許多企業在部署 AI 進入安全維運中心(SOC, Security Operations Center)後,發現實際成效不如預期。根據 SOC-CMM 2026 成熟度報告顯示,僅有 10% 的 SOC 認為 AI 帶來了極高的價值,而高達 71% 的組織僅感受到部分價值甚至毫無幫助。
對於剛接觸安全維運的工程師來說,這看似是 AI 能力不足,但實際上這是一個典型的架構問題。目前的困境在於,大多數企業正處於 AI 部署的 第一波浪潮,而真正能產生價值的將是 第二波浪潮。
第一波浪潮:被碎片化的單點 AI 功能綁架
在第一波浪潮中,AI 被視為一種 附加功能(Feature)。各大廠商將 AI 塞進現有的產品中,例如 SIEM(安全資訊與事件管理系統)增加了 AI 分類、EDR(端點偵測與回應)增加了 AI 調查、SOAR(安全編排、自動化與回應)增加了 AI 劇本生成。
雖然每個功能單獨看都有效,但它們之間缺乏 上下文共享(Context Sharing)。這導致分析師面對的不是一個強大的 AI 助手,而是五個互不相通的 AI 工具。
舉例來說,SIEM 的分類 AI 不知道偵測工程師上週屏蔽了哪些規則,而 EDR 的調查 AI 也不知道威脅情資團隊今早標記的最新風險。這種模式僅僅是加速了單一環節的作業,卻沒有解決 SOC 最耗時的痛點:環節之間的 交付(Handoff)。當 AI 只是加速孤島時,它反而增加了操作的複雜度。
第二波浪潮:從功能導向轉向 Agentic 架構
要突破目前的瓶頸,SOC 必須從 買功能 轉向 建立架構。第二波浪潮的核心在於 Agentic SOC,即將 AI 代理(Agent)視為能跨越整個維運生命週期的決策者,而非單一產品的助手。
一個成熟的 Agentic 架構應將以下五個階段整合為一個 互連織網(Connected Fabric): 威脅情資(Threat Intelligence) 威脅獵捕(Threat Hunting) 偵測工程(Detection Engineering) 事件調查(Investigation) 修補回應(Remediation)
在這種架構下,資訊是流動且循環的。例如,一次完成的事件調查會自動校準下一次的偵測規則;一次成功的威脅獵捕會更新情資循環;而修補回應的結果會反饋到自動化劇本中。這種 複利效應(Compounding Effect)才是讓 10% 的頂尖 SOC 獲得極高價值的關鍵。
實現高效 AI SOC 的三個核心要素
除了跨階段的整合,成功的 AI 部署還需要解決以下三個實務問題:
第一,納入機構知識(Institutional Knowledge)。 通用型 AI 只能給出網路上的平均答案,但安全維運需要的是 具體環境的答案。醫療業與金融業的 正常行為(Normal)完全不同。高效的 AI 必須能學習該組織的資產重要性、過去分析師的判斷邏輯以及特定的升級標準,否則 AI 產出的結果將充滿噪音。
第二,可治理性與透明度(Governance)。 AI 不能是一個黑盒子。在安全領域,分析師必須能審核 AI 的 推理鏈(Reasoning Trace),清楚知道 AI 為什麼採取這個行動。透過設定 護欄(Guardrails),讓 AI 的權限從輔助逐步遞增到自主,才能建立起分析師對系統的信任。
第三,從 Human-in-the-loop 轉向 Human-on-the-loop。 傳統 AI 是分析師在每個步驟都要介入(In-the-loop),而 Agentic 架構旨在讓分析師轉變為 監督者(On-the-loop),負責審核高階決策而非處理瑣碎的操作。
總結與實務建議
目前的趨勢是,攻擊者已經開始利用 AI 開發零日漏洞(Zero-day exploit)並以機器速度尋找漏洞。如果防禦方仍將 AI 視為碎片化的工具,將無法應對這種速度的對抗。
對於負責評估 AI 工具的工程師或主管,建議在採購時詢問三個關鍵問題: 這個 AI 是僅限於單一階段,還是能跨越整個 SOC 生命週期運作? 它如何學習並保存我們組織特有的機構知識? 它能否提供可審核的推理過程,並允許我們分階段管控其自主權?
如果供應商無法回答這些問題,他們銷售的依然是第一波浪潮的單點功能,而非能真正提升戰鬥力的第二波架構。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。