十年前,首席信息官在软件开发和部署方面面临颠覆性巨变。传统的瀑布式软件开发让位于持续集成和持续部署 (CI/CD)的敏捷开发。随之产生DevOps 工程师和站点可靠性工程师 (SRE) 等新角色,有效转变了软件在真实生产环境的构建、测试和运行方式。

现在首席信息安全官正处在安全运营的另一个关键十字路口:从“传统 SOC”转向“AI 原生 SOC”。在这个新的现实中,生成式 AI、机器学习和大规模数据分析为曾由人工分析师处理的多数检测、分类和响应任务提供支持。

正如富有远见的首席信息官当初积极拥抱云原生技术获得优势一样,尽早接受这种变革的首席信息安全官将助力其组织在高级威胁面前保持领先,并跟上不断发展的网络安全形势。 

AI原生Vs云原生转型: 三大相似点 

1. 流程演变:从瀑布式到敏捷式,从手动安全到AI增强安全 

  • 软件开发:在云原生世界中,敏捷方法和持续部署取代了僵化的瀑布式开发流程。团队迭代速度更快,自动化测试和部署,并集成 DevOps 实践以加速创新。 

  • 安全运营:在AI原生SOC中,许多手动警报分类、关联和威胁搜寻都可以自动化完成。AI系统承担了许多此类重复性任务。事件响应“剧本”演变为 AI 可以执行的实时编排脚本。安全流程变得更加连续、主动和数据驱动——就像敏捷软件周期一样。 

2. 工具和基础设施:从物理服务器到云平台,从传统安全工具到 AI 编排平台 

  • 软件开发:云原生开发模式减少了对物理服务器的维护需求,大大降低了开销,可以实现快速扩展。DevOps管道集成了用于容器编排、微服务架构和自动监控的工具。 

  • 安全运营:AI Native SOC 将日志、遥测和威胁情报整合到统一的数据湖中。自动化平台利用机器学习模型来检测模式、协调响应,甚至修复端点或云工作负载中的问题。新环境需要集成的、AI 友好的平台,需要在数据工程、模型管理和编排工具方面进行大量投资。 

3. 文化转变:DevOps 思维——人工智能引导的协作和监督 

  • 软件开发:引入 DevOps 不仅关乎技术,也关乎文化。跨职能团队持续合作,共同承担成果责任,并接受快速迭代。 

  • 安全运营:AI 原生安全需要类似的文化飞跃。自动化将处理大部分死记硬背的任务,要求 SOC 人员采取协作、持续改进的思维方式。跨职能团队(安全数据工程师、AI 模型训练师和合规官)必须共同努力调整 AI 模型、维护数据管道并确保道德、监管和隐私方面的考虑。 

新范式需要新角色 

云原生的经验教训:DevOps 和 SRE 

云原生开发成为主流时,对DevOps 工程师的需求出现激增——这类人员是开发和运营之间沟通的桥梁。同样,站点可靠性工程师 (SRE)的角色也应运而生,以维护高度自动化和可扩展的生产环境。这两个角色都需要融合编码、脚本、操作和系统思维——这些技能在以前的 IT 团队中通常并不被重视。 

在原生 SOC 中,类似的角色将变得至关重要。现有的 SOC 人员需要提高技能,而组织将争相招聘或培训数年前还不存在的新角色。

以下是最重要的: 

1. AI安全编排工程师 

  • 工作内容:设计和维护将大量遥测数据输入 AI 系统的管道;集成安全编排、自动化和响应 (SOAR) 工具;确保自动威胁检测和补救工作流程顺利运行。 

  • 重要性:它们与 DevOps 工程师直接并行,连接 AI 模型和运营安全流程。它们支持“持续安全编排”,让人想起云开发中的 CI/CD 管道。 

2. 安全数据工程师 

  • 工作内容:专注于数据收集、规范化和质量——确保人工智能算法拥有正确的数据,以准确检测威胁并减少误报/漏报。 

  • 重要性:由于云原生应用依赖于稳定、自动化的数据管道,因此 AI 检测模型的好坏取决于它们所摄取的数据。数据工程已成为安全领域的一门专业学科,类似于 DevOps 中基础设施即代码的重要性日益提高。 

3. AI 模型训练师/策展人 

  • 工作内容:不断调优和优化机器学习模型,为检测、威胁搜寻和响应提供支持。他们负责标记任务、调整超参数并集成新的威胁情报,以使模型保持最新状态。 

  • 重要性:这一角色与敏捷开发领域的软件工程相似:其成功取决于持续的迭代和改进。这些专业人员确保 AI 能够抵御对抗性输入、新威胁和潜在偏见——就像 DevOps 团队如何保持应用程序的持续更新和安全一样。 

4. AI 道德与合规官 

  • 工作内容:监督 AI 治理,确保决策符合法规、隐私要求和道德标准。他们与法律、风险和技术团队合作,为自主安全决策设置护栏(例如,自动隔离端点或暂停用户帐户)。 

  • 重要性:随着人工智能和自动化承担影响用户体验和隐私的安全任务,组织必须防止道德陷阱。此角色确保 SOC 满足处理敏感数据的云原生应用程序所要求的相同(甚至更高的)合规性标准。 

5. 自动化事件响应监督员(事件响应器) 

  • 工作内容:监督人工智能驱动的攻击遏制和补救过程,仅介入超出人工智能置信度阈值的新型或高风险威胁。 

  • 重要性:正如 SRE 确保复杂的云服务顺利运行一样,当基于 AI 的流程遇到极端情况时,这些专家会处理升级问题。他们对威胁行为者的深入了解和横向思维与 AI 的速度和规模相得益彰。 

AI 原生 SOC 的巨大机遇

对于首席信息安全官来说,过渡到 AI 原生 SOC 代表着一个巨大的机遇——类似于 CIO 如何利用 DevOps 和云原生来获得竞争优势: 

  • 战略视角:首席信息安全官必须着眼于组织和文化的转变,而不仅仅是工具选择。通过倡导AI驱动的安全,展现一种面向未来的思维方式——这对于跟上对手和董事会层面对网络弹性的期望至关重要。 

  • 风险与价值方程式:云原生的采用让首席信息安全官认识到,虽然存在前期投资和技能差距,但将会带来变革性的速度、敏捷性、可扩展性等长期利益。AI原生安全情况同样如此:自动化缩短响应时间,高级分析可检测复杂的威胁,分析师则可以专注于高价值任务。 

  • 人才管理:与 DevOps 运动一样,AI原生SOC 可以吸引顶级网络安全人才。技术熟练的专业人士倾向于投资尖端技术并给予他们创新自由的组织。 

  • 持续改进和董事会层面的对话:首席信息安全官可以通过 AI 驱动的仪表板和指标,清晰实时地了解威胁和补救进展。这反映了云原生 CI/CD 管道如何为发布健康状况提供实时、数据丰富的洞察。这是针对高管层面极具说服力的论点,进一步强化了采用 AI 的商业价值。 

如何弥补技能差距,构建未来AI原生SOC 

  • 员工再培训和技能重塑:初级分析师可以发展成为 AI 分类主管或自动事件响应监督员。可以提供数据科学基础知识、Python 脚本或专门的机器学习安全课程的内部培训。 

  • 与 IT 和 DevOps 进行交叉融合:与组织的 DevOps 部门合作,招募已经熟悉自动化和持续部署概念的工程师——这些技能可直接转移到基于 AI 的安全编排。 

  • 与学术界和外部社区合作:与大学、研究实验室和开源 AI 社区合作,培养新兴人才。这与大型技术组织与开源 DevOps 社区建立联系、利用全球人才库的方式没有什么不同。 

  • 鼓励持续学习:像云原生开发中的敏捷冲刺和回顾一样,鼓励循环的实验和学习文化。进行事后审查,以完善 AI 模型和监督流程。 

安全运营的新时代 

向云原生和 DevOps 的转变重新定义了软件开发生命周期,向 AI 原生SOC的转变将彻底改变组织检测、预防和应对网络威胁的方式。

在新环境中,首席信息安全官必须是富有远见的领导者,能够接受自动化、数据驱动的智能以及融合技术、分析和道德专业知识的新角色。 

抵制这一转变可能意味着在这场重视速度和规模的网络安全军备竞赛中落后。相反,通过转向和采用AI 原生SOC,组织可以获得强大的防御态势,并简化其对人力资源的使用,以完成最具挑战性、创造性和影响力的任务。

现在首席信息安全官需要从安全守门人转变为创新者推动者,引导安全团队走向 AI 和自动化重新定义网络安全的未来。

关于作者

威利·特哈达(Willie M.Tejada ):安全技术主管,擅长通过强大的产品创新和上市 (GTM) 战略组合推动产品收入的高速增长。

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。