网络安全中的AI军备竞赛：为什么你的SOC现在需要演进

网络安全中的 AI 军备竞赛：为什么你的 SOC 需要立即演进

威胁态势已经发生了根本性转变。攻击者不再仅仅是资金雄厚的国家行为体和精英犯罪集团。他们可能是任何能够访问 AI 的人，这改变了一切。

不容忽视的真相：攻击者已经抢占先机

利用的速度不再以天或小时来衡量，而是以分钟和秒来计算。根据《微软数字防御报告 2025》，攻击者现在正在使用生成式 AI 来扩大社会工程学攻击规模，并以前所未有的效率自动化横向移动。由大语言模型制作的钓鱼活动获得的点击率比传统方法高出 4.5 倍。

这些攻击的速度同样令人担忧。《CrowdStrike 2025 全球威胁报告》强调，平均突破时间（从初始入侵到横向移动的时间窗口）已骤降至仅 29 分钟。最快的记录突破发生在短短 27 秒内。这种加速是由许多人所说的"氛围编码"驱动的，攻击者使用 AI 以机器速度构建漏洞利用程序和脚本。曾经只有国家行为体才能拥有的复杂威胁已经被民主化，使每个组织都成为目标。信息安全领域正在迅速成为一个公理：如果你不使用 AI 来对抗 AI，你就会失败。

转向威胁工程

这种复杂攻击的快速加速正在从根本上改变 SOC 分析师的角色。我们正在经历自 SIEM 发明以来最重要的转型，从人工监控警报分类转向高影响力的威胁工程时代。

一个有用的类比：当电子表格软件在 1980 年代出现时，人们预测会计师将走向终结。相反的情况发生了。拥抱工具的会计师扩展了他们的业务，承接了更多客户，完成了更好的工作。SOC 分析师面临着同样的时刻。AI 不会消除他们。它会改变他们的工作内容。

自主 SOC 的迷思

虽然角色正在演变，但我们必须警惕 AI 将简单替换这些专家的虚假承诺。任何承诺"自主 SOC"或"减员 SOC"的人都是在销售危险的幻想。这些叙述将 AI 孤立看待，仿佛防守方是唯一能接触到该技术的一方。

实际上，对手实施 AI 的速度比大多数防守团队更快、更积极。来自微软和 OpenAI 的报告已经确定了国家关联行为体使用 AI 进行高级侦察和恶意软件开发。防守型 AI 不是一个"获胜按钮"。这只是与攻击者保持平衡的最低入场费。你仍然需要业务上下文、特定任务知识和安全专业知识。目标不是减少人员。目标是确保你的人员不会被机器速度的攻击所压垮。

定义代理型 SOC

为了在这场军备竞赛中生存下来，我们必须超越自主化的迷思，拥抱代理型现实。代理型 SOC 不是你能购买的产品。它是安全运营工作方式的一种转型。它涉及一系列代理型工作流程和技能，在后台自动地、透明地代表分析师工作。

今天的传统 SOC 看起来像一个金字塔：大量初级分析师手动筛选警报，较小的高级层处理调查和响应。代理型模型将其翻转成菱形。常规的初级工作由 AI 代理处理。分析师升级为威胁工程师——管理、定制和验证他们支持的代理的专家。每位 SOC 分析师实际上成为自己自动化分析师团队的 SOC 经理。

Elastic 驱动的代理型 SOC：钢铁侠战甲

启用这些代理型工作流程需要一个建立在世界级数据基础之上的平台，该平台深度融入了安全专业知识。Elastic Security 是代理型 SOC 的核心，因为我们把安全视为一个需要精英防守基因的数据问题。要理解这种转变的力量，请考虑数据问题。传统的 SOC 就像一个大型图书馆里的研究员，花费 90% 的时间只是寻找正确的书籍。

Elastic 代理型 SOC 就是钢铁侠战甲，能够瞬间扫描图书馆中的每本书。它识别威胁并装备分析师在威胁到达门口之前就阻止它。人类提供意图和判断，而平台提供机器速度、传感器和自动化响应系统。

当其他公司作为安全公司试图将数据改装到他们的平台上时，Elastic 是为数据而生，并由世界级安全专家发展而来，以解决现代威胁的规模和复杂性。

| 功能 | Elastic Security | 其他厂商 | |----------|---------------------|--------------| | 模型选择 | 完全中立。 使用 GPT-4o、Gemini 或断网本地模型。 | 供应商锁定。 用户被绑定到其专有 AI 或特定云合作伙伴。 | | 精确防护 | 原生集成。 Elastic Defend 在边缘阻止攻击执行。 | 孤岛化。 通常依赖附加工具，无法与 AI 层共享上下文。 | | 数据理念 | 为数据而生。 Elastic 是安全专家构建的最广泛部署的向量数据库。 | 安全优先，数据其次。 分析在规模上经常失败或变得昂贵。 | | 数据流动性 | 联邦网格。 在对象存储上查询数据所在位置。 | 专有孤岛。 要求将所有数据移动到其特定云。 |

代理式未来的四大核心支柱

• 后台代理（无声伙伴）： AI 应该融入现有工作流程，而不是干扰它们。例如，在供应链攻击期间，Elastic 代理不会等待提示。它们已经提取了进程树，交叉引用了威胁情报，并映射了 OODA 循环。当你收到 Slack 消息时，观察和定位阶段已经完成。

• 精准预防和代理响应： 由于攻击者以秒为单位行动，我们优先考虑由代理工作流驱动的自动化响应。预防是最快速的响应。 Elastic Defend 提供世界级的内置预防功能，而我们的代理工作流会触发自动化修复，立即阻止对组织的损害和损失。

• 模型主权： 你选择 SOC 的大脑。无论你想使用像 GPT-4o 这样的前沿模型，还是为隔离网络任务完全断开连接的本地模型，Elastic 都支持。你按照自己的节奏和风险采用 AI，而不是供应商的节奏。

• 可搜索规模： 只有 Elastic 提供联邦数据网格技术。通过可搜索快照，你可以将 PB 级数据保留在低成本对象存储中并在几秒钟内获得答案。问题流向数据，这减少了传输费用并保持数据边界。

速度和预防：新的货币

这些支柱直接支持在分钟决定成败的环境中对机器速度的需求。现代攻击执行得如此之快，如果你的平均响应时间是 30 到 40 分钟，攻击者就已经获胜了。

代理式未来需要一个处理完整 OODA 循环的平台。你必须在恶意活动执行前预防它，然后使用嵌入工作流的 AI 代理通过自动呈现上下文和触发自动化修复来检测和响应。我们必须通过将从检测到修复的时间压缩到秒级来阻止对组织的损害。

对安全采购方的意义

方向很明确：值得合作的安全供应商是那些以数据为基础、以安全为使命构建代理式操作的供应商。向代理式操作的转变不是一个路线图功能。在一个攻击者永不休息的环境中，这是生存的必要条件。

_本文中描述的任何功能或功能的发布和时间安排仍由 Elastic 全权决定。目前不可用的任何功能或功能可能无法按时交付或根本无法交付。_

_在本博客文章中，我们可能使用或提到了第三方生成式 AI 工具，这些工具由其各自所有者拥有和运营。Elastic 对第三方工具有任何控制权，我们对其内容、操作或使用不承担任何责任或义务，也不会对你使用此类工具可能产生的任何损失或损害承担责任。在使用 AI 工具处理个人、敏感或机密信息时请谨慎行事。您提交的任何数据都可能用于 AI 训练或其他目的。无法保证您提供的信息会被安全或保密保存。在使用任何生成式 AI 工具之前，您应该熟悉其隐私实践和使用条款。_

_Elastic、Elasticsearch 和相关标识是 Elasticsearch B.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其各自所有者的商标、徽标或注册商标。_