許多企業的資安團隊面臨一個弔詭的現象:手邊擁有的工具越多,反應速度反而越慢。平均每家企業可能部署了 40 種以上的資安工具,從漏洞掃描、威脅情資到 SIEM(安全資訊與事件管理系統,負責彙整日誌並發出警報的中心化平台),視角看似全面,但實際上這些工具彼此孤立,形成了所謂的工具孤島。
當威脅發生時,分析師必須在不同工具間切換,手動將情資比對漏洞,再驗證攻擊路徑,最後才開單修補。這種依賴人力協調的架構,導致威脅在系統內潛伏的時間(Dwell Time)過長,往往在分析師採取行動前,攻擊者已經完成了滲透。
目前的解決方案嘗試引入 AI,但我們必須區分兩種截然不同的 AI 模式:輔助式 AI 與代理式 AI。
輔助式 AI (Assistive AI) 這類 AI 扮演的是助手角色,它採取被動模式,等待人類下指令。例如,你請聊天機器人總結一份長篇的威脅報告,或者將日誌翻譯成易懂的文字。它能讓分析師在處理單一任務時速度變快,但它無法改變整體的工作流程。分析師依然需要扮演那個在各個工具之間搬運數據的搬運工。
代理式 AI (Agentic AI) 代理式 AI 的核心在於主動性與執行力。它不再只是回答問題,而是能理解上下文、自主設定優先順序,並在多個系統之間執行多步驟的工作流。它在背景以機器速度運作,能夠自動將情資與目前的暴露面比對,驗證防禦措施是否有效,並直接將結果推送至修補流程。
將 Agentic AI 導入資安維運的實務脈絡:CTEM 的自動化 為了落實主動防禦,Gartner 提出了 CTEM(持續威脅暴露管理,一種從單次掃描轉向持續循環的風險管理框架)。CTEM 要求企業經歷範圍界定、發現、優先級排序、驗證與動員這五個階段。
在傳統模式下,CTEM 往往只是一張漂亮的簡報圖表,因為要把這五個階段串接起來需要極高的人力成本。而 Agentic AI 的介入,能將以下三個關鍵功能閉環化:
第一是情資營運化。AI 代理能持續攝取威脅情資,並自動將其與企業內部的資產與漏洞數據對齊,讓團隊立刻知道哪些攻擊手法對目前的環境構成真實威脅。
第二是安全態勢驗證。AI 能自動觸發驗證流程,測試目前的防禦機制是否能擋住上述的威脅行為,而非僅僅依賴漏洞掃描器的風險分數。
第三是回應動員。基於驗證後的證據,AI 能自動將修補任務路由至正確的團隊,並根據真實風險而非預設等級來排列優先順序。
從工具思維轉向營運模型 對於工程師與資安領導者來說,最重要的一點是:Agentic AI 解決的不是單一工具的功能缺失,而是工具之間的空白地帶(White Space)。
通用型的大語言模型(General-purpose LLMs)並不適合直接處理這類任務,因為資安維運需要深度的上下文知識與產品操作經驗。真正的解決方案需要一個專屬的 AI 編排層(Orchestration Layer),讓多個專業的 AI 代理能彼此交接任務,同時保留人類在最終決策環節中的角色(Human-in-the-loop)。
當資安維運從輔助式轉向代理式,分析師的角色將從執行重複性操作的勞動力,轉變為驅動情資行動的編排者。這不僅是工具的升級,更是將資安防禦速度從人力協調提升至機器速度的架構轉型。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。