許多進入資安監控中心 SOC (Security Operations Center) 的初級工程師會發現,每天面對成千上萬條告警訊息,最令人焦慮的不是告警數量太多,而是那些真正危險的訊號往往被埋在雜訊中,甚至根本沒有人去處理。這種現象在業界被稱為覆蓋率天花板,意指無論投入多少工具,依然存在某些類型的威脅無法被有效分流與分析。
為什麼高風險告警會被忽視
在典型的企業環境中,有幾類告警最容易變成盲區。首先是 WAF (Web Application Firewall,網頁應用程式防火牆) 的事件,雖然它能攔截大量攻擊,但要判斷其中哪些是真正的滲透嘗試,需要深厚的 Web 攻擊知識。其次是 DLP (Data Loss Prevention,資料外洩防護) 的異常,這需要對企業內部業務流程有極高認知,才能區分是員工正常操作還是資料外洩。此外,OT (Operational Technology,工業控制系統) 與 IoT 設備的訊號、暗網情資以及供應鏈風險訊號,由於其專業領域跨度大,一般的 SOC 分析師往往缺乏對應的知識背景來進行判定。
現有運維模型的結構性缺陷
目前業界處理告警主要分為三種模式,但每種模式都有其限制。
第一種是企業內部自建 SOC 團隊。分析師通常被淹沒在大量重複性的常規告警中,導致他們沒有精力和專業能力去處理上述的 WAF 或 OT 等複雜事件。
第二種是委外服務,如 MSSP (Managed Security Service Provider,託管安全服務提供商) 或 MDR (Managed Detection and Response,託管偵測與回應)。這類服務商雖然有人力,但缺乏客戶內部的業務脈絡。當他們遇到複雜且需要業務背景才能判定的告警時,往往會將其直接回傳給客戶,而客戶內部的團隊此時正處於過載狀態,形成惡性循環。
第三種是 AI 自動化平台。目前的 AI SOC 平台大多依賴靜態的預定義邏輯或 Playbook (標準作業程序)。這意味著 AI 只能處理它被教過的那四到六類常見告警。一旦遇到新型威脅、不熟悉的告警來源或新興的攻擊向量,AI 會因為無法匹配邏輯而將其降權處理或直接跳過。
從靜態邏輯轉向動態分流
要打破這個覆蓋率天花板,技術核心必須從預定義的 Playbook 轉向動態生成邏輯。傳統的自動化是如果 A 發生則執行 B,但面對多變的威脅,這種方式太僵硬。
新一代的 AI SOC 解決方案嘗試讓 AI 在接收到告警的瞬間,根據該告警的內容即時生成自定義的分流邏輯。這種方式不再依賴於開發者預先寫好的規則,而是讓 AI 具備理解未知告警類型並自主推導分析路徑的能力。這樣即使是平台從未見過的告警來源,也能被有效地進行初步分析與優先級排序,將真正的風險呈現在分析師面前。
總結與實務啟發
對於資安工程師而言,意識到工具的限制比盲目相信工具更重要。當你發現某些類型的告警長期被忽略時,不要以為那是因為沒有威脅,而應該思考是否是因為目前的分析流程缺乏對應的專業知識或自動化邏輯。解決 SOC 疲勞的關鍵不在於減少告警數量,而是在於如何建立一套能處理未知、複雜訊號的動態分流機制,確保高風險的威脅不會因為沒有對應的流程而成為駭客入侵的突破口。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。