放。现在,我们找到了安全运营的两大原力,也知道需要用全新的架构让原力重新觉醒,并且AI作为助推器,去赋能原力,让原力加倍释放。同时,在构建全新安全运营平台时,必定涉及到大量的功能设计,除了要继续让AI赋能,还应该遵循什么样的核心功能设计理念呢?是的,我们还需要重新确定安全运营平台的核心设计理念。保持关注,请继续随我一起,驶入AI赋能的SOC新时代,重新定义安全运营平台!智能SOC(或者说智能安全运营平台)很早就被提出来了。早在2015年,Gartner就发表过智能SOC(ISOC)的报告,指出要利用高级安全分析来落地智能化SOC。国内的绿盟科技在2020年也提出了,并发布了一套智能安全运营技术体系。后面几年,也陆续有厂商发布了AISecOps理念的产品。但是,所有这些概念和产品离真正的安全智能还有差距。直到2023年初GenAI在安全运营领域的引入,以及Agentic AI时代的到来,安全运营才真正迎来了AI应用的拐点。因此可以说,新一代安全运营平台(或AI SOC)的判定标志之一就是是否采用了Agentic AI技术。重塑安全运营平台的进程始于2023年,是一个必然的演进过程。因此,要想完整理解这个进程,就应该从2023年的业界发展进程开始去探究。
还没有评论,来说两句吧...