最新發布的 2025 AI SOC 市場規模報告揭露重要趨勢,預計到 2028 年,AI 平台將承擔約 60% 的資安監控中心(SOC)工作,83% 的受訪資安領導者預期 AI 至少會處理一半的工作量。這項轉變正深刻影響企業評估資安代管服務供應商(MSSP)的標準。
客戶需求轉向 AI 解決方案
報告指出,客戶現在根據 MSSP 的 AI 解決方案完整性進行評分,供應商必須證明每個自動化步驟的有效性。目前 AI SOC 的提案邀請書(RFP)要求在單一介面中提供時間軸、動作日誌、核准紀錄和租戶隔離的案例追蹤功能。
審計環節出現三大薄弱點,包括基準測試(Benchmarking)、責任歸屬(Accountability)和資料治理(Data Governance)。廠商若無法重現案例處理過程,並將步驟與政策及身分識別關聯,在競標中將處於劣勢。市場已轉向「立即證明能力」模式,準備不足的廠商將失去投標機會。
資安監控規模挑戰日益嚴峻
現今企業資安監控中心每天平均處理近 960 筆警告,大型組織更高達每日 3,000 筆以上。MSSP 面臨更大挑戰,需同時管理數十個甚至上百個客戶環境。多數供應商透過一線分析師、工單佇列和警示抑制規則來應對,但成效有限。
研究顯示高達 40% 的警告未被調查,61% 的 SOC 團隊承認曾忽略後來被證實是關鍵警告。即使設置警告抑制機制,團隊仍難以處理龐大的資安事件量。對 MSSP 而言,每個警告都與付費客戶合約直接相關,未能全面監控警告不僅構成安全風險,更影響客戶滿意度。
傳統的資安協作與回應平台(SOAR)工具曾承諾解決這些問題,但多數 MSSP 已將其視為沉沒成本。建立自動化流程耗時數月,供應商更新工具時 API 經常失效,導致這些自動化功能最終只能應對極小比例的實際使用場景。
AI 技術優勢明確但品質參差
AI 的優勢在於不會疲勞、不會離職,也無需支付加班費。AI 能在數秒內完成分析師需花 30 至 60 分鐘才能完成的工作,整合並分析來自端點偵測與應變(EDR)、資安事件與事故管理(SIEM)、身分驗證系統、雲端環境和工單管理工具的資料,同時提供完整的事件敘述。當客戶合約要求全面監控證明和減少事件停留時間(dwell time)時,這種效率優勢成為關鍵。
Software Analyst Cyber Research (SACR) 指出,並非所有「AI SOC」產品都相同。許多標榜為 AI SOC 的工具實際上只是聊天機器人或輔助工具的包裝,可能會摘要警報或建議查詢語句,但無法提供 MSSP 所需的作業深度或治理能力。
SACR 報告揭示 AI SOC 供應商的關鍵差異,一些僅提供警告分類,另一些則能協調完整的案件處理流程。後者是SOC 的中樞神經系統,能有整合來自 SIEM、EDR、雲端環境、身分識別系統和工單管理系統的各類資安訊號。
企業導入 AI SOC 建議
- 評估 AI 解決方案的完整性,確認是否能提供端到端的案例處理能力
- 要求廠商展示自動化流程的每個步驟,包含審計追蹤功能
- 確保解決方案能整合現有的資安工具生態系統
- 驗證 AI 系統的資料治理和責任歸屬機制
- 選擇能作為 SOC 中樞神經系統的解決方案,而非單純的輔助工具
本文轉載自 MSSPAlert。