對於許多企業來說,MDR(Managed Detection and Response,託管偵測與回應)曾是解決安全人力不足的救星。簡單來說,MDR 就是將監控與分析外包給第三方廠商,由他們的分析師 24 小時幫你盯著警報(Alerts),在發現問題時通知你。
然而,隨著攻擊者開始利用 AI 自動化偵察、大規模生成高度擬真的釣魚郵件,以及開發能繞過特徵碼偵測的變種惡意軟體,傳統 MDR 的運作模式已經跟不上攻擊速度。
傳統 MDR 的結構性缺陷
許多公司以為購買 MDR 意味著 24/7 的全天候覆蓋,但實際上,這僅僅是 24/7 的人力可用性,而非對所有警報的全面覆蓋。
人力處理能力的瓶頸 在海量的警報中,人類分析師無法處理所有資訊,因此必然會進行優先級排序。通常 P1 和 P2 等高嚴重級警報會被處理,而 P3 和 P4 等低嚴重級或資訊類警報則會被積壓。問題在於,攻擊者深知這一點,許多真實的威脅正是隱藏在這些被忽視的低優先級警報中。數據顯示,約有 60% 的警報從未被審查,而其中約 1% 的真實威脅就潛伏在這些被捨棄的雜訊裡。
調查品質的不一致性 人類分析師的判斷受限於經驗、疲勞程度與當下的壓力。同樣的警報,在凌晨三點與上午十點得到的調查結果可能完全不同。當調查過於淺層,早期的橫向移動(Lateral Movement,攻擊者在內網中從一台機器跳轉到另一台機器的行為)很容易被誤認為是例行操作。
偵測工程的斷層 在大多數 MDR 模式中,偵測規則的優化(Detection Engineering)是週期性的,通常是在客戶抱怨雜訊太多或出現重大漏洞(CVE)時才調整。分析師在前端將警報判定為誤報(False Positive)後,這個洞察很少能即時回饋到後端的偵測規則中,導致同樣的錯誤反覆發生。
黑盒化與知識鎖定 MDR 服務通常像個黑盒子,客戶只能看到結果,無法審核調查邏輯或證據鏈。更糟糕的是,多年來針對該環境累積的偵測規則與知識全部留在廠商平台中。一旦合約結束,企業將面臨知識歸零,無法將這些經驗遷移到內部團隊或新工具上。
AI SOC:從人力驅動轉向 AI 執行
面對 AI 驅動的攻擊,防禦端需要的是 AI SOC(AI Security Operations Center)。其核心邏輯是將調查的執行權從人類隊列移交給 AI,讓人類從發現問題(Discovery)轉向做出決策(Decision)。
全量調查而非抽樣 AI SOC 不再根據嚴重級別篩選警報,而是對 100% 的警報(包含端點、身份、雲端、網路等)進行自動化調查。AI 能在不到一分鐘內完成分析,且對待 P4 警報的深度與對待 P1 相同,徹底消除低優先級警報中的盲點。
深層數位鑑識(Forensic Depth) 真正的 AI 調查不應只是摘要警報或補充威脅情資,而必須具備鑑識能力。例如,針對無文件惡意軟體(Fileless Malware,直接在記憶體執行而不寫入硬碟的威脅),AI 必須能進行記憶體分析、二進位碼分析與代碼重用偵測,才能確認是否真的被入侵。
閉環偵測工程 AI SOC 實現了調查與偵測的閉環。每一次 AI 的調查結果都能即時回饋給偵測系統,自動調整雜訊規則並補強缺失的覆蓋範圍。這讓防禦能力從靜態的基準線,變成了能隨攻擊手法演進而動態更新的圖譜。
實務上的轉型建議
對於工程主管或 CISO 來說,從 MDR 轉向 AI SOC 不需要立即採取劇烈的汰換,可以採取漸進式策略:
首先,在現有的 MDR 合約之外,引入 AI 調查工具作為補充。透過對比 AI 發現了哪些 MDR 漏掉的威脅,來驗證 AI SOC 的價值。
其次,關注計費模式的改變。傳統 AI 工具若按警報量計費,會導致企業為了省錢而再次篩選警報,回到 MDR 的老路。理想的 AI SOC 應採取按端點計費(Per-endpoint pricing),讓全量調查成為預設選項而非昂貴的附加服務。
最後,確保知識所有權。所有的偵測規則與調查歷史應屬於企業本身,以便未來能將其作為自有 AI Agent 的知識基礎(Knowledge Foundation)。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。