核心看点

1. AI虽然能显著提升安全运营中心（SOC）的效率，但不能弥补其根本性缺陷，更不能替代人类分析师的专业判断。

2. 过度依赖AI会侵蚀核心安全能力，还可能因使用不当而引入新的风险，产生新的攻击面和安全隐患。

3. AI带来的效率不能以牺牲判断力为代价。最安全的路径是利用AI来减少干扰、辅助分析师，而非替代他们。

全文翻译内容：

安全运营中心（SOC）团队面临的压力显而易见：更快地调查事件、管理不断增长的告警量、以有限的人员和时间做出响应——AI的吸引力在于它能快速处理大量数据并识别模式。

但炒作也正在制造问题。许多组织在尚不了解AI在网络安全中的适用场景、引入何种风险、以及应给予多大信任的情况下，就已感受到采用AI的压力。AI可以加强安全运营，但无法取代经验分析师的判断。关键的上下文可能被遗漏，错误的建议可能被抛出，团队可能过度依赖工具——在网络安全领域，这些失误有着真实的运营后果。

对澳大利亚组织而言，挑战在于采用AI时，分辨真正的价值与炒作。

AI在安全运营中的承诺

澳大利亚组织已广泛踏上AI之旅，网络安全也不例外。随着企业应对持续性威胁、精简的SOC团队、在不不断增加人力的情况下提高弹性等压力，承诺速度和效率的技术自然受到关注。

当AI被恰当地应用时，SOC团队会受益。它可以帮助丰富告警、更快地呈现相关信息、跨工具汇总活动，并减少在重复性分析上花费的时间。在遭受告警疲劳困扰的环境中，这可以实质性提升分析师的工作效率。

与此同时，许多组织的AI治理方法仍在成熟过程中。Sophos《2025年亚太及日本网络安全未来》报告强调，相当比例的澳大利亚组织已经出现了未经批准或治理不善的AI使用，而许多组织仍然缺乏正式的AI战略。采用与治理之间的差距正在制造风险。

如果组织缺乏明确的规则、可见性和问责制度，SOC团队就无法安全地使用AI。当热情超越准备程度时，风险就从外部威胁行为者转移到内部运营暴露。

速度无法取代判断力

AI在加速重复性工作方面是有效的，但它不理解业务上下文。

模型可能标记出异常或推荐响应，但它不知道一个组织的实际运作方式，也不知道某个行动会造成什么下游影响。这种区别很重要。

在真实事件中，上下文就是一切。从纯粹的技术角度看，一套系统可能看起来可以安全隔离，但它可能正在支持某个不能中断的关键业务进程。异常的用户行为看起来可能是恶意的，直到业务上下文揭示出合法的角色或工作流程变更。这些决策需要人的判断——结合技术证据和组织知识。AI可以支持这个过程，但无法替代它。

还存在一个更长期的技能风险。如果分析师将大部分时间花在验证AI建议上，而不是自己进行调查，核心调查能力就会遭到侵蚀。随着时间推移，SOC团队可能变得善于监督工具，但独立响应的能力却在减弱——当这些工具失灵或不可用时，这种能力缺失是致命的。行业分析师已警告过，随着AI采用加速，这种依赖风险正在增长。

澳大利亚组织还应认识到，AI可以扩大安全运营中的攻击面。治理不善的工具、过度的访问权限，或对敏感数据的自主操作，如果不加以严格控制，都会引入新的运营和安全风险。

这些风险并不意味着组织应该回避AI。它们意味着网络安全中的AI采用必须是深思熟虑的、受控的、有问责的。

在网络安全运营中采用AI的更安全路径

更安全的方法从受控采用开始。

AI应该用在其能带来明确价值、且不会覆盖关键决策的领域。异常检测、摘要、端点和日志关联、数据过滤等场景非常适合AI支持。这样使用时，AI可以减轻分析师的疲劳，同时让人保持牢牢控制。

人的监督仍然至关重要。一个行动的后果越严重——隔离系统、升级事件、响应威胁——在整个过程中让训练有素的网络安全专业人员保持问责就越重要。

随着AI采用的增长，组织还必须继续投资SOC技能。分析师应该练习核心调查技能，而不仅仅是工具操作，通过定期培训和演练，以便在需要手动干预时能够有效响应。

最后，AI治理必须在组织层面加以解决。安全和IT团队需要了解哪些AI工具正在使用中，以及它们可以访问哪些数据。明确的政策、护栏和问责制度对于减少数据泄露或误用风险至关重要。

速度在安全运营中始终很重要，AI可以提供速度。但没有判断力的效率会增加风险。对澳大利亚组织而言，最安全的路径是利用AI来减少干扰、辅助分析师，而不是取代他们。

用得好，AI强化了SOC团队。用得草率，AI让他们更脆弱、更暴露。