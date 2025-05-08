人工智能 计算和服务器 IT 自动化

作者

John Velisaris

Associate Partner

IBM Cyber Threat Management Services

安全运营中心 (SOC) 多年来在威胁检测与响应方面持续面临挑战。这些挑战包括但不限于：从背景噪声中辨识真实安全信号、警报调查背景信息不足、缺乏端到端自动化、工作流程瓶颈及警报疲劳等问题。

多年来我一直强调，安全运营（或任何形式的网络威胁管理）亟需经历类似 20 世纪中期商业航空业的重大变革：由机器操控民航客机飞行，飞行员仅在特定情况下介入。同理，新型 SOC 应在极少人力介入下实现自主运行。

SOC 分析师将转型为 SOC 飞行员，自主决定介入时机与场景，而自动化系统则负责标准运营流程。

以 SOC飞行员机制应对未知威胁

网络安全领域独树一帜地面临着神秘的“零日漏洞”挑战——这些软件或硬件中新发现的漏洞，此前从未被安全社区察觉。这一概念囊括了下一个威胁出现时伴随的不可预测性，包括其来源、时机与攻击方式。

当不确定性成为现实，SOC 飞行员（人类分析师）将凭借专业能力接管控制，应对并化解这些新型威胁。

那么，为何至今尚未实现最小人力干预的 SOC？多年来安全软件厂商持续在产品中注入自动化功能。SOC 团队持续拓展自动化的应用范围，甚至自行开发复杂的内置解决方案以提升威胁检测与响应效率。但 SOC 需要的不仅是自动化。它们需要的是数字自主性。

人类洞察分析与 AI 相遇：从自动化转向自主化

人工智能 (AI) 能够复现人类决策过程。这项技术正推动网络安全运营——特别是常规安全操作——实现革命性转变。

当前威胁检测已广泛应用机器学习 (ML) 等 AI 功能。得益于主流软件厂商的集成，各类 SOC 技术正利用 ML 完成从威胁识别到告警分类的多种任务。然而，安全运营自动化仍面临特定限制。

大多数安全运营团队设有操作规则，要求执行动作前必须达到特定确信度。这种确定性使得自动化在端点检测与响应 (EDR) 系统等封闭环境中尤为普遍。端点软件与控制台均熟悉所有相关变量，因而能有效实施自动化响应。

某云服务巨头安全专家提供了一个典型案例。由于其技术栈中每个技术与资产都被充分掌握，该企业仅需最少的 SOC 介入。这种本质上属于封闭系统的架构，为大规模自动化创造了条件。

对于未构建此类封闭系统的组织（尤其是那些部署安全信息与事件管理 (SIEM) 系统的企业），情况则截然不同。在这些场景中，自动化流程主要由安全编排、自动化与响应 (SOAR) 应用程序的操作手册来协调管理。

例如，可编写自动化响应预案：当识别到非服务器资产正在运行已知恶意活动时，自动启动主机隔离流程。但该自动化机制生效的前提是必须明确资产属性（如属于关键服务器还是工作站）。

在安全功能自动化中，上下文信息至关重要，而这正是人类 SOC 分析师的核心价值所在。他们通过手动执行“转椅式”数据收集、判断与分析，为开放系统中的自动化操作提供必要的上下文支撑。如今，这种转椅式操作亟待向全新的多智能体自主运营模式演进。

智能体 AI 驱动真正意义上的自动化

现在迎来自主多智能体框架。IBM 网络安全服务运用 AI 技术来理解上下文需求、收集上下文信息、做出决策，进而实现自动化流程的完整执行——甚至可绕过 SOAR 直接完成全流程自动化。

我们的数字化劳动力协调器——自主威胁运营机器 (ATOM)，能够为告警调查生成任务清单。当发现资产上下文不完整时，ATOM 会调用其他 AI 智能体主动收集缺失信息。

沿用转椅的比喻：当 ATOM 检测到资产上下文缺失时，它会立即启动应对机制。它会主动与漏洞管理、暴露面管理、配置管理数据库 (CMDB)、端点检测与响应 (EDR) 或扩展检测与响应 (XDR) 系统相关的代理进行交互，以收集相关上下文信息。

基于主机名和网络位置等特征，ATOM 判定该特定资产符合典型工作站模式，并最终确认其确为工作站。其推理逻辑与人类分析师完全一致。

当 ATOM 完成上下文判定后，会针对该特定警报生成专属响应方案。例如，系统能智能决策是向 EDR 控制台发起 API 调用更为高效，还是将工作流回传至 SOAR 系统更为适宜。

AI 能否真正推动 SOC 人员转型为 SOC 飞行员仍需时间验证。但可以肯定的是，这种协同联动的多智能体数字劳动力方案，比 IBM 以往任何技术都更接近实现自主化安全运营的目标。虽然完全自主的 SOC 尚未成为现实，但智能体 AI 的出现已显著推进了这一高效、低干预运营模式的发展进程。

这场重大变革将通过释放安全团队的战略潜能——使其专注于战略性工作而非重复性任务——彻底革新威胁管理范式。随着 AI 持续演进，我们期待 SOC 不仅能实现自动化，更能达到真正的自主化，最终让机器处理常规事务，使团队专注战略决策。

