前情回顾·AI SOC近期动态
安全内参12月29日消息,在一场由Cybersecurity Tribe主办的安全领导者圆桌会议,来自法国巴黎银行、美国国家橄榄球联盟、ION Group以及其他六七家全球大型企业的安全负责人分享一线观点。尽管他们分属不同行业、组织成熟度各异,但其首要任务却出奇一致。
谈及AI驱动的安全运营中心(SOC)平台时,每一位首席信息安全官都表示,希望其具备以下7项能力。
1.信任与可追溯性
如果说有一个主题的出现频率高于其他所有主题,那无疑是“信任”。安全领导者并不希望面对“神秘”的AI,他们真正需要的是透明性。
他们反复强调,AI的输出必须具备可审计性、可解释性和可复现性。
无论是应对合规审计人员、内部治理委员会,还是不断上升的法律与监管风险,他们都需要能够完整展示决策全过程。
黑箱式决策已无法被接受。AI必须生成可验证的证据,而不仅仅是给出结论。
2.缓解告警疲劳(运营效率)
笔者所交流的每一位领导者,都正在与告警过载问题作斗争。即便是高度成熟的安全运营中心,也正在被海量低价值通知和伪事件所淹没。
“显著减少升级至人工处理的告警数量”如今已成为评估AI平台的核心KPI之一。领导者期望看到这样一种状态:分析人员将时间和精力投入到真正可利用、具有高影响力的威胁上,而不是无休止的噪音。
如果AI能够消除重复性的分诊工作,这不仅是锦上添花,而是具有变革意义。
3.超越CVSS,
具备上下文的、基于风险的优先级排序
没有人愿意再看到一个控制面板,不断催促他们去处理那些CVSS评分很高、但在现实中几乎无人关心的系统。
首席信息安全官希望AI能够融合以下信息:
遥测数据
漏洞数据
身份信息
业务上下文(资产关键性、岗位角色、数据敏感性、流程影响)
目标是生成真正反映组织实际风险的优先级排序,而不是依赖任意的严重性分数。
他们希望AI能够直接告诉他们:“这是今天最重要的那一条告警,原因如下。”
4.人在回路的安全自动化
(针对高影响操作)
大多数领导者愿意在范围受限、定义清晰且置信度较高的场景中,接受选择性的自主修复。
例如:
快速遏制勒索软件
隔离明显已被攻陷的端点
自动执行可重复的基础卫生任务
然而,对于更大范围或影响更深远的操作,首席信息安全官依然坚持需要人工审查。其立场非常明确:在合适的地方,AI可以快速行动,但绝不能以牺牲控制权为代价。
5.集成能力与实用的遥测覆盖
每一位领导者都强调,AI平台的真正价值取决于其所摄取数据的质量与覆盖广度。
不可或缺的数据来源包括:
云遥测(AWS、Azure、GCP)
身份提供商(Okta、Entra ID、Ping)
端点检测与响应/扩展检测与响应(EDR/XDR)
安全信息与事件管理(SIEM)日志
工单系统/IT服务管理(ITSM)
定制化威胁情报源
他们并不希望看到一个在缺乏高质量数据支撑的情况下,仍然承诺“给出答案”的魔法AI。他们真正需要的是一个高度互联、能够全面洞察整个环境的系统。
6.与高管层和董事会对齐,
并具备可证明的投资回报率(ROI)
首席信息安全官并非在真空环境中部署AI。他们的董事会和高管团队正从两个截然不同的方向施加压力:
一部分将AI采用视为战略重点,要求强制推进;
另一部分则通过复杂的治理、风险与合规流程,放缓所有进展。
在这样的动态环境中前行,首席信息安全官必须拿出清晰且经得起推敲的投资回报率,包括:
运营成本降低
平均响应时间缩短
升级事件数量减少
结果更加可预测
缺乏可衡量价值的AI,已经不再被接受。
他们需要能够直面董事会,并清楚说明:“这就是AI带来的实际影响。”
7.问责机制与法律清晰度
在企业允许AI自主采取安全行动之前,首席信息安全官必须先得到一个根本性问题的答案:
首席信息安全官:“当AI采取行动时,谁来承担责任?”
这并非停留在理论层面的担忧,而是实现落地应用的门槛性条件。
在责任归属、义务界定和治理机制尚未获得明确指引之前,许多组织都会对AI的使用施加严格限制。
结语
在所有这些交流中,传递出的信息高度一致:安全运营中心的AI融合不可避免,但它必须是安全的、透明的、可集成的、可衡量的。
首席信息安全官并不追求科幻式的幻想。他们真正需要的是可信、可运营的AI,能够增强团队能力、强化防御体系,并始终与业务现实保持一致。
参考资料:https://intezer.com/blog/the-7-ciso-requirements-for-ai-soc-in-2026/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
