当攻击者与防御者都拥抱AI时,我们需重新审视MDR服务
内容提要
过去十年,托管检测与响应(MDR)服务曾是安全问题的解决方案,但随着攻击者利用AI加速攻击,MDR模式已不再适用。约60%的告警未被审查,低优先级告警中潜藏真实威胁。AI SOC的出现旨在通过自动化调查提升响应速度和准确性,确保每条告警都能得到及时处理,弥补MDR的结构性缺陷。
关键要点
-
过去十年,托管检测与响应(MDR)服务曾是解决安全问题的标准答案,但随着攻击者利用AI加速攻击,MDR模式已不再适用。
-
约60%的告警未被审查,低优先级告警中潜藏真实威胁,攻击者正利用这一点进行攻击。
-
MDR的调查质量参差不齐,取决于值班人员的经验和工作时段,导致浅层调查和误判。
-
检测工程未形成闭环,分析师的洞察很少反馈至检测系统,导致检测态势持续退化。
-
多数MDR服务如同黑箱,客户无法查看调查逻辑和证据链,缺乏透明度。
-
AI正在降低MDR运营成本,但这些收益未转化为更低价格或更广覆盖,客户仍需支付相同费用。
-
检测规则和调查经验归属MDR供应商,客户在更换供应商时需从零开始重建知识资产。
-
AI SOC的设计目标是通过自动化调查提升响应速度和准确性,确保每条告警都能得到及时处理。
-
AI SOC的核心理念是将调查执行从人工转移至AI,让人专注于决策而非发现。
-
AI SOC的经济模型应与其覆盖范围匹配,按终端计价可避免告警量激增带来的经济惩罚。
-
检测规则、调查历史和机构上下文应归属组织而非供应商,以便于组织扩展内部能力或更换工具。
-
从MDR转向AI SOC的路径可以是先增强现有MDR合同,逐步引入AI调查,最终推动彻底转型。
延伸解读
MDR服务的局限性
尽管MDR服务在过去十年中被广泛采用,但其在面对现代攻击手法时显得力不从心。约60%的告警未被审查,低优先级告警中潜藏真实威胁,攻击者正利用这一点进行攻击。这提醒企业在选择安全服务时,需关注其实际响应能力和告警处理效率。
AI SOC的优势
AI SOC通过自动化调查提升响应速度和准确性,确保每条告警都能得到及时处理。这种模式不仅能解决MDR的结构性缺陷,还能实现对所有告警的全面覆盖,避免低优先级告警被忽视。企业在考虑安全转型时,应重视AI SOC的潜力。
知识资产的归属问题
MDR服务中,检测规则和调查经验通常归属于服务商,客户在更换供应商时需从零开始重建知识资产。这种知识锁定不仅增加了更换成本,还可能影响企业未来的安全能力建设。因此,企业在选择MDR服务时应考虑知识资产的归属问题。
AI时代的安全挑战
随着攻击者利用AI加速攻击,传统的MDR模式已无法满足安全需求。企业需要重新审视现有的安全策略,确保能够应对AI时代的复杂威胁。安全领导者应关注告警处理的全面性和及时性,以防止潜在的安全事件被忽视。
延伸问答
MDR服务在过去十年中有什么作用?
MDR服务曾是解决安全问题的标准答案,帮助安全团队处理告警队列,提供全天候人工覆盖。
为什么MDR模式不再适用?
MDR模式无法应对攻击者利用AI加速攻击的现状,导致约60%的告警未被审查,低优先级告警中潜藏真实威胁。
AI SOC如何改善告警处理?
AI SOC通过自动化调查提升响应速度和准确性,确保每条告警都能得到及时处理,弥补MDR的缺陷。
MDR服务的透明度问题是什么?
多数MDR服务如同黑箱,客户无法查看调查逻辑和证据链,缺乏透明度,导致问责困难。
AI如何影响MDR的运营成本?
AI降低了MDR的运营成本,但这些收益并未转化为更低价格,客户仍需支付相同费用。
从MDR转向AI SOC的路径是什么?
组织可以先增强现有MDR合同,逐步引入AI调查,最终推动彻底转型。
