能化安全运营时代,安全分析师需要扮演好三个新角色
Gartner 预测,到 2030 年,75%的SOC团队将依赖自动化和人工智能。当前,AI技术与安全运营的融合已成为行业趋势,ISOC(智能化安全运营中心)成为未来安全运营的重要发展方向。在安全牛即将发布的《智能安全运营中心( ISOC)应用研究报告》中,对ISOC的最新趋势、技术框架、最佳实践与案例等进行深入的研究。其中,人工智能技术在安全运营中的广泛应用,正在重塑安全分析师的角色和工作方式。人工智能并非万能,安全运营的高效复杂性和对抗性决定了人类的经验、直觉、判断力和创造力依然存在。安全分析师需要与人工智能协同工作,才能充分发挥人工智能的优势,构建更智能的安全运营体系。
安全牛认为,随着人工智能技术在安全运营中心(ISOC)的深入应用,安全分析师的角色将从传统的“规则工程师”、“告警分析师”扩展到“AI训练师”、“AI监督员”和“安全策略架构师”。这不仅需要高效具备传统的安全技能,还需要掌握人工智能相关的知识和技能。企业需要加强对安全分析师的培训,帮助他们实现角色转型,才能充分运用人工智能技术,构建更智能的安全运营体系。
1.AI训练师
职责
负责AI模型的全生命周期训练管理,包括数据准备、模型、模型调优、模型评估、模型部署和模型监控等,确保AI模型能够在实际安全运营环境中发挥最佳效果。
应具备的能力
数据分析能力:
[*]理解数据:能够理解安全数据的含义、来源、类型、格式等,并识别出数据的潜在价值。
[*]数据处理:掌握数据清洗、数据转换、提取等数据挖掘技术。
[*]数据标注:能够对安全数据进行高精度的标注,例如标注不良样本、识别错误报和漏报等,为AI模型提供数据。
[*]数据分析:能够利用数据分析工具,对安全数据进行探索性分析,发现数据中的模式和规律。
AI模型知识:
[*]模型原理:了解常见人工智能模型(例如机器学习、深度学习、NLP、知识图谱等)的基本原理、优缺点和适用场景。
[*]模型选择:能够根据具体的安全运营场景和数据特点,选择合适的AI模型。
[*]模型调优:掌握AI模型的参数调优方法,例如网格搜索、随机搜索、贝叶斯优化等。
[*]模型评估:能够使用合适的指标(如准确率、识别率、F1值、ROC曲线、AUC值等)对AI模型的性能进行评估。
[*]模型部署:了解AI模型的部署方式,例如将模型部署到EDR、NDR、UEBA等平台中。
AI平台使用:
[*]熟悉工具:熟练使用AI安全分析平台、机器学习平台、深度学习框架等工具;
[*]模型训练:能够利用这些平台和工具进行AI模型的训练、调优和部署;
[*]模型监控:持续监控AI模型的状态;
[*]模型更新:根据新的威胁数据和安全分析师的反馈,对AI模型进行更新和优化。
2.AI监督员
职责
负责监控AI Agent和AI驱动的安全平台的运行状态,审核AI的分析结果和决策建议,并在必要时进行人工干预,确保AI技术在安全运营中的应用安全、可靠、有效。
所需能力:
1. AI结果审核:
[*]审核和确认:对AI模型的分析结果进行审核和确认,判断结果的合理性和可信度。
[*]误报识别:能够识别AI模型的误报,并进行分析和处理。
[*]漏报识别:能够发现AI模型的漏报,并进行补充分析。
2. AI决策干预:
[*]安全决策:能够在紧急情况下快速判断AI代理的决策是否合理,并在紧急情况下进行干预。
[*]风险评估:能够评估AI代理决策的潜在风险,并采取相应的措施进行控制。
[*]人工接管:能够在AI代理无法处理的复杂情况下,接管安全事件的处理。
3. AI安全与合规:
[*]安全意识:关注AI技术在安全运营中应用的安全问题,例如数据隐私保护、算法偏差等。
[*]合规意识:了解相关法律法规和行业标准,确保人工智能技术在安全运营中的应用符合合规性要求。
[*]安全审计:能够对AI的行为进行安全审计,发现潜在的安全风险。
3.安全策略架构师
职责
[*]负责将AI能力与企业整体安全战略相结合,设计和优化安全策略,并推动AI赋能的安全运营体系的持续改进。
[*]所需能力:
[*]安全战略理解:深入理解企业的安全战略和业务目标。
[*]安全架构设计:将AI能力封装到安全架构设计中,例如设计AI驱动的安全检测、AI驱动的安全响应体系等。
[*]安全策略制定:根据AI的能力和特点,制定和优化安全策略。
[*]安全流程优化:将AI能力封装到安全运营流程中,并进行流程优化。
[*]沟通协调能力:与不同的团队(如IT运维团队、业务部门等)进行有效的沟通和协调,推动AI安全项目的落地实施。
页:
[1]