深度解析
当安全运营驶入“机器速度”:Bendigo Bank 的代理式 SOC 如何重塑网络安全范式
Bendigo Bank 正在构建澳大利亚首个“代理式安全运营中心”,将 AI 代理深度集成到安全响应流程中。这不仅是技术升级,更预示着网络安全运营从被动防御向主动自治的范式转变。文章深入分析这一趋势对产业结构和企业战略的影响。
当安全运营驶入“机器速度”
网络安全威胁的进化速度早已超越人类分析师的认知带宽。传统的安全运营中心(SOC)依赖大量一级和二级分析师进行告警筛选、日志审计和初步响应,但在现代攻击者利用 AI 生成式攻击、自动化横向移动的背景下,人类主导的“检测-响应”循环已显力不从心。Bendigo Bank 首席安全官 Gajan Ananthapavan 在 Google Cloud Summit 悉尼站上直言:“传统 SOC 团队将不会以现有形式存在。”
该行的应对方案是建设澳大利亚第一个“代理式安全运营中心”(agentic SOC)。其核心并非简单的自动化升级,而是将 AI 代理嵌入安全决策闭环——从告警关联、事件分类到响应执行,代理能在毫秒级内自主判断并采取行动,仅在需要深度分析或战略决策时才提请人类介入。Ananthapavan 表示,最终目标是将人类完全抽离出第一线响应,让团队聚焦于“高价值安全工作”。
从 SOAR 到 Agentic:安全自动化的范式跃迁
安全编排自动化与响应(SOAR)曾是 SOC 提效的标准工具,但它本质上是“剧本式”机械执行:预定义规则、有限条件分支、缺乏上下文理解。代理式 SOC 则建立在大型语言模型(LLM)和强化学习之上,能够理解自然语言描述的威胁情报,动态调整策略,甚至主动强化防御控制——例如自动调整 Web 应用防火墙规则以应对实时攻击向量。
Bendigo Bank 的技术选型体现了这一跃迁的底层支撑:用 Google Threat Intelligence 提供全球威胁图谱,Google SecOps 作为统一分析平台,Security Command Center 实现云原生资产的可视化与策略管控。这些产品本身已内嵌了大量 AI 能力,但该行更进一步,在其之上构建自研的代理层。Ananthapavan 强调,这需要“逐步建立对代理决策的信任”,初期保持“人机协同”,待模型精度达标后逐步减少人工介入。
对产业结构的三重冲击
代理式 SOC 的兴起将深刻改变网络安全领域的三个层面:
第一,劳动力结构重塑。 全球 SOC 面临严重的人才短缺,初级分析师流失率极高。如果代理能够承担 80% 的告警处置和标准化响应,企业将不再需要大量低级别分析师;取而代之的是更少的“安全工程师 + AI 训练师”复合角色,负责优化代理行为、调查高级威胁。这类似于自动化测试对 QA 岗位的重塑——不是消灭岗位,而是提升技能门槛。
第二,安全供应商洗牌。 传统 SIEM 厂商(如 Splunk、IBM QRadar)正面临来自云原生安全栈的剧烈竞争。Google、Microsoft、Amazon 均推出全栈安全运营平台,内嵌 AI 代理能力,并捆绑云基础设施优势。Bendigo Bank 在四个月内完成平台迁移并关闭旧系统,说明云原生方案的部署速度和成本优势正转化为实际选择。同时,PwC 等咨询机构作为集成商,也在争夺“代理化转型”的服务市场。
第三,企业安全策略升级。 代理不仅能响应,还能主动加固。Ananthapavan 举例,通过在真实攻击中收集的实时情报,代理可以直接调整前端防护规则——这标志着安全运营从“被动防御”正式迈入“主动自治”阶段。长期来看,企业安全团队的工作重心将从“事件管理”转向“模型治理与策略设计”。
信任构建是最大障碍
尽管技术路径清晰,代理式 SOC 的规模化部署仍面临严峻挑战。LLM 的“幻觉”问题在安全场景中难以容忍——一次错误决策可能导致数据泄露或业务中断。Bendigo Bank 选择“人机协同”过渡期是务实的:代理在测试环境中运行,所有行动需经人类确认。Ananthapavan 透露,全面信任代理可能需要“数年”的迭代验证。
此外,监管合规也是一大变量。金融行业受严格审计要求约束,代理的决策逻辑必须可追溯、可解释。当前主流 LLM 的黑箱特性与这一需求存在张力,亟待可解释 AI 技术的突破。
长期趋势:SOC 的终局形态
Ananthapavan 的预言——“传统 SOC 将不存在”——并非危言耸听。未来五年,我们或将看到以下演变:多数企业的 SOC 从“人力密集型”转向“AI 代理驱动型”,人类岗位集中在威胁狩猎、红队演练和代理训练;安全运营预算从“人”转向“算力+模型”;云平台成为安全能力的核心交付载体,独立 SIEM 厂商要么融入生态,要么被边缘化。
Bendigo Bank 的尝试是这一宏大叙事的一个实证节点。当代理 SOC 证明其可靠性与成本效益,行业将加速跟进。网络安全的游戏规则正在重写:胜利将不再属于反应最快的人类,而属于拥有最智能代理的机器。
来源边界 · thedailytech
thedailytech 将这段说明放在「科技新闻 / AI 与创新 / 大型科技公司」的站点语境中。读者复用摘要前应先打开来源链接: 日期、名称和状态变化仍需重新核对。「科技新闻 / AI 与创新 / 大型科技公司」解释了本文的本地编辑角度。