Gartner预测2025年SOC趋势：永远不会有自主自治的SOC，AI和自动化的重点是增强而不是替代人

一些市场解决方案承诺SOC安全运营中心活动永远不会完全自动化。即使自动化程度不断提高，人们仍将始终为 SOC 贡献关键能力。SRM 领导者应将 AI 和自动化的效用重点放在增强而非替代上。

主要发现

• 为安全运营功能（例如检测和响应或管理风险）而设计的解决方案中的自动化、编排和人工智能可能会带来变革。虽然它们不太可能实现完全自主的某些更离奇的要求，但它们将为安全运营中心 (SOC) 内的特定角色创造可扩展性。

• 与任何其他技术一样，在安全运营角色中使用人工智能需要新的技能和培训。在考虑如何在日常工作中使用自动化和人工智能时，高级分析师角色和具有编程/代码优先技能的员工更有可能为 SOC 组织提供价值。

• 威胁暴露管理等现代功能正成为 SOC 中越来越关键的一部分。自动化主导的功能为发展这些领域的技能和能力提供了空间。

• 人工智能的安全尚未像将人工智能用于安全功能那样受到重视和关注。需要进行平衡以确保安全运营团队能够应对涉及检测人工智能业务用途操纵的现代检测用例。

建议

• 计划招聘具备编程/编码等技能的人员，这些技能是支持 SOC 内的自动化和 AI 所必需的。通过提供培养测试、数据管理和流程开发员工的途径，启用和启动培训计划以及实验机会。

• 开发一种衡量实际运营收益的方法，因为它们与团队当前正在开展的活动有关，并且在承诺评估任何技术之前要保持怀疑态度。自动化和人工智能驱动的解决方案应专注于提高团队效率和工作乐趣，以及改进现有指标和增强角色，而不是承诺用人力替代。

• 尽快记录和验证现有流程，在发生故障时建立应急和恢复能力。以扩展现有流程为基础建立自动化能力，而不是将其作为有效程序的替代方案。

• 盘点组织中的AI项目，并与利益相关者合作，将AI的新用途与现有的SOC流程相结合，构建新的检测和响应能力，以防御新出现的威胁。

战略规划假设

• 到 2028 年，安全运营技能差距将进一步扩大，三分之一的高级职位将空缺一年以上。

• 到 2030 年，75% 的 SOC 团队将因过度依赖自动化和人工智能而面临基础安全分析技能的下降。

• 到 2027 年，由于自动化程度的提高和超大规模策略，25% 的常见 SOC 任务的成本效率将提高 50%。

• 到 2027 年，30% 的 SOC 领导者将无法成功将生成式AI 整合到生产流程中，原因是输出不准确或出现幻觉。

• 到 2027 年，45% 的 SOC 将重新评估其 AI 检测技术的自主研发与购买决策，重点增强分析师的能力。

分析

需要知道什么

在 SOC 中使用人工智能和自动化是不可避免的，因为日志数据的范围很广、调查方法复杂、模式难以发现，而且技能要求范围广泛，管理起来越来越困难。但要实现安全运营的完全自动化是不可能的，因为这需要无懈可击的准确性，而这是无法实现的。随着威胁的发展和技术的出现，新的挑战将不断出现，对人工干预的要求也会发生变化，但永远不会完全消除。现代 IT 订阅和系统的快速变化意味着，当我们设法实现某些自动化时，将会出现 10 个新问题（见图 1）。人类对 SOC 职责的贡献可以完全被取代的想法是虚构的。

图 1：不断扩大的威胁和不断变化的基础设施

已经发生的第一个变化是自动化的可访问性，包括其在日常工具中的集成以及低代码/无代码自动化功能的引入。但是，随着安全运营领导者开始普遍自动化特定功能，技术供应商将直接将这些功能整合到他们的平台中，并且随着攻击者改变策略，一些自动化功能可能会过时。此外，威胁技术将随着基础设施驱动技术的淘汰而消亡，新的威胁技术将出现。从时间的推移来看，成功自动化的能力与特定基础设施的使用时间长短或威胁存在的时间长短直接相关。目前，安全领导者/负责 SOC 的人员自动化的能力支持增强角色的需要。一旦安全领导者或供应商完全自动化了一项能力，重点就可以转移到改进当前运营和规划未来的基础设施和威胁挑战。这使安全领导者能够专注于增强当前的运营任务并为未来的基础设施和潜在的未来威胁技术制定战略。

这一系列战略规划假设反映了与 SOC 某些组件的自动化、AI 的使用以及对 SOC 内的人力资源和相关技能的影响相关的挑战：

• 前两个战略规划假设涉及 SOC 内部人员配置需求的影响和变化。它们还关注高级和初级技能将如何受到缺乏更多历史实践需求和缺乏在新技术组合中交付的能力的影响。缺乏适应性将对 SOC 员工产生重大影响。

• 第三个战略规划假设涉及 SOC 在自动化功能方面可能取得的成功，超自动化将对 SOC 可以完成的工作量以及预期完成的工作量产生影响。

• 第四和第五个战略规划假设概述了一些早期采用人工智能的人的命运逆转，这意味着策略必须改变，并且有可能重新评估或放弃投资。

战略规划假设：到2028年，安全运营技能差距将进一步扩大，三分之一的高级职位将空缺一年以上。

主要发现：

• 由于对自动化和人工智能的依赖性增加，入门级安全运营职位的空缺将会减少。这将影响初级员工是否能够获得成为事件响应者、威胁猎手和红队成员等高级员工所需的运营经验。因此，招聘高级职位的平均时间也会恶化。

• 同样激进的技术宣称能够取代初级分析师，这将推动关键事件响应流程的过度自动化，而没有必要的分类质量确认。

• 因此，由于自动化处理承担了更多基本任务，高级分析师和新晋升的初级分析师将面临工作量增加的复杂性。工具进步或收购可能无法完全满足员工的新任务要求。

• 服务提供商将需要更多资深且经验丰富的员工来维持对其服务的需求。因此，他们追求更多收入的动力很可能来自于提供更高级的响应服务或更严格的 SLA 。这将影响市场上资深员工的可用性和成本。

市场影响：

• 大多数组织仅关联和分析他们收集的一小部分事件。因此，自动分类的改进实际上会增加（而不是减少）需要确认、进一步调查或归类为误报的告警数量。

• 声称具有完全自动化分类功能的工具和服务对更成熟的安全运营团队的生产力瓶颈影响最小。这是因为在收集和分析时已经发生了高度自动化的聚合，或者因为提供商（例如 MDR 服务）已经执行了关联事件的功能。

• 分类扩展可能会增加高级分析师的负担，因为自动升级的事件需要更多的人工验证任务。对于无法自动分类的更复杂事件，它不太可能减轻负担。

• 只要自动化进程仅仅关注事件分类而忽略其他责任领域，长期生产力和质量影响仍将不确定，例如：

o   事件响应链的后期阶段

o   跨组织共享威胁情报

o   威胁暴露处理

o   发出事件和告警的设备的配置/姿态管理

• 以人工智能为借口来降低工作条件和降低技能的风险（因为生成式AI工具有望执行更复杂的“推理”）的现象已经开始出现，并将加速高级安全运营岗位本已很高的流失率，导致越来越多的职位空缺无法填补。

建议：

• 抵制将任务生产率提高作为 AI 计划成果的诱惑。将话题转向团队改进、现有安全指标和定性评估。

• 将定期人工验证作为初始和持续培训计划的一部分，以保障关键技能。实施抽样验证。

• 通过关注团队目标、明确识别瓶颈和解释相关的安全用例来定义人工智能投资的可衡量结果。

• 跟踪准确性偏差、与错误相关的成本、人工验证、员工招聘和保留。

• 通过人才和技能保留计划限制高级员工的流失，最大限度地减少技能流失。抵制自愿降低技能的做法，例如压低工资。

• 通过投资培训和长期留任激励措施，加速初级 SOC 员工晋升至高级职位。确保初级职位职责不会变得过于繁琐（验证 AI），以免有前途的新人才在晋升之前离职。

战略规划假设：到2030 年，75% 的SOC团队将因过度依赖自动化和人工智能而面临基础安全分析技能的下降。

主要发现：

• 初始告警分类和调查的扩展，加上人工智能的总结和建议，将减少网络事件处理的风险和经验。这对于在转向依赖自动化和人工智能后进入安全行业的新员工来说尤其有影响。

• 安全学习、开发和认证计划将从在职培训转向提供更多的数据输入和自动化流程开发。这将减少可用的专家培训资源，留下 2020年代中期过时的培训材料作为紧急指导来源。

• 人类威胁和事件分析专业知识将集中在安全供应商、托管安全和事件响应咨询提供商身上。用于训练模型和定义一级安全分析和流程的内部专业知识将仅限于人员预算更高的更成熟组织。大多数安全团队将需要预算来外包 AI 和自动化的培训和开发。

• 安全分析师将越来越多地转向更快捷的工程专业知识，并从控制台之间的“玻璃窗格”和“旋转座椅”操作转变为不同技术之间的快捷链接，以实现安全结果。

近期标志：

推动企业实现更多自动化和使用人工智能的企业领导者将寻求通过安全运营来降低成本并提高效率。安全领导者将被要求在未来两到三年内在其安全工具中实施人工智能和自动化技术或功能。这将导致基础安全分析技能的下降，以及“以人工智能为借口”裁员或为现有技术战略辩护的情况增多。

未来两年，安全供应商将越来越多地宣传更自主的 SOC 功能。安全领导者必须使用运营收益分析方法来揭穿供应商的夸大其词的说法。人工智能助手技术的市场整合将主要通过收购来实现，以提供一级分析和流程作为更大平台产品的一部分。目前，这种技术市场的一些动向可以在安全信息和事件管理 ( SIEM) 、案例管理和扩展检测和响应 ( XDR)等技术中看到。

服务提供商和咨询公司将开始提供备用人工分析支持服务或 AI 和自动化调优服务，以帮助组织做出技术选择。技术提供商可能会提供更多实际的技术管理和服务交付，作为 AI 和自动化驱动的安全服务交付平台的一部分。

安全供应商将开始实施流程挖掘，为人工智能和自动化解决方案提供信息，这些解决方案将自动发现并创建具有集成和推荐操作的流程工作流。

市场影响：

• 使用资产或用户数据对告警进行情境化、威胁情报查找和隔离主机都是可以自动化以协助分析师的任务示例。然而，即使是这些微小的自动化任务功能也已经影响到常见的 SOC 分析师技能组合，例如数据运营和安全技术配置专长。

• 安全编排自动化和响应 (SOAR) 工具的采用已将 SOC 内所需的技能组合调整为面向开发人员的思维方式。预定义的自然语言功能将削弱对这些新技能组合的需求，可能会导致故障驱动的中断，而本地解决技能将不存在。

• 人工智能和自动化解决方案的准确性和精确度将受到质疑。但随着日常分析过程的消失，SOC 将经历分析师隐性知识和运营理解的侵蚀，这将使他们能够质疑自动化或人工智能驱动输出的结果。

• 安全分析师目前所采用的批判性思维和创新技术的常规应用将受到影响。人类和机器模型都使用贝叶斯推理，它利用预先存在的信念，这些信念可能会变得陈旧或无效，并且缺乏更新的机会。

建议：

• 在实施 AI功能时，规划如何跟踪AI 的改进和缺陷。将 AI 前指标与 AI 后稳定状态指标进行比较，以确定 AI 是否有所改进，以及 SOC 中 AI 不太合适的地方。

• 与安全分析师沟通，确定在实施人工智能和自动化安全解决方案后他们希望扮演什么样的角色。讨论人工智能导致技能流失的真正可能性，特别是在初始告警接收、调查和充实层面。安全领导者和高级运营人员需要确定以人为主导的 SOC 功能仍然存在的地方，以及如何将 SOC 分析师转变为需要更多人为决策的角色。

• 为安全项目建立并维护以人为本的业务连续性计划，以应对人工智能或自动化故障。这包括从安全解决方案供应商处获取人工智能可解释性，并记录分析、流程和报告功能。

• 准备一份商业案例和论据，以维持内部 SOC，以应对来自业务领导的压力。这样做将减少或消除安全运营计划，转而采用需要大量时间和证据才能证明价值的人工智能驱动解决方案。人类 SOC 分析师将在组织知识、无形的办公室动态（人员配备、办公室政治）和直觉决策方面保持优于机器的优势。

战略规划假设：到 2027 年，由于自动化程度的提高和超大规模扩展策略，25% 的常见 SOC 任务的成本效率将提高50 % 。

主要发现：

• 与端到端自动化相比，专注于任务和工作流程优化的 SOC 计划可实现更具影响力的结果。更现实的做法是，在告警情境化等领域扩展 SOC 角色（例如事件调查员），而不是取代整个工作流程或角色。

• 使自动化具有弹性和有效性所需的人力开发工作通常超过其为扩展特定流程所能提供的价值。这通常是由于特定自动化所需的频率较低以及它们旨在优化的任务类型。

• 部署单一的扩展方法（例如仅工作流自动化或仅 AI）会严重限制可优化的安全操作任务类型。

市场影响：

• 预算分配从运营安全工具转向自动化驱动的解决方案和促进使用人工智能的解决方案的可能性很高。传统 SOC 功能可能分配不足，从而导致能力下降和潜在的绩效不佳。

• 对自动化的依赖性增加以及缺乏有效的测量能力或调试/审计功能将给运营安全流程带来额外的风险，并间接增加企业的网络风险。

• 对 SOC 的期望和工作量增加是不可避免的。自动化和人工智能已经改变了管理层对安全运营团队中什么是合理或实用的看法。

• 运营密集型解决方案，例如 SIEM、XDR 和案例管理，或 SOC 中使用的其他类似平台型解决方案，将需要在其平台中整合混合扩展功能作为产品差异化的点。

建议：

• 如果您目前在 SOAR 技术方面有投资，请扩大预算以包括 AI 功能，或者寻找可以在单一解决方案中同时实现自动化和 AI 的供应商。

• 在评估提供 AI 和自动化的供应商之前，请对您的安全运营进行自我评估，以确定存在较大问题的任务领域和当前需要手动完成的工作量。此基准有助于让供应商专注于您真正需要的帮助，并衡量他们在重要方面提供可衡量改进结果的能力。

• 寻求能够为您的运营团队带来最大扩展收益的解决方案。这通常是通过优先优化较少的大型任务来实现的，而不是尝试在大量较小的任务上实施扩展技术。

• 避免将部署自动化或 AI 等技术作为战略重点。相反，制定战略时应着重实现安全运营流程的超大规模，通过各种项目提高团队效率，并同时实施 AI 和自动化。

战略规划假设：到 2027 年，30% 的 SOC 领导者将因输出不准确和幻觉而无法将生成式AI整合到生产流程中。

主要发现：

• 目前很难估计生成式AI 附加到现有 SOC 工具的成本和价值。投资于解决方案订阅的组织主要在进行实验，通常符合更广泛的组织使用 AI 的战略。

• SOC 预算无法与对新威胁和 IT 基础设施变化的覆盖范围不断增长的需求相提并论。根据 2024 年 Gartner 设计和构建现代安全运营调查，在过去 12 个月中，三分之二的组织增加了安全运营人员和外包预算。与安全运营工具和总体预算相比，这一数字较低，后者增加了四分之三的组织。

• 很少有组织为处理安全运营工具生成的告警和事件而建立新的程序，以将生成式AI的使用考虑在内。缺乏规划意味着，验证生成式AI输出以及使用可能受到不准确性和幻觉影响的输出所采取的行动的补偿不足。

• SOC 用来判断其对业务的价值的成功衡量标准通常侧重于降低风险/入侵可能性以及已识别威胁的影响。Gartner尚未观察到组织在衡量生成式AI在 SOC 流程中的价值和影响方面发生重大转变。

市场影响：

• 放弃项目可能会导致预算损失。SOC 领导者必须考虑在生成式AI解决方案得到市场认可之前，将预算投入到生成式AI解决方案的长期性和收益。

• 如果没有早期的衡量计划，组织将无法证明在 SOC 中对生成式AI功能的有效投入是合理的，从而导致花费大量时间追溯分析所提供的价值。SOC 流程不完善的组织将遭受最大的损失。

• 尽早采用新技术解决方案有助于为路线图和设计提供信息，这意味着解决方案将更适合早期投资人的需求。然而，SOC能力较不成熟的小型组织不太可能影响供应商的路线图。买家在投资之前必须认识到与供应商建立反馈回路的价值和潜力。

• 对于提供商而言，运营生成式AI解决方案的成本尚不明确。对解决方案的兴趣和输出的有效性将影响提供商的总体成本，因为生成式AI解决方案依赖于计算和存储，并且这些成本会发生变化。在组织投入大量资金进行集成后，提供商可能会因为缺乏商业可行性而撤销解决方案。

• 多个组织可能会选择在同一时间段内放弃生成式AI计划，这将导致对初级 SOC 分析师职位的需求增加。当技能竞争激烈且 AI 可能会削弱此类技能的维护和可用性时，可能会发生这种情况。

建议：

• 在投资生成式AI解决方案的同时，对预算进行相应的竞标。为 SOC 领导者提供未来理由，以继续部署生成式AI资金来取代不再有效的解决方案。

• 在开展 AI SOC 计划之前，使用现有指标来衡量现有的 SOC 流程、人员成本和技术成本。了解潜在的节省对于任何商业案例都很有用，并提供基准来比较使用 AI 获得的未来价值。

• 建立新流程来定期验证或抽样生成式AI发现的结果，特别是那些可能导致自动响应的结果。

• 为 SOC 计划依赖生成式AI的每个单独功能创建回滚和冗余计划。在计划中包括技能组合、数据访问和工作优先级的要求，以解决任何生产力下降的问题。

战略规划假设：到2027 年，45% 的 SOC 将重新评估其针对 AI 检测技术的自主研发还是购买决策，并重点增强分析师的能力。

主要发现：

• 在过去的几年里，安全运营组织和许多其他 IT 相关组织一样，已经被生成式AI的承诺以及它将如何帮助弥补人员短缺和检测与响应能力等方面的差距所淹没。

• 安全运营组织在很大程度上看到了成熟的基于 AI 的技术（如用户和实体行为分析 (UEBA)）的平淡结果，即使在规模适中的组织中，误报和调整工作量也难以管理。这导致组织要么放弃异常检测产品，要么对构建特定检测功能感兴趣，以满足组织的特定需求。

• 构建定制 AI 技术的成本将在人员配备和计算资源方面产生重大成本影响。许多组织没有具备软件开发和数据科学技能的员工，而这些技能是正确构建此类内部技术的关键能力。聘请具备这些能力的合适员工可能会花费不菲。

• 将定制的人工智能检测技术与现有的安全工具和系统完美集成，可以大大增强组织的整体安全态势。当人工智能系统与当前的工具和平台完全兼容时，它们可以协同运行，充分利用传统和先进技术的优势。

市场影响：

• 市场上的网络安全 AI 助手功能正在不断扩展，以解决威胁检测、调查和响应 ( TDIR ) 和威胁情报等各个领域的差距。新兴趋势包括使用生成式AI来自动化一级分析师的任务，但对于完全将人类从循环中移除持怀疑态度。

• 由于内部开发成本高昂，且现有异常检测性能不佳，组织正在重新考虑是自行开发还是购买安全运营技术。尽管如此，一些组织利用现有人员，可能会成功开发出最小可行产品 (MVP) 并将其相对较快地部署到生产中。然而，这些 MVP 通常无法超越初始阶段。更成功的是，SIEM 领域的知名供应商提供 AI/机器学习工具和生成式AI集成，从而增强数据流程和内部能力建设。

• 生成式AI在安全运营方面的潜力吸引了旨在创建自主 SOC 解决方案的初创公司，尽管其长期有效性尚未得到证实。科技公司仍有机会开发人工智能驱动的解决方案，并为能力较弱的团队提供集成工具来创建智能系统。

建议：

• 进行详细的成本效益分析，以评估构建与购买 AI 驱动技术的财务、运营和战略影响。全面的成本效益分析将帮助您了解总体拥有成本，包括初始开发成本、持续维护和潜在的隐性费用。此分析还应考虑将内部资源转移到开发项目与利用现成解决方案相关的机会成本。

• 如果您的安全运营组织正在考虑开发自己的AI 驱动检测能力，则必须彻底评估此类工作所需的技能。基本能力包括但不限于软件工程、数据科学、机器学习运营 (MLOps) 和相关领域。虽然传统的 SOC 分析师可能拥有这些领域的基础知识，但创建高质量的 AI 驱动产品以及持续的调整和维护需要专业级的专业知识。这种高级技能对于确保即时有效性和长期持续成功至关重要。

• 评估 AI 驱动解决方案（无论是购买的还是构建的）与现有安全基础设施和工作流程的兼容性和集成能力。与当前系统的无缝集成对于最大限度地提高 AI 驱动技术的有效性至关重要。不兼容可能会导致运营效率低下、复杂性增加和潜在的安全漏洞。

• 选择可扩展且能适应未来发展和不断演变的安全威胁的 AI 驱动技术。网络安全形势瞬息万变，新威胁和技术不断涌现。组织需要能够随着业务增长而扩展并适应未来需求而无需进行重大改革的解决方案。