人类增强型自主 SOC 是一个逆向思维还是 MSSP 的下一个重大胜利?
人类与机器
上世纪90年代中期,我曾好奇地看着一台IBM机器在国际象棋比赛中击败加里·卡斯帕罗夫。当时,这感觉就像一个有趣的计算机科学小把戏,一台有趣的软件机器竟然能与世界冠军匹敌。但回过头来看,那一刻显然预示着我们如今认为不可避免的事情:在任何由规则、数据和模式识别统治的领域,令人悲伤的事实是,机器最终将获胜。
网络安全,并 安全运营中心(SOC) 尤其如此,它正受到这些约束的制约。它基于规则,数据密集,并且越来越依赖模式识别来发现攻击。我们花了几十年才走到今天,但我相信我们正处于一个全面转型的门槛上,从人机合作的混合模式,到我们TAG所说的完全自动化和自主化的“熄灯式”SOC。它不需要人工——至少,不是传统分析师意义上的人工。
但事情发生了转折:一些人认为对 SOC 员工的威胁可能是 MSSP。一种新型的人工增强型自主 SOC 服务将会出现,其中 MSSP 代表企业运行和管理这些“SOC 云”,提供监督、合规性保证和面向客户的环境,而 AI 则承担繁重的工作。
事实上,这可能是人类和机器之间的关键联系——这种融合可以确保专家的职业道路持续发展,并大大提高 SOC 功能。请记住,进攻正朝着自主攻击方向发展,由人工智能武器驱动。试图依靠人力甚至混合SOC的支持来应对这一问题将行不通。让我们更深入地探讨这一点。
SOC 历程的各个阶段
实现无人值守SOC运营的历程并非一蹴而就。第一阶段完全依靠人工操作。
还记得克里夫·斯托尔 (Cliff Stoll) 因为 75 美分的会计错误而通过伯克利系统追查马库斯·赫斯 (Markus Hess) 吗?
或者比尔·切斯威克在 AT&T 运行蜜罐系统,诱捕一个名叫贝弗德的好奇黑客?这些人
传说,他们的所有工作都是手工完成的,以人类聪明的推理为核心。他们是
SOC.
随后,安全运营的混合时代到来了。HD Moore 的 Metasploit 改变了
分析师。Splunk 带来了更好的日志分析。SOAR 工具提高了生产力。但分析师仍然坐在
中心座位。过去几年我们一直称之为混合 SOC,但我相信现在,AI
处于转型的中心
人工智能的影响
通过法律硕士 (LLM)、行为分析和自主代理设计,人工智能能够完全取代人类操作员。如今,基于人工智能的平台在检测和分类恶意活动方面的表现已经超越了人类。
他们将能够应对纯粹由人工智能驱动的攻击,这种攻击永远不会停止,
不断调整,并从错误中吸取教训。如果这听起来很可怕,那么你的理解是正确的。它应该能帮助你理解为什么向无人值守 SOC 的过渡不仅仅是
是可取的,但也是必需的。
错误在于假设 SOC 处理任务总是需要人机界面。自主
决策已经在终端发生了。 SOC 接下来是。对抗这种趋势是一场必输的游戏。
但是,正如上文所建议的,人类将有大量的机会参与其中——但
更高层次的背景,包括治理、管理和日常进展监控
运营。他们将选择供应商、更换自动化工具、诊断问题,并确保防御性人工智能按预期运行。
而且由于这种自动化将扩展到各种规模和形态的所有类型的公司,尤其是
MSSP 的参与,似乎有可能在这种背景下为人类提供的工作机会比现有的更多
今天。人类将成为 MSSP 与买家建立联系,尤其是那些
SOC 功能方面的经验,以确保它们得到适当的支持。
或许有人会说,在MSSP的背景下,这并不是一个完全“无人值守”的运营模式。MSSP将是最佳选择。
继续使用人类向客户销售产品并与其互动,而自动化
运营、调整并融入其业务
拟议的轨迹
- 手动SOC(1985-2010):人类掌控一切。
- 混合SOC(2010-2025):人机共享控制。
- 自动化 SOC(2025-2040):机器接管,人类监督。
SOC的未来
对于首席信息安全官 (CISO),我们建议:您应该重新考虑组建大型 SOC 分析师团队的计划。相反,您应该开始规划零人 SOC。对于托管安全服务提供商 (MSSP),我们强烈建议您开始将自己定位为 SOC 云的管理者。您将成为机器速度和客户信任之间的人性化桥梁。
对于SOC分析师,我们预计他们很快就会从操作员转变为监督员,从响应者转变为战略家。从日常处理的角度来看,SOC的光芒或许会黯淡下来,但随着公司需要治理,以及MSSP随时准备介入,许多新的工作类型和职位将会出现,就像我们看到的100%自动化功能一样。
