數聯資安智慧創新營運部資深經理李茂義指出,AI的應用近年來已逐漸從早期的問答式互動,演進為更具智慧性與決策能力的AI Agent。過往人們習慣以類似ChatGPT的方式,針對特定問題進行一問一答的交流,這固然能協助使用者快速取得所需資訊,但在資安領域,單純的對答已不足以應付複雜環境下的資安事件偵測與處理。為因應此挑戰,AI Agent的概念應運而生,使系統不僅能回答問題,更能主動判斷、規劃,並運用既有的多元工具來實現自主的資訊收集、分析與決策。
AI Agent自主調用資源控管風險
數聯資安SOC中心既有的資安事件管理(SIEM)、SOAR自動化處理方案、MDR雲端威脅偵測與回應服務、以及威脅情報共享平台(MISP),都能協助釐清資安事件的來龍去脈。問題是這些工具通常價格高、功能齊全,若缺乏適當的協調,將難以發揮最大效益。因此,數聯資安目前正積極透過TDIR(威脅偵測、調查與回應)的完整藍圖,將既有資安技術整合後引入AI Agent的概念。
李茂義進一步說明,AI Agent不再只局限於「兩點一線」的邏輯,或簡單被動回答問題。而是扮演擁有獨立思考能力的代理人,能先透過感知器了解使用者的問題邏輯與目標,接著進行計畫與執行,最後還能自行驗證處理結果並彙整報告。換言之,AI Agent可在面對不同資安情境時,自主決定需要調用哪些工具,如Splunk的日誌分析、MDR的雲端防護、MISP的威脅情報,或是透過SOAR自動執行一系列動作。並且把不同來源的資訊匯整後,以更具邏輯性的分析框架呈現給使用者。
「此種演進過程強調邏輯的迭代與推演能力。」李茂義解釋,過往人機互動著重在單純結果,如同AI提供一個解答即可;如今則是進一步重視系統背後的思考脈絡與決策流程,並將整個PDCA的循環過程自動化。如此一來,資安决策過程的繁瑣與多元,可藉由AI Agent邏輯化、系統化,進而在更快的時間內從複雜的環境與工具組合中找到對策。
數聯資安在此發展方向下,強調在MDR平台中不僅支援專屬的EDR工具,也可整合如Microsoft Defender for Endpoint(MDE)等解決方案,顯示未來的AI Agent將更能貼近實務需求,靈活運用多方資源,並在日益複雜的資安生態中發揮關鍵價值。
MDR服務擴展資安監控可視性
長久以來,市場普及的縱深防禦、多層式防禦原則仍有一定效果,特別是應對傳統攻擊手法。然而,面對以生成式AI輔助的創新攻擊情境,傳統資安設備若僅依靠舊有模式與病毒碼更新,已顯不足。業界逐漸將AI與機器學習技術導入產品中,以提升偵測與防禦效能。例如,次世代防毒軟體(NGAV)和EDR,不再依靠單純特徵碼匹配,而是善用AI來動態偵測可疑行為,減輕了傳統防線易被繞過的難題。
數聯資安資安服務暨監控副總游承儒指出,隨著資安威脅日益增長,MDR服務已成為現代資安領域中的顯學,但MDR服務必須有能力處理事件數量龐大且複雜的告警內容。為了提升效率,不少資安服務商開始引入生成式AI來輔助MDR團隊進行告警判讀,快速識別威脅的真偽,從而提升整體資安防禦能力。
以技術面來看,SOC監控中心的工作包含收集所有資安設備的日誌,而MDR則更專注於收集EDR產生的日誌。游承儒不諱言,過去曾有人認為EDR加上NDR(網路偵測與回應)可以完全取代SOC,然而深入了解資安治理後發現,MDR雖是SOC的重要組成,但並不能全面取代。畢竟SOC的功能範疇更廣,包括威脅獵捕、法規遵循等任務,顯示出它在資安管理中的不可或缺性。
MDR的起源可以追溯到EDR的需求演進。隨著EDR開始收集大量端點日誌,市場自然衍生出對於託管分析服務的需求。類似於早期防火牆、IPS(入侵防禦系統)等設備陸續增加,最終需要SOC進行統一管理,EDR的普及也催生了MDR服務的需求。
游承儒認為,EDR工具的普及對於SOC資安監控服務廠商而言,可說更加提高了可視性能力。EDR不僅將端點監控功能化與架構化,結合後續AI技術的成熟應用,不僅大幅提升了資安防禦的效率與準確性,也有效擴充了MDR服務的能量與品質。
依據風險值回應避免告警疲勞
為了解決業界長期存在的告警疲勞問題,數聯資安SOC資安監控模式,不只運用SIEM平台提供的關聯式分析規則,亦引進AI應用輔助進行動態風險評估,結合了兩者的優勢,不僅降低了告警疲勞,也提高了資安事件的應對效率。
李茂義指出,傳統SOC的維運模式,長期依賴關聯式分析規則來進行監控與通報。然而,這些基於靜態條件的監控規則,容易造成大量的錯誤告警,導致維運人員疲於應對,無法專注於真正需要優先處理的安全威脅。
AI的引入為資安監控提供了一個全新的方向。游承儒表示,目前業界的監控通報仍然以傳統的關聯式分析為主,數聯資安則是將風險基礎管理的概念融入AI偵測,改變了以往監控僅依賴條件式觸發的侷限性。
風險基礎管理的核心在於不再單純以事件的發生頻率或條件來評估其重要性,而是以風險值作為衡量標準。這需要依賴數學模型和AI運算技術來計算每一筆異常事件的風險值,並結合傳統的關聯式條件分析,形成更全面的威脅評估體系。李茂義解釋,「我們不只是看AI偵測出來的異常,而是分析這些異常的風險值是否累積到需要立即處理的程度,這樣能更有效解決告警過多導致的疲勞。」
在與客戶溝通時,數聯資安產品發展暨顧問處資深協理恭俊偉也分享了類似的經驗。他提到,「以往在設定關聯式分析規則時,常被質疑為何選擇特定的條件值。現在我們利用AI模擬客戶的網路環境,根據數據自動計算出適合的設定值,這種科學化的方式更容易被客戶接受。」 隨著AI技術持續發展,這種基於風險的資安管理模式確實有望成為主流。在此之前,仍需持續教育市場,幫助更多人理解AI,以發揮全面提升資安防護力的價值。