Khi một nhà cung cấp nói “Được hỗ trợ bởi trí tuệ nhân tạo” SOC, " Chúng có thể ám chỉ bất cứ thứ gì, từ một mô hình học máy cơ bản được huấn luyện dựa trên dữ liệu cảnh báo trong quá khứ đến một tác nhân hoàn toàn tự động có khả năng phân loại, điều tra và phản hồi mà không cần sự can thiệp của con người. Cả hai đều được tiếp thị giống hệt nhau.
Hầu hết những gì hiện đang được bán dưới dạng “AI SOC đại lý" thuộc một trong ba loại, và chỉ có một trong số đó xứng đáng với nhãn hiệu đó. Đầu tiên là chatbot có giao diện bảo mật. Đó là một mô hình ngôn ngữ lớn (LLM) được kết nối với hệ thống của bạn. SIEM Nó có thể trả lời các câu hỏi bằng ngôn ngữ tự nhiên về các cảnh báo. Nó không thực hiện hành động, không suy luận thông qua các bước điều tra phức tạp và không học hỏi từ môi trường của bạn. Nó là một giao diện truy vấn, không phải là tự động hóa.
Thứ hai là một công cụ tạo kịch bản tĩnh được gắn mác AI. Các quy trình làm việc tự động và kịch bản phản hồi thực sự có giá trị, nhưng một số nhà cung cấp chỉ đơn giản là đổi tên hệ thống tự động hóa hiện có của họ thành "tác nhân" vì các kịch bản giờ đây bao gồm một bước LLM tạo ra bản tóm tắt ở cuối. Sự điều phối là có thật. Nhưng nhãn "tác nhân" thường không đúng sự thật.
Thứ ba là tự động hóa tác nhân thực sự, một hệ thống có thể phân tích tín hiệu trong ngữ cảnh, liên kết chúng trên nhiều lĩnh vực, ưu tiên những gì quan trọng và kích hoạt các hành động phản hồi trong phạm vi an toàn đã định, đồng thời vẫn giữ sự tham gia của con người trong các quyết định rủi ro cao.
Đây mới chính là ý nghĩa thực sự của marketing. Một số nền tảng đã xây dựng điều này trong nhiều năm dựa trên dữ liệu thống nhất, nhưng hầu hết các nhà cung cấp tham gia xu hướng này đều đang gán nhãn "marketing" một cách gượng ép cho các kiến trúc vốn không được thiết kế cho mục đích đó.
Năm câu hỏi vạch trần phần mềm ảo
Trước khi mua bất kỳ sản phẩm nào có ghi "trợ lý AI" trên hộp, hãy tự hỏi năm câu hỏi này. Câu trả lời sẽ cho bạn biết liệu đó có phải là khả năng thực sự hay chỉ là chiêu trò tiếp thị.
1. Liệu nó có thể làm được nhiều hơn là chỉ tóm tắt?
Một chatbot tóm tắt cảnh báo rất hữu ích, nhưng đó chỉ là điều kiện cơ bản. Câu hỏi thực sự là liệu AI có thể liên kết các tín hiệu giữa các lĩnh vực, ưu tiên các trường hợp theo mức độ rủi ro và làm nổi bật toàn bộ ngữ cảnh mà nhà phân tích cần để hành động hay không. Nếu "trợ lý ảo" chỉ đơn thuần nhắc lại những gì bạn đã nói... SIEM Tôi đã nói với bạn rồi, việc này không làm giảm khối lượng công việc.
2. Liệu nó có hoạt động trên toàn bộ hệ thống của bạn không?
Hầu hết các "tác nhân AI" chuyên dụng của từng nhà cung cấp chỉ nhìn thấy dữ liệu từ sản phẩm của chính họ. Nếu AI của bạn có thể phân tích cảnh báo điểm cuối nhưng lại không nhận biết được lưu lượng mạng, sự kiện nhận dạng và dữ liệu đo từ xa trên đám mây, thì nó chỉ giải quyết được một phần nhỏ vấn đề. Các mối đe dọa thực sự không tôn trọng ranh giới của nhà cung cấp, và hệ thống tự động hóa của bạn cũng không nên như vậy.
3. Nó có thể giải thích lý do của mình không?
Nếu hệ thống AI của bạn đánh dấu một sự cố là nghiêm trọng nhưng không thể cho bạn thấy chuỗi bằng chứng dẫn đến kết luận đó, thì các nhà phân tích của bạn không thể xác minh và các kiểm toán viên của bạn không thể xem xét nó. Một hộp đen chỉ biết nói "hãy tin tôi" thì không thể hoạt động hiệu quả.
4. Điều gì sẽ xảy ra khi nó sai?
Mọi hệ thống AI đều sẽ mắc lỗi. Liệu nó có đánh dấu các quyết định có độ tin cậy thấp để con người xem xét lại? Liệu nó có các cơ chế bảo vệ ngăn chặn các hành động phá hoại mà không được phê duyệt? Tình trạng nghiêm trọng về an ninh của tác nhân AI năm 2026 báo cáo được tìm thấy Chỉ có 14.4% các tổ chức báo cáo rằng tất cả các tác nhân AI đã được đưa vào hoạt động với sự chấp thuận đầy đủ về bảo mật và CNTT.
5. Nó thực sự nhìn thấy những dữ liệu nào?
Nếu nó đang tiếp nhận cảnh báo từ một nguồn duy nhất SIEM Nhưng vì không có khả năng giám sát luồng mạng, nhật ký nhận dạng, sự kiện email hoặc nhật ký kiểm toán đám mây, nên nó chỉ đưa ra quyết định dựa trên một phần nhỏ thông tin.
Trí tuệ nhân tạo đích thực là gì? SOC Tự động hóa trông như thế nào
Khoảng cách giữa tiếp thị và thực tế không có nghĩa là trí tuệ nhân tạo (AI) không tồn tại. SOC Điều đó vô ích. Nó có nghĩa là ngành công nghiệp đang gộp chung ba thứ khác nhau, và cả ba đều có giá trị, chỉ là chúng không phải là cùng một thứ.
Việc truy vấn có sự hỗ trợ của trí tuệ nhân tạo giúp các nhà phân tích nhận được câu trả lời nhanh hơn thông qua ngôn ngữ tự nhiên. Điều này giúp tiết kiệm thời gian nhưng không làm giảm khối lượng công việc vì nhà phân tích vẫn phải điều tra, đưa ra quyết định và hành động.
Phát hiện được tăng cường bởi AI sử dụng học máy để cải thiện chất lượng cảnh báo ngay từ nguồn. Các công cụ tương quan nhóm các cảnh báo liên quan thành các trường hợp, các mô hình hành vi đánh dấu các sai lệch và các hệ thống ưu tiên làm nổi bật các tín hiệu thực sự quan trọng. Đây là nơi phần lớn giá trị thực sự nằm ở đó hiện nay, và nó đã được cải thiện một cách âm thầm trong nhiều năm mà không cần đến nhãn hiệu "tác nhân".
Tự động hóa dựa trên trí tuệ nhân tạo là xu hướng tiên tiến, nơi các tác nhân suy luận thông qua các cuộc điều tra, thực hiện các hành động phản hồi và học hỏi từ phản hồi của nhà phân tích theo thời gian. Điều này là có thật, nhưng vẫn còn ở giai đoạn đầu, và các nền tảng đang làm tốt điều này đều đang thực hiện một cách thận trọng với sự tham gia của con người trong quá trình kiểm soát.
mới đây nghiên cứu ngành Nghiên cứu cho thấy chỉ có 14% chuyên gia bảo mật cho phép trí tuệ nhân tạo (AI) tự động thực hiện các biện pháp khắc phục sự cố. SOC Không có sự can thiệp của con người. Con số đó nói lên tất cả về thực trạng của ngành công nghiệp này.
Các tổ chức đạt được kết quả thực sự đã ưu tiên hợp nhất dữ liệu trước tiên, giảm nhiễu cảnh báo thông qua việc cải thiện tương quan và tích hợp tự động hóa lên trên tín hiệu sạch. Thứ tự thực hiện rất quan trọng.
Vì sao việc hợp nhất dữ liệu cần được ưu tiên trước trí tuệ nhân tạo (AI)
Nếu dữ liệu của bạn bị phân tán trên hàng chục công cụ bảo mật với hàng chục mô hình dữ liệu khác nhau, thì không có bất kỳ trí tuệ nhân tạo nào có thể giải quyết được vấn đề cốt lõi. Bạn không thể suy luận về chuỗi tấn công khi nó nằm rải rác trên các bảng điều khiển không kết nối. Việc hợp nhất, đưa dữ liệu điểm cuối, mạng, danh tính, email và dữ liệu đo từ xa trên đám mây vào một mô hình dữ liệu duy nhất, là điều kiện tiên quyết cần phải giải quyết trước khi bất kỳ tự động hóa AI nào có ý nghĩa có thể khả thi.
Đây là lý do tại sao Stellar Cyber xây dựng nó. Open XDR Nền tảng này hoạt động theo cách mà nó đã làm. Thay vì thay thế hệ thống bảo mật hiện có của bạn, nó chuẩn hóa và làm phong phú dữ liệu từ hàng trăm nguồn, sau đó sử dụng trí tuệ nhân tạo đa lớp để liên kết các cảnh báo riêng lẻ thành các trường hợp sẵn sàng điều tra được ánh xạ tới khung MITRE ATT&CK. Quá trình liên kết diễn ra tự động, đó là nơi tiết kiệm thời gian thực sự, chứ không phải từ một chatbot tóm tắt từng cảnh báo một.
Với phiên bản 6.3, Stellar Cyber đã mở rộng khả năng trí tuệ nhân tạo (AI) mà họ đã xây dựng trong nhiều năm với các bản tóm tắt vụ việc tự động giải thích điều gì đã xảy ra, tại sao nó quan trọng và bằng chứng nào hỗ trợ kết luận, cùng với tính năng phân loại email lừa đảo tự động giúp phát hiện các cuộc tấn công trước khi chúng leo thang. Đây không phải là những tính năng được thêm vào một cách vội vàng để chạy theo xu hướng. Chúng là kết quả của việc xây dựng AI trên nền tảng dữ liệu thống nhất ngay từ đầu.
Khách hàng báo cáo thời gian phát hiện trung bình được cải thiện gấp 8 lần và thời gian phản hồi trung bình gấp 20 lần. Không phải vì họ chỉ đơn thuần thêm chatbot vào một quy trình làm việc bị lỗi, mà vì họ đã hợp nhất dữ liệu trước và để AI hoạt động với một bức tranh tổng thể hoàn chỉnh.
Mô hình trưởng thành trung thực
Nếu bạn đang đánh giá AI SOC Hãy suy nghĩ về các khả năng một cách từng bước thay vì chấp nhận cách tiếp cận "tất cả hoặc không có gì" mà hầu hết các nhà cung cấp thường đưa ra.
Giai đoạn đầu tiên là hợp nhất dữ liệu. Đưa tất cả dữ liệu đo từ xa của bạn vào một nền tảng duy nhất với mô hình dữ liệu được chuẩn hóa. Chỉ riêng điều này đã loại bỏ công việc đối chiếu thủ công, vốn chiếm phần lớn thời gian của các nhà phân tích.
Giai đoạn thứ hai là phát hiện và đối chiếu được tăng cường bởi trí tuệ nhân tạo. Sau khi dữ liệu được hợp nhất, máy học có thể tự động nhóm các cảnh báo liên quan thành các trường hợp, ưu tiên theo mức độ rủi ro và làm nổi bật các sự cố thực sự cần sự can thiệp của con người.
Giai đoạn ba là tự động hóa có giới hạn. Các nhiệm vụ cụ thể, được xác định rõ ràng mà AI có thể xử lý một cách đáng tin cậy: làm phong phú thêm cảnh báo bằng thông tin tình báo về mối đe dọa, tạo bản tóm tắt điều tra, phân loại email lừa đảo. Con người tham gia vào bất kỳ hoạt động nào mang tính phá hoại.
Giai đoạn bốn là tự động hóa thích ứng. Hệ thống học hỏi từ các quyết định của nhà phân tích theo thời gian, mở rộng khả năng tự chủ của nó ở những nơi đã chứng minh được độ tin cậy và cảnh báo các tình huống mới để con người xem xét. Đây là hướng đi của ngành, nhưng giả vờ rằng chúng ta đã đạt được điều đó rồi thì không công bằng với các nhóm đang thực hiện công việc.
Hầu hết các nhà cung cấp đều muốn bán cho bạn giải pháp cấp độ bốn, nhưng hầu hết các đội ngũ bảo mật vẫn chưa hoàn thành cấp độ một.
Tóm lại và các bước tiếp theo
AI SOC Sự thổi phồng về agent không phải là sai hay xấu, chỉ là còn quá sớm. Công nghệ này có thật, hướng đi đúng đắn và tiềm năng rất lớn, nhưng khoảng cách giữa các bản demo tại hội nghị và thực tế sản xuất vẫn còn rộng. Để thu hẹp khoảng cách đó, cần phải giải quyết trước những vấn đề nhàm chán: thống nhất dữ liệu, tương quan cảnh báo và tự động hóa có kiểm soát với các giới hạn rõ ràng.
Nếu bạn đang đánh giá các nền tảng, hãy bỏ qua ngôn từ tiếp thị và tập trung vào những gì thực sự giúp giảm thời gian trung bình để phát hiện và phản hồi. Hãy yêu cầu bằng chứng, chứ không phải lời hứa.
Bạn muốn xem hệ thống bảo mật thống nhất hoạt động như thế nào?
Nếu bạn tham dự RSAC 2026, hãy ghé thăm gian hàng 327. Đăng ký để dùng thử bản demo hoặc lấy một Vé vào cửa miễn phí với mã 52E1069XP.
