許多資安團隊在導入 AI 時會陷入一個誤區:認為只要把 Claude 或 GPT 這種強大的大型語言模型(LLM)接上偵測工具,就能解決分析師壓力過大的問題。但事實上,這種做法只是將「人力搬磚」轉化為「AI 搬磚」,並沒有解決 SOC(Security Operations Center,安全運作中心)最核心的認知負荷問題。
要打造高效的 SOC,我們應該參考諾貝爾獎得主 Daniel Kahneman 的認知理論:快思考(System 1)與慢思考(System 2)。
理解快慢思考的認知模型
在心理學中,人類的大腦分為兩種運作模式。快思考(System 1)是自動化的、直覺的且無意識的,負責處理 95% 的日常認知,例如認出熟人的臉或快速反應。而慢思考(System 2)則是邏輯性的、費力的且需要專注的,僅佔 5% 的認知,用於處理複雜問題,如分析合約或進行壓力下的決策。
當我們將這個模型套用到 SOC 的警報處理時,會發現驚人的相似之處。研究顯示,在數千萬條企業警報中,約 98% 的警報可以透過自動化手段解決,僅有 2% 真正需要人類專家介入。
如果 SOC 的設計不符合這個比例,就會出現兩種失效模式。第一種是傳統模式:讓分析師用「慢思考」去處理 98% 的「快思考」工作(例如手動核對 IP 是否惡意),導致分析師認知耗盡,最終在疲憊中漏掉隱藏在低風險警報中的真實威脅。第二種是目前的 AI 誤區:直接將昂貴的 LLM 部署在原始數據上,雖然速度快了,但依然需要人類觸發調查,且成本極高,最終團隊還是會選擇跳過低優先級警報。
構建 SOC 的快思考層:自動化自主大腦
針對那 98% 的常態性警報,SOC 需要一個「快思考大腦」。這個大腦不應該是一個通用型的對話 AI,而是一個專為鑑識調查設計的自主系統(Autonomous AI)。
它的核心特徵是無需人類提示(Prompt)即可運作。它會對 100% 的信號進行深度調查,包括記憶體掃描、檔案分析以及跨端點、身分、網路與雲端的關聯分析。它的目標不是提供建議,而是直接給出判定(Verdict):關閉噪音,並將真正有問題的案例,連同所有已收集的證據,打包遞交給人類。
這樣做能確保沒有任何一個警報被遺漏,分析師不再需要花時間在「確認這個警報是否值得看」這種低價值工作上。
構建 SOC 的慢思考層:分析師 Copilot
當 2% 的高價值案例被遞交上來時,才是 AI Copilot(如 Claude, Cursor 等)發揮作用的時刻。
此時的 Copilot 不應從原始警報開始,而應從一份完整的調查報告開始。分析師的角色從「篩選者」轉變為「監督者」。他們利用 AI 協助進行複雜的案例分析、編寫偵測規則或撰寫事件報告。這種工作需要結合業務背景與專業判斷,正是「慢思考」的強項。
最關鍵的價值在於這兩層系統的循環:分析師在慢思考層所做的每一次修正、每一條新規則,都會回饋給快思考層,讓自動化判定在下個月變得更精準。
內部化知識層的重要性
這裡有一個實務上的戰略陷阱:許多企業將調查外包給 MDR(Managed Detection and Response,託管偵測與回應)服務商。雖然這能減輕壓力,但這意味著所有關於環境的知識、判定邏輯與歷史脈絡都積累在廠商的平台中。
當你嘗試在內部部署 AI Copilot 時,會發現它缺乏基礎數據支持,因為你的「慢思考」缺乏一個由自己擁有的「快思考」基礎層。將調查能力內部化,不僅是為了覆蓋率,更是為了建立企業自身的安全知識庫,讓 AI 能在真實的環境脈絡下運作。
總結:從執行到監督的轉型
2026 年後的成功 SOC,不會是擁有最多分析師或最強 LLM 的團隊,而是能正確分配認知資源的團隊。
快思考層負責 100% 的執行與篩選,慢思考層負責 2% 的監督與決策。當 AI 負責執行,人類負責監督時,資安分析師才能從繁瑣的警報隊列中解脫,回歸到威脅獵捕與策略優化等真正具備價值的工作中。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。