如今的安全運作中心（ SOC ）正面臨多重圍攻——不僅來自外部對手，還來自自身生態(tài)系統(tǒng)內(nèi)部。安全團隊不堪重負，警報不斷涌來，還得應(yīng)付各種零散工具，并且苦于應(yīng)對日益迅速的現(xiàn)代威脅。傳統(tǒng)的分級檢測與響應(yīng)模式——由人工分析師在各個層級對警報進行分流處理——已經(jīng)到了極限。

結(jié)果就是：疲勞、低效率以及檢測與響應(yīng)之間日益擴大的鴻溝。對于從事網(wǎng)絡(luò)安全工作的人來說，這一切都不足為奇。

然而，agentic AI 的前景已經(jīng)顯現(xiàn)出可能成為轉(zhuǎn)折點。這類新興的人工智能不僅僅是傳統(tǒng)的自動化和機器學(xué)習(xí)。它旨在自主運行，從歷史背景中學(xué)習(xí)，并做出決策，從而減輕人工分析師的工作負擔(dān)——同時又不會將 SOC 變成一個不透明的黑盒子。

問題來了：agentic AI 只是最新的流行語嗎？抑或它真有可能徹底重塑安全運作的運作方式？

從噪音走向清晰

當(dāng)今的 SOC 面臨著數(shù)量上的問題。據(jù) 2024 MSSP Market News 的一項研究顯示，SOC 團隊平均每天收到近 4,000 個警報，其中近三分之二被忽略。許多警報是誤報或重復(fù)警報，但分流工作依然消耗了寶貴的分析師時間。傳統(tǒng)的 SOAR 工具曾承諾通過自動化帶來緩解，但大多數(shù)工具除了工作流票據(jù)管理和基礎(chǔ)編排外，基本未能提供更多幫助。

我近期與 ReliaQuest 首席執(zhí)行官 Brian Murphy 交流了這些挑戰(zhàn)。他解釋道，“SOAR 真正的功能只不過是一個票據(jù)工作流分發(fā)器。它實質(zhì)上是將一個流程從一個團隊轉(zhuǎn)移到另一個團隊的工具。大多數(shù)客戶之所以使用它，正是因為利用它實現(xiàn)真正的自動化太困難。”他還提到，在最近一次與數(shù)百位客戶的會議中，幾乎所有客戶都有 SOAR 解決方案，但只有三家運行了兩個以上真正的自動化程序。

這種斷層正是 agentic AI 所旨在解決的問題。

agentic AI 有何不同？

德勤技術(shù)、媒體與電信中心的一篇文章解釋說，“顧名思義，agentic AI 擁有‘能動性’：即自主行動以及選擇采取何種行動的能力。能動性意味著自治，即獨立行動和決策的能力。當(dāng)我們將這些概念擴展到 agentic AI 上時，可以說它能夠獨立規(guī)劃、執(zhí)行并實現(xiàn)目標(biāo)——從而變得‘能動’。這些目標(biāo)由人類設(shè)定，但代理體決定如何實現(xiàn)這些目標(biāo)。”

不同于靜態(tài)的行動手冊，agentic AI 系統(tǒng)是動態(tài)的。它們不僅能夠接收數(shù)據(jù)，還能從歷史事件、分析師反饋以及環(huán)境背景中持續(xù)學(xué)習(xí)。它們可以從各個系統(tǒng)（端點、網(wǎng)絡(luò)、身份、威脅情報）中提取遙測數(shù)據(jù)，并綜合處理這些信息，以實時且透明的方式做出決策。

Murphy 強調(diào)，在 ReliaQuest 的 GreyMatter 平臺中，agentic AI 并不是在幕后默默運作。它做出的決策可供分析師審查、審計和調(diào)整。“我們 AI 的另一個特點是對客戶完全透明，”Murphy 說，“客戶可以看到 agentic 模型在決策過程中所做的每一個決定及其原因。每個客戶實際上都在以一種受保護的方式訓(xùn)練他們自己的模型。”

在一個本就對將太多控制權(quán)拱手相讓保持高度戒備的行業(yè)中，這一點尤為關(guān)鍵。雖然 agentic AI 能夠在常規(guī)操作上獨立行動——例如基于異常旅行模式解決警報或為已離職員工重置賬戶——但在風(fēng)險較高的決策上，它仍應(yīng)服從人工監(jiān)管。

疲勞、分級模式以及“一級響應(yīng)”的終結(jié)

或許支持 agentic AI 的最有力論據(jù)并非技術(shù)本身，而是其對人類的影響。網(wǎng)絡(luò)安全領(lǐng)域的疲勞感是真實且不斷加劇的。其中一個主要原因便是對一級警報的重復(fù)、脫節(jié)操作的機械處理，而這些警報往往重復(fù)且價值不高。

Murphy 毫不客氣地指出，“我們應(yīng)停止讓人來處理一級警報，也應(yīng)停止讓人來處理二級警報。”他認為 AI 應(yīng)該承擔(dān)起繁瑣的工作——例如提取日志、交叉比對 IP、分析用戶行為背景——從而讓人類得以專注于做出更有意義的決策。

這一影響深遠：取消傳統(tǒng)分級模式不僅能騰出時間以降低疲勞，還能培養(yǎng)出更多具備戰(zhàn)略眼光、了解業(yè)務(wù)的安全專業(yè)人才。而這反過來又能整體上強化安全方案，使團隊有更多余地去偵查威脅、分析風(fēng)險趨勢并構(gòu)建跨部門領(lǐng)導(dǎo)力。

不是替代，而是重啟

盡管自治能力正在加速發(fā)展，Murphy 表示 agentic AI 并非用來裁員。網(wǎng)絡(luò)安全的需求遠遠超過了大多數(shù)安全團隊的處理能力。它的愿景是提升技能水平、彌補操作空白，并在現(xiàn)有基礎(chǔ)上創(chuàng)造更多容量。

他說：“我們距離看到因采用這種技術(shù)而減少職位還很遙遠。實際上，這將為我們培養(yǎng)安全領(lǐng)域的領(lǐng)導(dǎo)者、讓網(wǎng)絡(luò)安全團隊有更多時間去了解業(yè)務(wù)和自我提升提供契機。”

換句話說，目標(biāo)不是使用更少的人力，而是實現(xiàn)更智能的工作方式。

更大的圖景

ReliaQuest 最近完成了 5 億美元的融資，使公司估值達到 34 億美元，這表明投資者對這一新模式寄予厚望。該公司目前為超過 1,200 家企業(yè)客戶提供服務(wù)，年經(jīng)常性收入超過 3 億美元，并正以計劃上市為目標(biāo)穩(wěn)步增長。與許多同行不同的是，它不僅實現(xiàn)了盈利，還在不斷將收益再投資于產(chǎn)品創(chuàng)新和全球擴張，而不僅僅是銷售。

不過，雖然 ReliaQuest 可能走在了前沿，但這一趨勢已經(jīng)席卷整個行業(yè)。首席信息安全官（ CISO ）越來越傾向于優(yōu)先考慮能夠減少威脅潛伏時間并提升分析師效率的 AI 驅(qū)動平臺，同時避免進一步碎片化工具體系。

風(fēng)險不在于 agentic AI 會接管一切，而在于那些忽略它的組織可能會被遠遠甩在后面。

結(jié)論

agentic AI 可能并非能解決所有 SOC 問題的靈丹妙藥，但它確實向安全專業(yè)人士多年來一直渴求的目標(biāo)邁出了堅實的一步：可見性、速度以及理智。如果它能兌現(xiàn)哪怕部分承諾——減少誤報、快速遏制威脅、緩解分析師壓力——那它很可能預(yù)示著網(wǎng)絡(luò)安全運作進入一個更智能、更可持續(xù)的新時代。

歸根結(jié)底，這不僅僅關(guān)乎取代人力，而是賦能于他們——提供時間、工具和清晰的視野。