当前的 SOC 模型依赖于一种稀缺资源:人类分析师。这些专业人员价格昂贵,需求量大,而且越来越难以留住。他们的工作不仅技术含量高、风险高,而且重复性极强,要处理不断涌现的警报和事件。因此,SOC 分析师经常离开是为了寻找更高的薪水、离开 SOC 的机会,进入更有价值的角色,或者只是为了获得急需的休息时间。这种高流失率使 SOC 处于弱势地位,影响网络安全运营的整体有效性。
为了让您的团队保持弹性并保持运营效率,必须采取积极主动的措施来减少倦怠并提高保留率。
随着网络安全格局的发展,SOC 分析师的倦怠正在成为一个关键问题。安全运营中心 (SOC) 面临着越来越多的日常警报需要调查,这种激增对于每天负责分类和调查大量数据的分析师来说是难以承受的。
未解决的警报和事件的积压不断增加,使这个问题变得更加复杂。一份报告显示,89.6% 的组织的安全积压工作持续增加。随着警报数量的增加,SOC 团队管理警报的压力也随之增加。然而,由于通常只有 19% 的警报得到解决,工作量变成了恶性循环,给分析师带来了持续不断的压力。
这种难以管理的工作量直接导致与工作相关的压力和倦怠。令人担忧的是,80.8% 的受访者预计,如果当前的 SOC 方法不得到改进,这种压力将在未来两年内恶化。SOC 无法承担失去更多分析师的后果,但网络安全人才库却正在萎缩。根据 ISC² 2023 年劳动力研究,目前美国有 400 万个网络安全职位空缺,同比增长 8%。由于 67% 的组织已经报告了员工短缺的情况,每位分析师的离职都会使问题变得更加复杂,从而给留下来的人带来进一步的压力。
考虑到这些挑战,减轻 SOC 分析师的负担至关重要。自动化日常任务、促进员工成长以及促进更健康的工作与生活平衡对于防止倦怠至关重要。组织现在必须对其 SOC 团队进行投资,以确保他们能够应对不断变化的威胁,同时保持健康、可持续的员工队伍。
为了使 SOC 顺利运营,领导者必须采取积极主动的措施来减少倦怠并提高保留率。幸运的是,现在比以往任何时候都更容易实施有意义的改变,对 SOC 分析师的日常生活产生积极影响。以下是减少分析师倦怠的 6 个关键步骤:
残酷的现实是,根本没有足够的人力分析师来处理当今 SOC 中充斥的大量警报。这意味着关键工作经常被过滤掉,或者更糟糕的是,完全未完成,从而增加了错过关键威胁的风险。为了降低风险,每个警报都需要进行审查,但是 SOC 自动化工作无法完全复制人类分析师在对警报进行分类和调查时做出的细致入微的决策。这使得人类处于主导地位以进行调查。
随着代理人工智能的最新进展,我们看到了 SOC 自动化方面的突破。人工智能现在能够自动化高达 90% 的一级任务,而这些任务曾经让人类分析师陷入困境。这不仅可以确保更快地解决关键警报,还可以让分析师腾出时间专注于更复杂、更有价值的工作。通过将繁琐、重复的任务转移给人工智能,组织可以降低错过攻击的风险,同时为人类分析师提供更充实的角色,从而减少倦怠并提高保留率。
需要对 SOC 模型进行根本性转变,使分析师从“做工作”转向“审查人工智能的输出”。这种转变带来了几个显著的好处。首先,它消除了通常会导致倦怠的乏味、重复性任务,使分析师能够专注于更具战略性的决策、技能培养和更高价值的工作。其次,它成倍地提高了生产力,因为分析师曾经需要 40 分钟才能完成的工作现在可以通过人工智能在几秒钟内完成。
该模型成功的关键是利用 Agentic AI,它充当真正的AI SOC 分析师。这些工具提供可供决策的结果,包括分类判决、事件范围、根本原因分析和详细的行动计划。有了这些全面的信息,人类 SOC 分析师就可以快速掌握情况,了解人工智能如何得出结论,并自信地验证结果。从那里,他们可以选择适当的响应操作,大大减少手动工作,同时确保快速准确的事件解决。这一转变不仅提高了 SOC 的效率,还让分析师能够开展更有意义、影响更大的工作,从而提高了工作满意度。
一旦事件得到验证,下一步(遏制和响应)通常是该过程中压力最大的部分。由于需要跨多个工具协调操作,它对时间敏感并且容易出错。然而,当人工智能处理分类和调查时,纠正措施变得更加简单。
AI SOC 分析师可以生成详细的响应计划,分析师可以手动执行、单击启动或自动运行,无需人工干预。这减少了出错的可能性,加快了响应时间,并减轻了关键时刻人类分析师的压力。通过自动化这些工作流程,SOC 可以更快速、更高效地响应威胁,同时最大限度地减少团队的压力和倦怠。
SOC 分析师通常会带来由他们的教育背景和之前的角色决定的多样化技能,但许多人都渴望通过提高网络安全专业知识来提升自己的职业生涯。Agentic AI 为在职培训提供了独特的机会,因为它不仅可以自动进行调查,还可以解释其结论并提供详细的响应计划。这是非常宝贵的,因为人工智能不仅仅处理工作,它还通过生成特定事件的遏制和补救指令来指导分析师。
通过与人工智能一起工作,分析师可以学习分类、调查和响应的最佳实践,同时还可以接触到他们以前可能没有遇到过的新工具和方法。这就像在系统中嵌入了一位导师,向他们展示经验丰富的分析师将如何处理特定问题。这种持续学习不仅可以帮助分析师提高技能,还可以为他们将来担任更高级的职位做好准备,从而打造一支更有能力、更满意的员工队伍。
简化工作流程是降低 SOC 分析师日常面临的复杂性的关键。一种强大的方法是利用聊天机器人或副驾驶界面等交互元素,使分析师能够从单个界面跨多个安全工具执行威胁搜寻和数据探索。分析师无需在平台之间跳转并手动聚合信息,而是可以提出问题、更深入地调查事件并快速收集见解,所有这些都在一个地方完成。
这种集成不仅可以更有效地深入挖掘威胁,还可以帮助分析师识别趋势、发现模式并获得有价值的背景信息,而无需使用多种工具的麻烦。借助无缝、统一的界面,分析师可以专注于更快地理解和响应威胁,提高工作效率并减少与工具蔓延相关的挫败感。
由于 AI SOC 分析师负责一线工作,人类分析师无需在夜间、周末或节假日工作来维持 24/7 覆盖范围。AI 可以监控警报、执行调查,甚至可以通过 Slack、Teams 或电子邮件等通信平台上报真实情况。它可以请求批准采取行动或运行补救工作流程,从而使分析人员能够管理关键事件,而无需在停机期间陷入漫长而乏味的调查。
这使分析师能够保持更健康的工作与生活平衡,因为他们知道他们可以通过移动设备快速响应紧急情况,而无需牺牲个人时间。通过减少对持续待命可用性的需求,人工智能有助于创建一个更可持续的工作环境,最大限度地减少倦怠,同时确保 SOC 保持全天候全面运行。
在当今要求严格的网络安全环境中,SOC 分析师倦怠是安全运营取得长期成功必须解决的一个关键问题。通过实施人工智能驱动的自动化、改进工作流程并促进健康的工作与生活平衡,SOC 可以创造一个更高效、更可持续的环境,使分析师能够蓬勃发展,同时降低倦怠风险。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。