生成式人工智能(GenAI)的快速应用与智能体人工智能(Agentic AI)的兴起,为安全团队提供了新机遇,使其能更好地领先于攻击。在全球的安全运营中心,各组织正迅速采用人工智能工具来辅助人类分析师、提升效率,并为更自主的安全运营中心(SOC)奠定基础。整个行业的关注点已从 “是否采用人工智能”(从行为人工智能、机器学习到生成式人工智能,再到如今的智能体人工智能)转向 “如何以最佳方式实施人工智能,实现最大影响”。
由 SentinelOne 委托、Informa TechTarget 旗下企业战略集团(Enterprise Strategy Group)开展的一项最新研究,揭示了各组织如何拥抱人工智能、对人工智能驱动的安全工具抱有哪些期望,以及为何人工智能被视为实现更自动化、更具弹性安全态势的关键。下面我们深入了解一下关键研究发现。
实际影响 | 人工智能正在发挥作用的领域
在安全运营中,仅生成式人工智能(GenAI)的应用就正以惊人的速度加速推进。该研究显示,96% 的安全运营中心(SOC)团队认为人工智能能够提升工作效率,近 70% 的组织计划增加对具备人工智能功能的安全工具的投入。
各组织已在多个安全应用场景中部署人工智能。早期采用者反馈称,他们将生成式人工智能驱动的解决方案用于威胁情报分析(50%)、工作流自动化(43%)、威胁狩猎与查询编写(35%)等任务。因此,安全运营中心团队不仅效率显著提升,其实时检测、调查和响应威胁的能力也在不断增强。
生成式人工智能(GenAI)的出现对安全团队意味着什么?人工智能并非要取代人类分析师,而是在帮助缓解工作负荷压力,使团队能够将重心从手动、重复性任务转向更高层次的战略工作。92% 的受访者认为人工智能改善了其整体安全态势,这凸显了人工智能在变革安全运营中心(SOC)团队运作方式上的潜力。
性能胜于承诺 | 为何人工智能的应用需要的不止是炒作
尽管人工智能备受追捧,但安全领域的领导者并未盲目跟风。研究发现,88% 的受访者表示,在考虑采用人工智能解决方案之前,要求其能无缝融入现有工作流程。
企业在评估人工智能驱动的工具时,还强调性能、可用性和隐私性。整个行业的企业都希望人工智能不仅能增强安全性,还能以符合风险管理最佳实践的方式实现这一目标。主要要求包括:
- 速度与响应能力
:分析师需要无延迟的实时协助。
-上下文感知推荐
:人工智能应基于威胁情报生成智能的、可操作的见解。
- 人工介入监督
:尽管人工智能可以加快决策速度,但安全领导者希望解决方案能让人类分析师保持控制权。
- 数据隐私保障
:企业要求人工智能系统不使用其敏感的安全数据进行训练。
数据还显示,“AI 洗白”(即供应商将解决方案定位为由 AI 驱动,过度承诺 AI 能力)仍是一大挑战。超过半数(55%)的安全专业人士表示,AI 洗白让他们更难做出明智决策,这凸显了市场对透明、可靠且能带来真正价值的 AI 解决方案的需求。
通往自主化安全运营中心(SOC)之路 | 人工智能是基石
该研究的一个重要结论是,各组织将人工智能视为通往更自主化安全运营中心(SOC)的桥梁 —— 在这一过程中,人工智能驱动的自动化技术旨在增强而非取代人类专业知识。尽管 90% 的受访者认同人工智能对实现更自主化的安全运营中心至关重要,但完全自主化仍需数年时间。在短期内,安全领域领导者认为,人工智能将自主承担更多操作性、劳动密集型的职责,而分析师则专注于战略规划、创造性问题解决和更深入的调查工作。最有效的人工智能解决方案通过提供可操作的情报、减轻警报疲劳并优化决策流程,为分析师赋能。
这一变革的核心在于从被动安全向主动威胁管理的转变。通过实现检测、调查和响应流程的自动化,人工智能使安全运营中心(SOC)团队能够在网络风险升级前预判并缓解风险。从生成复杂查询到加速威胁调查,人工智能驱动的自动化已在重塑安全运营。不过,安全领域领导者提醒,实现自主化安全运营中心是一个持续多年的过程,大多数组织仍处于这一转型的早期或中期阶段。
SentinelOne 的观点 | 塑造人工智能驱动安全的未来
在 SentinelOne,我们正基于生成式人工智能(GenAI)构建专为安全工作设计的智能体系统。借助 Purple AI,安全运营中心(SOC)团队不仅能进行指令输入,还能与一个受良好治理的安全人工智能合作 —— 它可代表团队进行推理、决策和行动。
Purple AI 之所以能实现这一点,源于其独特的训练方式:它以真实安全场景为基础,并融入了我们行业领先的托管检测与响应(MDR)团队的专业知识。我们的人工智能模仿分析师的思考、分类和响应逻辑,因此能提供具备上下文感知能力的高保真洞察,让分析师可信赖并快速采取行动。
与传统生成式人工智能工具不同,Purple AI 可在整个检测与响应周期中完成警报总结、呈现相关威胁情报、自动化执行常规任务等工作,在保留人工监督的同时,减少手动工作量和分析师疲劳感。
我们的人工智能旨在增强人类能力而非取代人类,通过智能自动化放大分析师的决策能力,为战略工作释放时间。这是实现自主化安全运营中心(SOC)愿景的基础性一步,其核心在于人类专业知识与可操作人工智能的协同增效。
展望未来 | 人工智能驱动的安全运营中心(SOC)正在成型
报告明确指出:人工智能在安全领域已不再是一个新兴概念,它正在重塑安全运营中心(SOC)团队的工作方式。各组织正迅速采用人工智能来提高效率、简化调查并强化安全态势。然而,他们也要求人工智能解决方案满足可用性和可靠性的高标准。
随着行业向更自主的安全运营中心迈进,生成式人工智能(GenAI)和智能体人工智能(Agentic AI)尤其将在增强人类专业知识、自动化常规任务和提升网络安全弹性方面发挥重要作用。未来不是要取代分析师,而是用人工智能赋能他们,让他们比以往任何时候都能更好地工作。
