想像一下,如果你的下一位團隊成員不是人類,會是什麼感覺?隨著AI代理(Agent AI)席捲全球,這個情景已經不再是科幻小說。許多資安專業人士擔心:「AI代理會搶走我的工作嗎?」
真正會取代工作的不是AI代理本身,而是那些懂得與AI代理合作的人。現在正是時候開始將AI代理視為協作夥伴,而非單純的自動化工具。
而資安託管業者將需要AI代理帶來創新與變革的領域,這產業也正面臨著前所未有的機遇與挑戰。
資安託管業者面臨的挑戰
許多人質疑:「能把SOC的多少工作完全自動化?」然而,傳統的SOAR劇本只會依照預設規則執行,無法即時調整,不能判斷「這個使用者今天的行為是否異常?」,也不知道什麼時候該停下來。
完全自動化缺乏資深資安分析師所具備的細膩判斷,像是情境理解、事件升級判斷和風險評估能力。
傳統企業內部資安環境常見的問題,如SOC團隊超負荷、動態威脅變化、誤判警報以及警報疲勞,在資安託管業者模式下不僅沒有消失,反而更加嚴重。雖然將風險轉移給資安託管業者確實緩解了企業的直接負擔,但複雜性依然存在,這些重擔現在落到了資安託管業者身上。
AI代理的差異化優勢
AI代理則具有目標導向的自主決策能力,能夠主動採取行動、記住情境脈絡,並大規模地做出多步驟決策。更重要的是,AI代理能將工作模式從單純執行指令轉變為觀察、學習和協作,成為真正的團隊成員。
SOC中傳統「小組」的概念,也就是有一群人員負責支援特定客戶或環境。現在,把這個「小組」概念擴展為人員與AI代理一起工作的團隊。
資安分析師不再被大量資安警報壓得喘不過氣,而是管理各種專門訓練的AI代理:
- 釣魚郵件分類代理
- 橫向滲透偵測代理
- 內部威脅監控代理
這些代理不只是簡單的腳本,而是真正會學習的系統。它們能記住過去的決策,根據最新的資安威脅情報進行調整,並提供可清楚解釋的行動建議。
效能提升的量化指標
在這種模式下,分析師成為首席策略師,負責確認關鍵步驟、引導代理的決策過程,並透過回饋來優化結果。
在特定任務代理的支援下,一位分析師可以處理5至10倍的工作量,而不犧牲品質。代理將處理基礎工作,如資訊擴充、關聯性分析和雜訊過濾,使人類分析師能夠專注於做出關鍵判斷。
不過,這並非只是加入AI就能一蹴而就,信任問題成為一大障礙。分析師需要了解代理為何採取某項行動,如果它隔離了某台主機,是因為行為分析、關聯規則,還是錯誤的觸發條件?若代理無法解釋自己的行動,分析師將不會使用它。
未來的資安託管業者運營模式
展望未來數年,資安託管業者將演變為更類似數位營運中心的模式。資安分析師不僅會與AI代理合作,更會管理一整套AI代理系統。
新的工作職位如「AI代理營運主管」或「威脅應變策略師」將應運而生,專注於訓練、調整和指導AI代理。
未來,
市場將開始以「分析師對AI代理比例」作為衡量指標,而非僅關注案件數量或SLA達成率。衡量資安託管業者成熟度的標準,將不再是24/7人力配置數量,而是AI代理運作的自主性與有效性。
結語:擴大人才影響力,而非取代人才
AI代理不只是簡單的自動化工具,它講求協作、可擴充性和策略性提升。資安託管業者產業長期存在複雜度高、人員耗竭和工作超載等問題,正是導入這項技術的最佳時機。
我們不應只問「能自動化多少工作」,而應思考:「AI代理要如何協助資安分析師提升工作效率?」
AI代理為資安決策帶來記憶能力、主動判斷和情境關聯。當與人類資安分析師搭配運用時,這些AI不只是取代人工的工具,更能大幅提升資安團隊的工作效能。它們可以專責處理特定資安任務,透過持續學習成長,從單純的輔助工具逐漸進化為值得信賴的協作夥伴。
重要的是,這樣的技術應用目標不在於取代資安人才,而是有效擴大人才的影響力與價值。在人才短缺的資安產業中,AI代理提供了一條可行的路徑,能夠在不增加人力成本的情況下,大幅提升資安防護的品質與效率。
本文轉載自 MSSPAlert。