能化安全运营时代，安全分析师需要扮演好三个新角色

9qbUUh6Iz

Gartner 预测，到 2030 年，75%的SOC团队将依赖自动化和人工智能。当前，AI技术与安全运营的融合已成为行业趋势，ISOC（智能化安全运营中心）成为未来安全运营的重要发展方向。在安全牛即将发布的《智能安全运营中心（ ISOC）应用研究报告》中，对ISOC的最新趋势、技术框架、最佳实践与案例等进行深入的研究。
其中，人工智能技术在安全运营中的广泛应用，正在重塑安全分析师的角色和工作方式。人工智能并非万能，安全运营的高效复杂性和对抗性决定了人类的经验、直觉、判断力和创造力依然存在。安全分析师需要与人工智能协同工作，才能充分发挥人工智能的优势，构建更智能的安全运营体系。
安全牛认为，随着人工智能技术在安全运营中心（ISOC）的深入应用，安全分析师的角色将从传统的“规则工程师”、“告警分析师”扩展到“AI训练师”、“AI监督员”和“安全策略架构师”。这不仅需要高效具备传统的安全技能，还需要掌握人工智能相关的知识和技能。企业需要加强对安全分析师的培训，帮助他们实现角色转型，才能充分运用人工智能技术，构建更智能的安全运营体系。
1.AI训练师


职责

负责AI模型的全生命周期训练管理，包括数据准备、模型、模型调优、模型评估、模型部署和模型监控等，确保AI模型能够在实际安全运营环境中发挥最佳效果。

应具备的能力

数据分析能力：

• 理解数据：能够理解安全数据的含义、来源、类型、格式等，并识别出数据的潜在价值。
  
• 数据处理：掌握数据清洗、数据转换、提取等数据挖掘技术。
  
• 数据标注：能够对安全数据进行高精度的标注，例如标注不良样本、识别错误报和漏报等，为AI模型提供数据。
  
• 数据分析：能够利用数据分析工具，对安全数据进行探索性分析，发现数据中的模式和规律。
  

AI模型知识：

• 模型原理：了解常见人工智能模型（例如机器学习、深度学习、NLP、知识图谱等）的基本原理、优缺点和适用场景。
  
• 模型选择：能够根据具体的安全运营场景和数据特点，选择合适的AI模型。
  
• 模型调优：掌握AI模型的参数调优方法，例如网格搜索、随机搜索、贝叶斯优化等。
  
• 模型评估：能够使用合适的指标（如准确率、识别率、F1值、ROC曲线、AUC值等）对AI模型的性能进行评估。
  
• 模型部署：了解AI模型的部署方式，例如将模型部署到EDR、NDR、UEBA等平台中。
  

AI平台使用：

• 熟悉工具：熟练使用AI安全分析平台、机器学习平台、深度学习框架等工具；
  
• 模型训练：能够利用这些平台和工具进行AI模型的训练、调优和部署；
  
• 模型监控：持续监控AI模型的状态；
  
• 模型更新：根据新的威胁数据和安全分析师的反馈，对AI模型进行更新和优化。
  

2.AI监督员


职责

负责监控AI Agent和AI驱动的安全平台的运行状态，审核AI的分析结果和决策建议，并在必要时进行人工干预，确保AI技术在安全运营中的应用安全、可靠、有效。
所需能力：
1. AI结果审核：

• 审核和确认：对AI模型的分析结果进行审核和确认，判断结果的合理性和可信度。
  
• 误报识别：能够识别AI模型的误报，并进行分析和处理。
  
• 漏报识别：能够发现AI模型的漏报，并进行补充分析。
  

2.  AI决策干预：

• 安全决策：能够在紧急情况下快速判断AI代理的决策是否合理，并在紧急情况下进行干预。
  
• 风险评估：能够评估AI代理决策的潜在风险，并采取相应的措施进行控制。
  
• 人工接管：能够在AI代理无法处理的复杂情况下，接管安全事件的处理。
  

3. AI安全与合规：

• 安全意识：关注AI技术在安全运营中应用的安全问题，例如数据隐私保护、算法偏差等。
  
• 合规意识：了解相关法律法规和行业标准，确保人工智能技术在安全运营中的应用符合合规性要求。
  
• 安全审计：能够对AI的行为进行安全审计，发现潜在的安全风险。
  

3.安全策略架构师


职责

• 负责将AI能力与企业整体安全战略相结合，设计和优化安全策略，并推动AI赋能的安全运营体系的持续改进。
  
• 所需能力：
  
• 安全战略理解：深入理解企业的安全战略和业务目标。
  
• 安全架构设计：将AI能力封装到安全架构设计中，例如设计AI驱动的安全检测、AI驱动的安全响应体系等。
  
• 安全策略制定：根据AI的能力和特点，制定和优化安全策略。
  
• 安全流程优化：将AI能力封装到安全运营流程中，并进行流程优化。
  
• 沟通协调能力：与不同的团队（如IT运维团队、业务部门等）进行有效的沟通和协调，推动AI安全项目的落地实施。