人类增强型自主系统 SOC 这是逆向思维,还是MSSP的下一个重大胜利?
人类与机器
上世纪90年代中期,我曾好奇地看着一台IBM机器在国际象棋比赛中击败加里·卡斯帕罗夫。当时,这感觉就像一个有趣的计算机科学小把戏,一台有趣的软件机器竟然能与世界冠军匹敌。但回过头来看,那一刻显然预示着我们如今认为不可避免的事情:在任何由规则、数据和模式识别统治的领域,令人悲伤的事实是,机器最终将获胜。
网络安全,并 安全运营中心SOC) 尤其值得一提的是,它正是受制于这些限制。它基于规则,数据密集,并且越来越依赖模式识别来发现攻击。我们花了数十年才走到今天,但我相信我们现在正处于从人机协作的混合模式全面过渡到我们TAG所说的“完全自动驾驶”模式的门槛上。 SOC完全自动化和自主运行。无需人工干预——至少不需要传统意义上的分析师。
但事情出现了转折:有些人认为这构成了对……的威胁 SOC 劳动力可能是最大的机遇之一 MSSP一种新型的人机增强型自主系统 SOC 将会涌现出各种服务,其中 MSSP 负责运行和管理这些服务。SOC 代表企业使用“云”,提供监督、合规保证和面向客户的背景信息,而人工智能则承担繁重的工作。
事实上,这可能是人类和机器之间的关键联系——这种融合可以确保专家的职业道路持续发展,并大大提高 SOC 功能性。请记住,进攻正朝着由人工智能武器控制的自主攻击行动方向发展。试图用人工甚至混合方式来应对这种情况是行不通的。 SOC 提供支持行不通。让我们深入探讨一下这个问题。
阶段的 SOC 旅程
这段通往熄灯的旅程 SOC 行动并非一蹴而就。第一阶段完全是人工操作。
还记得克里夫·斯托尔 (Cliff Stoll) 因为 75 美分的会计错误而通过伯克利系统追查马库斯·赫斯 (Markus Hess) 吗?
或者比尔·切斯威克在 AT&T 运行蜜罐系统,诱捕一个名叫贝弗德的好奇黑客?这些人
传说,他们的所有工作都是手工完成的,以人类聪明的推理为核心。他们是
SOC.
随后,安全运营的混合时代到来了。HD Moore 的 Metasploit 改变了
分析师。Splunk 带来了更好的日志分析。SOAR 工具提高了生产力。但分析师仍然坐在
中间的座位。我们一直称之为混合动力车。 SOC 过去几年是这样,但我相信现在,人工智能
处于转型的中心
人工智能的影响
通过法律硕士 (LLM)、行为分析和自主代理设计,人工智能能够完全取代人类操作员。如今,基于人工智能的平台在检测和分类恶意活动方面的表现已经超越了人类。
他们将能够应对纯粹由人工智能驱动的攻击,这种攻击永远不会停止,
不断调整,并从错误中吸取教训。如果这听起来很可怕,那么你的理解方向是对的。这应该能帮助你理解为什么过渡到关灯模式如此重要。 SOCs 不仅会是
是可取的,但也是必需的。
错误在于假设 SOC 处理任务始终需要人机交互。自主性
决策已经在终端发生了。 SOC 接下来是。对抗这种趋势是一场必输的游戏。
但是,正如上文所建议的,人类将有大量的机会参与其中——但
更高层次的背景,包括治理、管理和日常进展监控
运营。他们将选择供应商、更换自动化工具、诊断问题,并确保防御性人工智能按预期运行。
而且由于这种自动化将扩展到各种规模和形态的所有类型的公司,尤其是
MSSP 的参与,似乎有可能在这种背景下为人类提供的工作机会比现有的更多
今天。人类将成为 MSSP 与买家建立联系,尤其是那些
经历 SOC 各项功能,以确保它们得到适当的支持。
或许有人会说,在MSSP的背景下,这并不是一个完全“无人值守”的运营模式。MSSP将是最佳选择。
继续使用人类向客户销售产品并与其互动,而自动化
运营、调整并融入其业务
拟议的轨迹
- 用户手册 SOC (1985–2010 年):人类掌控一切。
- 混合型 SOC (2010-2025):人类和机器共享控制权。
- 自动化 SOC (2025-2040 年):机器接管,人类监督。
未来的 SOC
对于首席信息安全官 (CISO),我们建议:您应该开始重新思考您可能制定的构建大型安全防护的计划。 SOC 分析团队。相反,你应该开始规划零人员团队。 SOC对于托管安全服务提供商 (MSSP),我们强烈建议您将自己定位为以下方面的管理者: SOC 云端。你将成为连接机器速度和客户信任的人性桥梁。
为了 SOC 分析师们,我们预计你们很快就会从运营者转变为监督者,从响应者转变为战略家。 SOC 从日常处理的角度来看,可能会出现一些问题,但随着企业需要治理,MSSP 也随时准备介入,许多新的工作和职位将会涌现,就像我们看到所有功能实现自动化后出现的情况一样。
