【引言】1.2万字长文,详细分享RSAC2025大会上有关安全运营的议题,并以此一窥未来安全运营的技术发展趋势。内容涉及Agentic AI赋能SOC的新理念、新架构、新产品、新交互、新场景和笔者从业20多年来的感悟,以及对未来的研判。透过RSAC2025大会,可以很明显的感受到Agentic SOC时代(笔者称之为SOC4.0)已经到来。
【摘要】本文首先梳理了一些关键的AI术语,然后介绍了本次大会最热门的关键词——Agentic AI。本文重点研究了Agentic AI如何深刻变革SOC,以及SOC自身架构如何重塑以更好适应Agentic时代,并透过大会一瞥Agentic时代下的SOC未来趋势。本文还介绍了Agentic AI如何赋能暴露管理。最后,本文介绍了大会上讨论的AI自身安全问题,以及AI的自主程度和与人类的关系问题。
RSAC2025已经落下帷幕。这次大会吸引了全球超过140个国家和地区的超过44000人参加,创造了大会举办34届以来的最多参会人数纪录。毫无疑问,AI依旧是大会上最闪亮的星。不同之处在于,Agentic AI成为了AI明星中的明星。显而易见,Agentic AI已经成为了网络空间安全的未来(不论是防御还是攻击)。而随着GenAI应用的深入和Agentic AI的爆火,围绕GenAI、AI Agent和Agentic AI的自身安全问题也成为了焦点。
在研究此次大会更多信息之前,有必要先就一些关键的AI概念和术语进行梳理。
概念梳理
注意,以下概念由笔者本人进行梳理,与本次大会发言无直接关系。
生成式AI(Generative AI,简称GenAI):根据NIST的定义,生成式AI是指模拟输入数据的结构和特征以生成衍生的合成内容的人工智能模型,这些内容可以包括图像、视频、音频、文本和其他数字内容。Gartner将GenAI定义为从数据中学习“工件(Artifacts)表示”的人工智能技术,并使用它来大规模生成全新的、完全原始的工件,以保持与原始数据的相似性。GenAI是目前AI领域中最热门的方向,近3年RSAC大会上谈论AI主要就是指GenAI。
大语言模型(Large Language Model,简称LLM):根据Gartner的定义,大语言模型是指通过AI在大量文本上接受训练,使其能够解释和生成类似人类的文本输出的一种模型。通常LLM属于一种GenAI,但GenAI不一定都是LLM。当前网络空间安全领域应用GenAI主要就是指利用LLM。
大模型(Large Model,简称LM):通常指的是具有庞大参数数量和复杂结构的机器学习或深度学习模型,具有参数规模大、架构规模大、训练数据量大和算力需求大等特点。LLM属于一种LM,但LM不等于LLM,LM既可以用于生成式AI,也可以用于判别式AI。现在很多人经常提“大模型”,同时将其与“大语言模型”等同看待,可能是因为讲“大模型“比较顺口,而讲“大语言模型”有点冗长,或者“LLM“的发音很拗口,其实大语言模型(LLM)和大模型(LM)不是一个意思,需要加以辨别。
小模型(Small Model):顾名思义,就是相对大模型而言,具有参数规模小、架构规模小,算力需求较小的特点,特别适用于算力资源有限的环境中。这里的小是跟大相较而言的,没有绝对的数值区间,跟1000万参数模型比,80亿参数算大,但跟1000亿参数模型比,80亿就算小了。大模型和小模型有各自适合的应用场景,实际应用中要按需而定,并可以互相配合。当前,人们经常提及“大模型+小模型“、”大小模型协同“的概念,通常(但不绝对)是指在生成式AI领域,使用大规模参数的LLM和小规模参数语言模型(SLM)混合搭配的方式实现最优化算力配置、最大化应用效果。
传统AI:没有明确定义,只是一种表达方式,泛指除了GenAI之外的AI,譬如传统的符号主义的AI,非神经网络的机器学习,使用神经网络的判别式AI,统计分析技术(数据科学),知识图谱等技术。通常这些AI技术在GenAI大行其道之前已经有了较为成熟的应用,包括当前已经大量使用在网络空间安全领域的各种非生成式AI,譬如基于规则推理的关联分析、基于各种机器学习的异常检测等。
复合式AI(Composite AI):这是Gartner提出来的面向工程化应用的AI,指组合利用不同AI技术(包括GenAI、数据科学、机器学习、知识图谱等技术)来提高学习效率,以生成层次更丰富的知识表示的AI。可以将复合式AI理解为GenAI和传统AI的结合。当前,国际上主流的安全厂商都是用复合式AI赋能安全,而非仅仅依靠生成式AI,譬如Palo Alto Networks的精准AI(Precision AI),CrowdStrike的夏洛特AI(Charlotte AI),以及Splunk AI等。
智能体(AI Agent):根据人工智能促进协会(AAAI)的定义,智能体是指能感知环境、处理信息并自主决策行动的智能实体。根据Gartner的定义,智能体是利用人工智能技术进行感知、决策、采取行动,并在数字或物理环境中自主或半自主地追求既定目标的软件实体。行为体(Agent)这个概念已经有几十年的历史了,当AI应用到行为体中之后,就出现了智能行为体(简称智能体)。可以认为,AI Agent是Agent的一个发展方向和发展阶段,但AI Agent中的AI并不限于当前热门的LLM / GenAI,而是泛指各种AI。
自主式AI(Agentic AI,暂译为“自主式AI”):这个概念最早见于OpenAI在2023年12月发布的一份白皮书,但其真正成形要归功于吴恩达。他在2024年初红杉资本举办的AI峰会上提及,随后又在Snowflake峰会上进行了完善,并给出了Agentic推理的四种设计模式:反思、工具使用、规划和多行为体协作,从而奠定了Agentic AI的框架基础。2024年10月,Gartner发布2025年十大战略技术趋势,Agentic AI居首。Gartner将Agentic AI定义为目标驱动的软件实体,这些实体被授予代表组织自主决策和采取行动的权限,使用人工智能技术——结合记忆、规划、感知、工具和护栏等组件——来完成任务并实现目标。另外,根据AAAI的定义,Agentic AI是指将GenAI和 LLM 集成到自主代理框架中,旨在利用此类模型的生成能力来增强动态环境中的交互性、创造力和实时决策。Google则将Agentic AI定义为一种使软件系统能够自主行动的AI,它基于目标做出决策并采取行动,最大限度地减少人工干预。简单来说,Agentic AI当前尤指以GenAI/LLM为推理(规划和反思)中枢的智能体。当Agent碰上GenAI,Agentic AI诞生了。
Agentic AI和AI Agent本质区别在于二者看问题的视角不同:此前的AI Agent是一种对Agent的类型划分,关键点还是落在Agent上,AI Agent代表了所有利用AI赋能的Agent,但具体如何赋能、赋能到什么程度,尤其是Agent的“自主程度”(Agency / Agenticness,暂译为“自主程度”)无法表达。正如吴恩达所述,“Agent这个名词是一个二元性的术语,无法进一步区分不同自主程度的Agent”。而Agentic AI代表了一种AI技术的类型划分,并可以认为是生成式AI的一个演进方向,关键点落在了AI上。这时,如吴恩达所言,“Agentic作为一个形容词可以(从AI这个视角来)观察和思考不同自主程度的Agent”。当视角从Agent转移到AI,再看Agentic AI,从当前来说就是寄希望于GenAI和Agentic Workflow来获得一种较高自主程度的智能体,但未来Agentic AI并不一定要依附于GenAI。Agentic AI代表了一种新型的AI,这种AI超越了当前的GenAI,体现了对AI三种主义的融合:Agentic AI以连接主义为技术底座,以行为主义为交互范式,融合符号推理的目标导向型智能体。其本质是AI从被动执行任务向主动实现目标的进化,代表了 AI 从单一功能工具开始向通用智能体跃迁。有一种观点进一步认为Agentic AI代表了比AI Agent更高的自主程度,Agentic AI具有调度编排多个不同AI Agent,通过AI Agent间的协作达成既定目标的能力。当前,还有一种广义Agentic AI的理解,将非基于GenAI的AI Agent也划入Agentic AI的范畴,看作一种较低自主性(Agency)的Agentic AI。譬如Gartner认为AI Agent是Agentic AI的子集。此外,也存在一种广义AI Agent的理解,认为其代表了基于各种AI的单一或集群Agent。此时,AI Agent和Agentic AI两个概念具有等价性。总之,Agentic AI和AI Agent的概念外延当前尚未稳定。
代理式系统(Agentic System):是指应用了Agentic AI 技术的各种应用系统。
迎接Agentic AI时代
可以说,Agentic AI是以LLM为代表的GenAI发展的一个新阶段。
在大会召开之前,各路专家便纷纷对今年的热点进行预测。ESG的Jon Oltsik就表示今年的焦点必定在Agentic AI上,并表示很想通过这次大会看看Agentic AI到底是神话还是现实。德勤美国的网络主管Adnan Amjad会前就表示最新一波创新浪潮的重点就包括Agentic AI,并提及将其用于处理SOC的日常任务。
在大会揭幕演讲环节,大会执行主席Hugh Thompson为大家展示了一幅交互式网络安全地图,以反映从2021年到2025年间大会讨论的主题及其热度。
上图左侧展示了这幅网络安全地图,图中蓝色圆圈表示AI相关的主题。显然,AI在2025年的所有主题中占比最高。上图右侧则展示了“生成式AI用于安全”这个主题的最近五年走势。可以看出,从2023年开始,这个主题热度出现了大幅增长。
Hugh Thompson进一步表示,今年有两个AI主题尤其值得关注。一个是Agentic AI,包括它如何应用于安全,以及它自身的安全性,包括身份的问题、治理的问题、可追溯性的问题,等等。另一个是AI应用于SOC(AI in the SOC,AI for SOC),今年有很多大大小小的此类议题,包括多个顶级赞助商的主题演讲都与此相关。
接着,Hugh Thompson基于现有数据对AI未来的走势做出了两个预测。一个是AI驱动的应用安全,另一个是对LLM的攻击。
笔者对于Agentic AI和Agentic AI赋能的SOC成为今年大会的热点丝毫不感到意外。从去年下半年开始,笔者已经从研究GenAI转向研究AI Agent,继而研究Agentic AI了。有趣的是,当笔者研究AI Agent / Agentic AI的时候,总是觉得无比亲切。毕竟,对于一个深度参与了SOAR的人而言,Agentic AI跟SOAR有很多相似之处。笔者在《是时候重新定义安全运营平台了》一文中,就做过深入的对比分析。
Agentic AI正在深刻变革SOC
在首日主题演讲环节,微软安全业务的副总裁Vasu Jakkal再次登上主会场,以《Agentic AI时代的安全》为题,带领大家畅游了一番Agentic AI时代的网络安全。
Vasu Jakkal认定Agentic AI将AI带入了一个新时代,将改变人类生活的方方面面,成为人类的助手、同事和思想的伙伴。
在拥抱Agentic AI之前,其自身的安全性必须首先予以保障,因为AI也面临着前所未有的威胁挑战。
AI越重要,AI安全就越迫切,她提出了8个方面的关键安全考量,包括身份和权限、数据安全、隐私、内部风险、威胁防护、(智能体之间的)沟通规则、治理、合规。
而当我们保护好AI的安全后,就要利用AI赋能安全去保护我们的网络空间。当前,聚焦安全的AI已经集成了我们所有的经验和思想,包括数据、优秀的安全模型,以及对AI的观测、审计和治理。
畅想未来,Vasu Jakkal认为Agentic AI未来可以快速胜任所有安全防御领域的工作。她提出了四大畅想:
在威胁检测方面,智能体可以预测新型攻击并在它们发生前就阻止掉
在数据安全方面,智能体可以协助识别数据风险并采取措施提升安全和生产力
在零信任方面,智能体可以自动地在正确的时间向正确的人(和Agent)提供正确的访问权限,并根据团队和工作的变化动态调整此权限
在应用安全方面,智能体可以协同工作实现默认安全和设计安全
未来,自主AI的演进将重新定义当今安全的每个方面,为防御者带来全新的安全范式。智能体正在向人类学习,不断适应、行动和规划,自主工作,帮助人类实现目标,当然都在人类的参与下。
最后,Vasu Jakkal指出,Agentic AI将重塑安全角色。
对此,笔者深有感触。AI改变的不仅是安全技术,更重要的是透过这些技术重塑了我们从事安全的方式,改变了安全组织结构和岗位职责,改变了安全工作的流程。这种改变是建立在AI优先和自动化优先基础上的,这种改变绝不是简单的减少工作岗位,而是工作岗位的职责变化。从目前来看,可能还需要更多的人,懂AI的人。
作为对Vasu Jakkal演讲的呼应,在大会第二天上午的分会场,来自微软Security Copilot部门的市场负责人Dorothy Li详细介绍了释放Agentic AI潜力的五个关键。
Dorothy Li表示,AI正在改变安全产业,我们正处于从自动化向智能体跃升的奇点,Agentic AI将重新定义我们现在的安全,我们需要善用智能体。
首先,智能体最基本的工作方式是赋能你现有的工作过程,使之更高效。所谓“Agents in your flow, not in your way”,Agent是让你爽,而不是挡你的道。最典型的例子是通过Agent主动实现对告警和事件的内容富化,缓解运营人员来回切换上下文的工作内耗。这时候,智能体其实也不需要多智能,关键是要能够连接广泛的安全工具。
其次,借助智能体消除安全中的苦力活。最典型的用例就是通过自主告警分诊找到真正重要的问题,将运营人员从告警疲劳中解救出来,所谓“Clear the clutter, prioritize the critical”。这时候,不仅需要智能体展现它的智能性,更重要的是要发挥它的规模效应(也就是大规模自动化的能力)。
第三,使用智能体的过程要完全透明,全程可控(Total clarity, full control),通过透明度建立人类对智能体的信任。Dorothy Li引用了一份调研结果表示,60%的安全专家更信任经人类验证后的信息而非AI生成的结果。她以微软的智能体工作流为例,通过将智能体思考和规划的每个环节都呈现出来,展示了智能体工作过程的透明性。
第四,借助智能体变被动为主动,尤其是针对漏洞扫描、排序、修复过程的自动化。
第五,从实战出发应用智能体而不要仅仅是炒作。智能体的设计要以人为本,立足于赋能人类(这才是实战),而非取代人类(而这是炒作)。
思科的首席产品官Jeetu Patel在主会场演讲时则提到了当前安全领域面临的三大挑战,并认为AI是当下最好的解药。
这三大挑战分别是技能短缺、告警疲劳和安全的复杂性。其中安全的复杂性就包括了安全领域众多分散的厂商、产品和技术给用户带来的挑战。这三大挑战跟笔者经常提及的安全运营三大痛点(人才短缺、技能不足、工作倦怠)基本一致。
思科认为要应对以上三大挑战,不仅需要用到GenAI,还需要一个安全垂域LLM,进而在大会上宣布推出开源的基础AI安全模型(Foundation AI Security Model),并且具备推理能力(推理版目前尚未发布),引发了业界的强烈关注。该模型具备80亿参数规模,可以跑在1到2个A100 GPU上。
基于这个AI安全大模型,Jeetu Patel也给大家分享了几个安全运营的用例,展示了思科AI安全大模型的能力,都是采用智能体的形式,包括推理链、分析报告、使用外部工具、出具调查结果和推荐处置操作。
Jeetu Patel表示,未来的安全智能将是一个由多种模型、多个智能体互相协作的全面编排的超级智能系统(Super Intelligent System)。
这不就是一个Agentic安全系统吗?
思科基础设施与安全集团的总经理Tom Gillis与旗下Splunk安全产品负责人Mike Horn在题为《威胁检测与响应的未来》的联合演讲中,热烈讨论了AI给SOC带来的机遇和变革。Gillis认为AI在安全领域最大和最直接的影响就是正在改变安全运营。Horn表示,SOC从来没有像今天一样令他如此激动。
Horn进一步指出,AI正在深刻变革SOC。首先,是自动化的融合,以及更高级的自主自动化的引入,赋能安全运营人员,提升他们的工作层次。其次,将变革SOC的组织和人员结构。
Horn表示,AI正在带来一场彻底的变革,而安全也需要随之进行彻底变革。
SOC技术架构正在重构
当人们把Agentic AI为核心的各种AI技术应用于SOC的时候,SOC的技术架构也在不可避免地进行着重构。
思科基础设施与安全集团的总经理Tom Gillis与旗下Splunk安全产品负责人Mike Horn共同在大会主会场做了一场《威胁检测与响应的未来》的演讲,从战略视角探讨了网络安全的新架构,以及现有安全运营中心 (SOC)技术架构重构的必要性。
Gillis首先分析了AI大模型的引入对当前应用软件架构带来的变革。
这种变革就在于AI大模型在传统的应用三层架构之间插入了模型层。模型以其特有的方式将数据变成洞察并给到上层的应用,同时也不可避免的看到了所有数据,包括机密和隐私数据。大模型输出的不确定性使得人们对于大模型能否保守这些秘密心存疑虑。这种融合AI的应用架构变革是前所未有的,将改变IT架构,进而改变安全防御的架构。
接着,Gillis分析了当前以SIEM为核心的集中式安全架构存在的弊端,并表示,在AI时代,(SIEM和SOC平台)必须转向分布式安全架构。可以认为,这个观点跟去年Splunk在RSAC大会上的发言一脉相承,但更进一步。
Splunk的Horn将这个分布式架构分为三部分:分布式的数据存储、分布式分析、分布式策略执行。
未来的安全架构必定转向分布式数据存储,这是由安全防御体系的演进规律决定的。为了应对威胁,必然会不断增加数据采集点、采集的信息量和采集的频度,海量的数据遍布于用户分散的网络各处,将其集中起来进行分析是低效的、高成本的和拖沓的。未来用户网络中必定存在多个安全数据湖/库,之间的数据移动将变得十分昂贵。在摄取数据这方面我们已经取得了很大的进步,但是在访问数据这块,未来一定要支持分布式数据检索【注:笔者称之为“数据不动应用动”,本质上就是要实现数据虚拟化】。
Horn表示,“应用正在迁出数据中心”,分析正在向分散的数据靠拢,而AI正在推动这一进程。将所有数据集中到一个系统中是不现实的,最后得到的只能是一个怪兽数据湖(Monster Data Lake)。
对此,笔者深以为然。从2023年开始,笔者就在讲安全架构的联邦化、分布式的趋势,在讲边缘检测(分析)的兴起,在讲安全运营架构的多体化。所有这一切都是相互关联的,都指向了同一个变革——安全数据管理与分析架构的重构
分布式策略执行最显著的例子就是调用分散的安全设备进行响应(如遏制),策略的执行(PEP)是分布式的,但策略的管理(PDP)将维持在一个单一的策略管理平台之上。
这是一个经典的分布式策略执行架构,但创新点在于思科提出的位于用户内部的、控制东西向流量的、分布式部署的“智能交换机”的概念。这个概念型设备融合了思科的网络和安全的积累,相当于一个个超级安全策略执行点,接受单一策略管理平台的统一指挥。这个“智能交换机”将具备三种处理单元:NPU、DPU、GPU。NPU负责处理网络流量的移动和交换;DPU负责对这些网络流量进行数据分析,发现攻击和违规;GPU则作为GenAI的算力平台为“智能交换机”进行AI赋能。
笔者认为,这个“智能交换机”事实上并不一定要是一个设备,它本质上是一个理念,一个真正意义上的分布式网络安全架构的策略执行器的理念。它可以是一个新的硬件或者软件,也可以是现有的安全设备和系统。
最后,Gillis和Horn表示,未来的(SOC)安全架构一定是融合到网络编织中,分布到各处的。
SentinelOne 美洲地区CTO Dave Gold在演讲中表示,自主SOC的平台架构设计需求发生了变化,更加强调可伸缩性、开放数据集成和联邦数据搜索、低成本海量数据存储、快速、云原生【笔者注:这一点在国内并不显著】、长周期数据存储。
此外,在大会分论坛上,创新公司Auguria则做了题为《为什么 AI 无法在没有正确数据的情况下拯救你的 SOC》的分享,指出数据就绪是AI应用产生效果的前提和基础,强调了新型数据架构对于释放AI能量的意义,而这也正好与笔者提出的“数据驱动是SOC原动力”的观点相吻合。
Agentic AI时代下SOC的未来趋势
新产品
SentinelOne的CEO Tomer Weingarten在大会主会场宣发了他们的“AI赋能的自主网络安全平台”。这个平台采用开放架构连接所有安全产品、控制器、网关、平台,汇集所有的安全数据,混合多种AI技术(包括编排化的Agentic工作流)去实现实时的观察、监测、推理和响应,功能涵盖资产攻击面、弱点、威胁等诸多方面的安全运营。
很显然,SentinelOne紧随CrowdStrike,实现了从EDR/EPP厂商向SOC和安全平台厂商的转型。打开SentinelOne的网站,可以看到他们除了最初的EDR、EPP,更多看到的是SIEM、SOAR、XDR、ITDR、TIP、VM,以及CWPP、CNAPP、CSPM。他们公开把CrowdStrike、微软、Wiz、Splunk、PAN作为自己的竞争对手。SentinelOne向我们诠释了一个点产品厂商最后是如何成为一个平台厂商的过程。
在次日的分会场,SentinelOne 美洲地区CTO Dave Gold做了一个题为《AI驱动时代下SOC的未来》的报告,进一步阐述了AI、ML、自动化如何使SOC转型为一个自适应、自我进化的网络防御力量,如何通过Agentic AI实现实时威胁猎捕、编排工作流程。
Dave Gold首先指出了当前SOC不能承受之重(资源不足、工作过载),并分析了为何现有的SIEM和SOAR难以解决SOC存在的顽疾,由此引出Agentic AI、增强和虚拟现实、主动猎捕、零信任、云SOC、联邦数据等新技术可能塑造未来的SOC。
Dave Gold列举了6个可以受益于AI的SOC流程,包括监测、证据收集、调查、分诊、响应与修复、报告,并指出了自主SOC所具备的潜力。
Dave Gold给出了SentinelOne的自主SOC关键能力构成图,依然是PPT三个部分,但内涵已经发生变化。笔者理解,主要表现在:技术融入了AI(包括传统AI和Agentic AI),流程上以自动化为优先,人员结构上进行了调整,初级岗位(如L1和L2分析师)取消或减少,并出现更多高级岗位,譬如增加了AI专家。
SentinelOne的自主SOC强调要用Agentic AI来赋能,但又不仅仅限于使用Agentic AI,而要应用各种AI技术(即采用复合式AI)。
演讲最后,Dave Gold给用户迈出自主SOC转型之路的第一步提出了几点建议,包括要重构数据平台、要让AI无所不在、要秉持自动化优先的设计原则,等等。这些建议,与笔者对于未来安全运营平台的理解都是一致的。
此外,在大会的第一天,CrowdStrike发布了基于Agentic AI的新组件赋能其SOC产品,包括名为Charlotte AI Agentic Response的事件调查智能体和名为 Charlotte AI Agentic Workflows的AI SOAR组件。而Google也撰文介绍自己由Gemini赋能的Agentic SOC,以期通过互联互通的多智能体技术,代表防御者自主或半自主地执行安全运营工作流程。
新交互
本次大会上,AI相关的议题多如牛毛,但有一个不起眼的发言引起了笔者的关注。来自Google云安全的产品和用户体验高级总监Steph Hay做了一个题为《How Security UX Must Change, with Agentive AI》的发言,分享了他对未来Agentic系统的用户体验设计的想法。笔者认为,用户体验(UX)对于安全运营平台至关重要,是降低安全运营复杂性、提升平台实战化水平的关键环节。
Hay首先简单回顾了一下从web1.0时代的C/S模式和客户端/Ajax引擎/服务端模式到现在移动互联网时代手指导航模式的应用UX发展历程,然后表示随着GenAI的到来,UX发展再次迎来拐点,而Agent代表了人机交互的新时代。
当前,将GenAI作为助理的UX设计已经比较成形,不论是侧边栏对话模式,还是嵌入式按钮,同时也充分考虑到如何让GenAI返回的结果更加透明可理解。但是对于Agentic AI时代的多轮交互和内容生成的结果展示还没有形成良好实践。很关键的一点就在于这个交互过程是动态的,生成的内容本身事先是不可控的,不能采用固定的UI设计,而要采用自适应UI设计。
Agentic AI时代的系统UX设计还有一个很重要的原则就是要顺应Agentic AI的价值取向,UX的设计要能更好地体现自主化、自动化给用户带来的成效。
新场景
在大会各个分论坛上,众多安全运营厂商分享了他们基于Agentic AI赋能安全运营的用例和场景。譬如,Opentext介绍了如何利用基于MITRE ATTCK框架的RAG和LLM来增强威胁告警;Elastic详细介绍了它们基于RAG的LLM来赋能安全运营;Exabeam分享了应用Agentic Workflow实现自主安全运营的实例。此外,在简报环节,DropZone AI发表了题为《SOC 中的 AI 蓝图:如何评估、部署和指导 AI 分析师》的报告,讲解如何将智能体集成到SOC分析师的工作流程中。
Agentic AI深刻变革暴露管理
暴露管理作为安全运营领域一个重要组成,也受到了极大的关注。
在主会场,Tenable 联合CEO Mark Thurmond分享了Agentic AI时代给暴露管理带来的机遇和变革。
Mark Thurmond表示,网络风险就是一种业务风险。暴露管理正面临着资产暴增,工具纷乱的时代,像极了最初SIEM所处的时代,而暴露管理技术发展正在重蹈传统SIEM失败的覆辙,那就是手工的规则,机械的关联,随着而来的必定就是告警疲劳。AI给暴露管理的未来发展带了新的机遇,有机会避开SIEM曾落入的陷阱。而AI不仅是暴露管理技术升级的机会,也是攻击者的机会,AI时代的暴露越发充满挑战,这也更要求我们利用好AI去对抗AI。安全暴露每年都在数倍的增长,但安全预算不可能每年翻番式增长,必须利用AI去提升运营效率,AI将成为新一代暴露管理的核心。
Mark Thurmond表示,暴露管理必须实现三个转变:从分散到统一、从静态到情景化和预测性、从手动到自动和Agentic。
首先,攻击面越来越多、越来越分散和动态,但又相互关联,必须将所有攻击面信息统一起来。统一的可见性不是一个功能,而是生存的底线。
其次,传统的工具呈现的是静态的风险,但未来的暴露管理需要将暴露信息与情境信息相结合,从攻击者的角度来找到优先需要处置的风险点,甚至预测攻击者的攻击路径。
最后,要实现大规模的暴露风险管理,人类手工操作是远远跟不上的,需要实现自动化闭环,并进一步迈向自主化,变被动的自动化为主动的自动化。自主化的关键就是Agentic AI。
Agentic AI能够帮助我们回答四个问题:需要修复什么?谁来修复?响应流程是怎样的?人类何时参与其中?AI不仅是一个分析师,也是一个操作者;不仅仅是一个推荐者,也是一个深思梳理的问题解决者,并且AI还会持续学习和进步。
Mark Thurmond表示,在AI赋能之下,暴露管理正在使我们从一个记录系统转向一个行动系统。笔者感叹,SIEM何尝不是如此!如果说SOAR让安全运营实现了自动化的闭环,那么Agentic AI则更进一步,让安全运营实现了自主化(智能自动化)的闭环。
在分论坛上,调研咨询公司ESG也带来了他们对AI驱动的暴露管理的见解。ESG认为,随着网络风险管理的难度不断增大,必须变被动为主动。
如上图所示,ESG认为,要加大对风险管理中主动性战略的投资,包括攻击面收敛和主动安全控制,从而降低被动性战略的依赖程度(譬如检测与响应、事件响应、修复),进而重塑整个风险管理过程的人才结构。
如果说被动管理阶段的核心是对事态(事件)的管理,那么主动管理阶段的核心就是对资产状态(姿态)的管理。
ESG还认为,在构建暴露管理平台的时候,必须充分利用情境数据,要将资产数据与弱点、暴露、威胁数据结合起来,做出更全面的风险分析。基于此,ESG给出了一个AI驱动的威胁与暴露管理平台(TEMP)框架。
这个框架从下至上分为三层:安全数据编织层(实现分布式数据摄取)、分析引擎层(融合了AI/ML分析、符合性分析、行为分析等技术)、威胁与暴露管理平台层(核心是全面的网络安全情境感知)。其中,AI可以在各个环节提供赋能。
此外,在分论坛环节,还有很多厂商和客户分享了他们在暴露管理方面的实践和成果。Splunk介绍了他们的CAASM方案和案例,Axonius介绍了资产管理在安全运营中的独特价值。
AI安全(Safety & Security)问题
AI安全(有的时候称之为“AI安全与可靠性”,AI Safety and Security)伴随着AI的出现而出现。在2023年GenAI爆火之时,很多厂商就敏锐的投入到这个领域,但大都没有“破圈”。而随着GenAI飞速进化,GenAI、Agentic AI在各行各业的广泛应用已经起势,随着而来的就是AI安全议题的真正破圈,受到了各行各业人士的关注。
Gartner的Fellow分析师Leigh C. McMullen更是在会上直言,网络安全还没有准备好保护基于Agent的系统(即Agentic系统)。他表示,Agentic系统的确代表了未来,但这种系统架构与原来的系统有很大不同,传统的防御模式不再适用,甚至你不必真的黑掉Agentic系统本身,只需迷惑(confuse)它就能突破系统防护。
在本次大会上,有大小数十个关于AI自身安全的议题,热闹程度不亚于Agentic SOC。
思科的首席产品官Jeetu Patel是RSCA大会执行主席开场发言后的第一个做主题演讲的人,他的题目是《保护AI基础设施:构建安全、可扩展且有弹性的系统》,可见人们对AI安全的重视。
Jeetu Patel表示,AI正在改变一切,而网络安全是AI的核心,AI是安全历史上最艰难的挑战。
接着,Jeetu Patel从Safety和Security两方面分析了AI安全问题。在国际上,AI安全通常都分为两个方面:AI Safety和AI Security【笔者注:目前尚未找到贴切的中文翻译来区隔二者,有的人将Safe翻译为“安全”,而将Security翻译为“可靠”】。
顺便提一下,加州大学伯克利分校的Dawn Song教授也在本次大会的分论上做了演讲。她比较清晰的介绍了AI Safety和AI Security的区别。
简言之,AI Safety关注的是不要让AI系统对外部环境造成危害,而AI Security则关注于保护AI系统自身免受恶意外部行为体的伤害和利用。【笔者注:前者是向外求安全,后者是向内求安全】。对于网络安全从业者往往更多关心AI Security,而AI Safety则更多为更广泛的人类社会各群体所关注,譬如2023年英国曾经召开过第一届AI Safety峰会,世界主要国家(包括中国)的政府都参加并发表了AI Safety的宣言。
Jeetu Patel表示,要保障AI安全(Securing AI)必须抓住三个关键点:可见性、验证、运行时加固(即AI护栏)。
值得一提的是,思科的Jeetu Patel表示,他们的研究表明,微调后的LLM被越狱的可能性提升了3倍,产生有害回应的可能性上升了22倍。
在另外一个分论坛中,来自微软的Tina Ying分享了一幅GenAI引入的新威胁/风险的地图,分为AI平台和模型层、AI应用层、AI使用层和延伸风险四个部分。
除了GenAI,基于Agentic AI的Agentic系统的安全性受到了与会者的广泛关注。Agentic系统的安全与GenAI的安全存在很大不同,需要专门进行研究。
微软的Vasu Jakkal在其讲演中表示,随着智能体的自主性越高,自身面临的安全风险也越高,并提到了保障智能体安全的6个方面。
Vasu Jakkal进一步表示,未来需要建立全新的智能体治理方式,从基于实验室环境的静态分析与验证的治理方式演进为实际环境下的动态的概率验证的治理方式,要建立全生命周期的身份治理和动态策略,并将安全嵌入到智能体中,设置专门的安全子智能体,等等。
加州大学伯克利分校的Dawn Song教授在本次大会上详细报告了LLM Agent及Agentic AI的安全挑战和应对策略。报告很长,值得仔细阅读。
简言之,LLM的安全和LLM Agent,以及基于LLM Agent的Agentic系统的安全有很大的区别。Agentic系统更加复杂,攻击面更多,更难防护。
一个典型的Agentic系统通常存在7方面的安全威胁。
很显然,对Agentic系统的评估比单纯针对LLM的评估要更复杂,需要对系统端到端的行为进行评估。这与前面微软Vasu Jakkal提到的AI Agent的新治理方式在理念上是一致的。
Dawn Song教授给出了Agentic系统的三大防御原则和9条防御机制。
AI的自主程度和与人类的关系
笔者所见,所有演讲者都认为完全自主的安全(运营)不会存在,AI也不会取代人。AI时代是一个人机共智的时代。
微软安全业务的副总裁Vasu Jakkal在演讲时向与会者展示了一幅自主AI赋能安全的演进路线图。
如上图所示,微软将自主AI赋能安全分为四个阶段,当前正在迈入第二阶段(Level1),即智能体能够推理并利用工具实现显性化的目标。而到明年,很可能会出现能够自我修改和优化模型以完成显性化声明式目标的半自主智能体。从上图可以看出,最高阶段叫高度自主化阶段,也就是说不会有完全自主化。
SentinelOne 美洲地区CTO Dave Gold在演讲中也提出了向未来的自主SOC演进的路线图。
上述演进路线的阶段划分与此前介绍的微软的自主AI赋能安全的路线图大体一致,并且都不约而同地回避了“完全自主”这个概念。
知名SOC专家Anton Chuvakin更是直言,现在的AI赋能距离真正的自主化、自动化还差得远,并对“人工智能的进步可能会导致包括 IT 和安全在内的技术团队在几年内大幅缩减甚至为零”的言论进行了驳斥,表示“所谓的无人自动化完全是胡扯”。
对于AI和人类在安全防御领域的关系,思科的Jeetu Patel很明确的指出,最好的防御是二者之间紧密协作。
而SentinelOne的CEO Tomer Weingarten在主会场的发言中也表达了相同的观点。
ESG指出,必须建立人类与AI互相协作的闭环,互相促进。
总结
GenAI从2023年开始正式进入安全领域,应用模式迅速发展,从聊天式应用模式到AI助理应用模式,再到现在最流行的Agentic AI应用模式,已经成为安全运营未来发展的决定性力量。尤其是Agentic AI,其迭代思考和行动的工作过程正好符合安全运营工作中绝大部分流程性任务的工作过程,完美适合应用于安全运营。
当前,业内对GenAI和Agentic AI寄予厚望,大大小小的安全厂商纷纷投入这个领域,GenAI和Agentic AI赋能安全运营的用例和场景不断涌现,有的已经实现了产品化,但距离真正解决安全运营面临的三大难题(人才短缺、技能不足、工作倦怠),以及应对安全工具的复杂性方面还有不小差距。正如知名SOC专家Anton Chuvakin在会议期间接受采访时所言,AI可以应对(这些)问题,但还不足以解决(这些)问题(AI Addressable, Not AI Solvable)。他表示,目前AI给安全运营带来的价值主要还是缓解而非消除(这些)痛苦。
透过本次RSAC大会,必须清晰的认识到,新一代AI要真正赋能安全运营,仅靠AI自身是不够的,需要变革现有安全运营平台的技术架构,尤其是数据架构!此外,要真正让AI赋能的SOC形成持久战斗力,还需要变革SOC的组织和流程,让人类和AI、各种安全工具有效协作起来,实现人机共智。
最后,在充分利用AI赋能安全运营的同时,还需要充分认识到AI自身面临的安全问题,尤其是未来的安全运营系统也是一个Agentic系统,必然存在较大的安全风险,需要有效加以管控。
最后,笔者要对安全运营领域从业者高呼:
历史机遇,不容错过!
【参考资料】
声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
