未來安全服務趨勢解讀:AI-SOC vs AI-MDR
責編:gltian |2025-03-31 15:16:49關于AI在安全領域的未來有很多討論,而大部分注意力集中在SOC自動化上,這完全合情合理。畢竟,安全團隊的大部分時間都花在了這里。
在這篇文章中,我將探討在安全運營背景下定義安全未來的趨勢,解析“服務即軟件”的含義及其各個方面,并討論兩種類型的AI x SOC解決方案以及AI SOC的未來。
定義網絡安全未來的三大趨勢
客戶對AI感到興奮,但他們并不真正關心AI
AI是當今的熱門話題——每個安全初創公司都在引用AI作為“為什么是現在?”這個問題的答案,每個風投都期望在他們投資的任何網絡公司中看到一些AI的故事,社交媒體上幾乎所有的內容都是關于AI如何改變我們行業的未來。與我交談的CISOs和CIOs表示他們對AI感到興奮,但如果你仔細觀察,很容易發現他們實際上是對其他事情感到興奮。
安全領域的領導者并不關心那些光鮮亮麗的新技術(無論是AI還是其他任何技術);他們關心的是實際成果。當他們聽到“AI”時,他們不會去想象它帶來的所有神奇可能性——那是創始人和投資者的工作。當安全工具的買家聽到“AI”時,他們希望“也許現在這類工具能在上一代失敗的地方取得成功”。當買家聽到“AI”時,他們期待AI代理能夠解決SOAR、SOC自動化、工作流自動化、身份認證、終端、IT以及其他所有工具之前未能解決的問題。
關鍵點在于:買家對AI感到興奮,但實際上并不關心AI。沒錯,營銷中帶有“AI”可能會促使他們同意參加演示,但一旦他們出現在那次通話中,他們并不想聽關于AI的內容——他們想聽的是工具將為他們解決的具體問題。
換言之,客戶關心的是結果,而非實現方式。如果一家初創企業能夠達成其前輩未能實現的結果,且有人對此特定結果極為重視,那么無論是否使用AI,該公司都將擁有光明的未來。
企業繼續將安全事務委托給外部機構
越來越多的公司意識到,如果安全不是他們的核心競爭力,他們不妨將其委托給第三方。這種做法并非安全領域特有,多年來,企業一直在尋找將盡可能多的支持功能外包給第三方的方式。
我在Venture in Security之前的一期中曾談及這一趨勢:“盡管科技公司一直在招聘安全工程師和安全架構師,并在安全運營中采納工程思維,但世界其他地方的運作方式卻大相徑庭。行業正在成熟,但這種‘成熟’的定義卻更加微妙。對于科技公司、大型銀行等而言,成熟可能確實意味著聘用技術安全從業者(安全工程師、架構師、檢測工程師等),構建定制化工具以解決其組織特有的問題等。然而,它們最多僅代表市場的1-5%。對于市場上其余95%以上的企業來說,成熟意味著承認自身缺乏滿足安全需求的專業知識,很可能永遠無法負擔這些專業知識,并且甚至不知道從何入手。對他們而言,成熟的成果將是繼續將安全外包給第三方供應商,這包括安全產品,但更主要的是——安全服務。”
換句話說,客戶關心的是結果,而非其交付方式。如果第三方能以極低的成本勝任工作,從商業角度來看,這種權衡可能是非常值得的。我注意到持續存在降低全職安全人員預算的壓力。能夠負擔得起建立專門SOC或維持高水平內部專業知識的公司越來越少,且這一數字似乎逐年減少。
產品與服務之間的界限正在消失
十年前,任何想要對網絡安全公司進行細分和分類的人都會首先將它們分為兩類:產品和服務。隨著產品公司逐漸增加服務,反之亦然,這種區分變得越來越無關緊要。我之前曾詳細討論過這一現象。
促使安全產品供應商提供服務的主要因素是希望增加客戶錢包份額,從而創造更多收入。此外,通過提供專業服務,產品供應商可以大大提高轉化率,改善客戶體驗,并使其產品更具粘性。
服務業務需要人員來交付價值,這一事實使其難以擴展。公司看到的需求越多,就需要雇傭、培訓和發展更多人員來交付項目。雖然無法完全擺脫服務模式的限制,但對其進行優化是相當現實的。為此,安全服務提供商需要找到一種大規模交付服務的方法,這通常意味著將服務產品化和自動化,直到它與產品難以區分。服務提供商被激勵產品化的其他原因包括實現規模、提高估值和退出倍數,以及為客戶提供可見層。
網絡安全產品和服務之間的界限越來越模糊。隨著我們走向未來,這條界限將完全消失。
換句話說,客戶關心的是結果,而非實現方式。至于如何交付這一結果——通過提供產品、服務,還是兩者的結合,則取決于供應商。
遠不止這三種趨勢
更多因素影響著行業的發展方向。例如,
- 網絡安全由邊緣案例主導,單一產品無法涵蓋所有場景。每個工具都需要針對不同環境進行調整,打造通用的瑞士軍刀平臺已被證明會導致采用困難。
- 安全團隊缺乏將安全工具操作化的人才。在安全編排自動化和響應(SOAR)平臺的實施中,這一點尤為明顯,這些平臺的成功部署幾乎需要同時具備劇本編寫和事件響應技能的人才,而這類人才極為稀缺。
- 即使供應商不直接提供服務,一個強大的服務提供商生態系統也常常會介入,以彌合產品所能提供的功能與客戶期望之間的差距。對于各種各樣的供應商來說,尤其是像SailPoint和Saviynt這樣實施復雜的解決方案,這一點尤為明顯。
理解服務即軟件
我看到初創企業社區對“服務即軟件”(Service as a Software)這一概念充滿熱情。難點在于理解人們使用這一術語時的具體含義。
在許多人看來,服務即軟件(Service as a Software)是指將服務產品化,將傳統上由人力驅動的任務轉化為軟件,以實現更高效的擴展。這種觀點認為,服務即軟件是一種將基于服務的業務編碼化和自動化的方式,使其更具可預測性、成本效益和可擴展性,類似于傳統SaaS將軟件轉變為自助服務產品的方式。
服務可以自動化和產品化的想法非常吸引人,因為在支出方面,安全服務市場比安全產品市場大得多。話雖如此,一系列細微差別使得軟件完全自動化服務變得極不可能。例如,
- 存在不同類型的服務。其中一些,如托管檢測與響應(MDR),確實處理了許多重復性任務,如警報分類。許多這類服務確實可以通過自動化來提高效率。然而,其他服務,如理解組織環境、識別正確的利益相關者以及應對政治復雜性,則不太可能被自動化。
- 當客戶向服務尋求幫助時,他們通常希望獲得一支專注于其獨特需求的團隊支持。現實情況是,大多數公司并不真正了解自己的需求,即使他們自認為知道,也往往能從第三方見解中受益匪淺。我們距離能夠自動化洞察與體驗還很遙遠。
與其試圖將服務完全產品化,我更傾向于將軟件自動化與真實的人類專業知識相結合。與依賴自助工具讓用戶獨立導航解決方案的傳統SaaS(軟件即服務)不同,Service as a Software將通過技術與人工干預的整合來優先考慮結果。在這種模式下,軟件將高效處理數據處理、調度和匹配等重復性任務,而人類專家則介入提供指導、管理異常并應對復雜挑戰。這種方法通常被稱為“人在回路”,通過在關鍵決策點保持人類參與,確保提供更加個性化和富有同理心的客戶體驗。
如果我們退后幾步,審視所有這些關于“服務即軟件”、“軟件與服務”、“成果即服務”、“AI服務”和“代理服務”的辯論,就會發現客戶并不關心這些。換句話說,客戶關心的是結果,而不是這些結果是如何交付的。那些將取得成功的企業,銷售的是成果(結果),而非利用AI實現成果的能力。這些成果可以由人類交付,借助AI增強,或完全由AI代理交付。最終,所有這一切都只是提供服務的軟件,并且它是用AI構建的。
兩種類型的AI x SOC公司
劃分AI x SOC市場有不同方式——按初創公司使用AI的方式、按它們支持的技術堆棧等。我認為,在最基本的層面上,使用AI來自動化SOC運營的公司有兩種類型:
- 那些構建產品(用于SOC的AI代理)的人,以及
- 提供服務的公司(AI支持的MDRs)。
使用AI構建產品(SOC的AI代理)
毫無疑問,企業正面臨警報過載的困境。市場上最頂尖的1-10%有幸擁有自己的安全運營中心(SOCs)的企業,不僅要應對高級持續性威脅,還需篩選出95-99.9%僅僅是噪音和誤報的警報。專為SOCs設計的AI代理承諾能穿透噪音,識別出真正重要的少數警報,并協助安全團隊有效處理。
在我看來,AI for SOC是安全信息與事件管理(SIEM)以及安全編排、自動化與響應(SOAR)發展歷程中的自然下一步。歷史上,SOC團隊不得不在海量警報中大海撈針(SIEM應用場景)。隨后,他們需要將手動調查、分類及修復任務自動化(SOAR應用場景)。AI for SOC正致力于在一個平臺上同時解決這兩類應用場景的問題。
當今許多AI SOC客戶是提供自有托管檢測與響應服務的MSSP。AI SOC分析師技術使MSSP能夠支持更多客戶并保持始終如一的高質量服務——這在競爭激烈的市場中變得越來越重要。
盡管存在巨大的機遇,AI SOC領域的參與者仍需克服一些嚴峻挑戰。首先,他們正在與CrowdStrike和SentinelOne等已建立市場地位的供應商競爭,這些供應商已占據用戶心智,并已推出各自的AI SOC解決方案。其次,他們還要與Torq等成熟的自動化玩家競爭,這些玩家也已轉向為SOC解決方案提供AI技術。第三,他們還需面對像Expel這樣在企業領域擁有高品牌認知度的競爭對手。雖然競爭壓力未必是壞事,但AI SOC供應商需要展示出真正的價值才能被市場認可。
利用AI構建服務(AI驅動的MDRs)
雖然數十家初創公司將自己定位為面向SOC的人工智能,但只有少數公開追求成為人工智能驅動的MDR提供商的戰略。
雖然服務自動化的AI方面是新的,但在基礎層面上,安全服務提供商一直在嘗試通過腳本、操作手冊和編寫代碼來自動化服務交付中的手動部分。挑戰在于,服務公司與軟件公司以不同的思維模式和技術能力起步:
- 產品公司從一開始就考慮規模和自動化,而服務公司則從做不可擴展的事情開始。
- 雖然產品公司可以獲得風險投資,但服務公司通常要么自籌資金,要么由其他風險偏好較低的投資者資助。
- 雖然產品公司有資源雇傭軟件工程師,但服務公司需要雇傭專注于服務交付的人員。
- 雖然產品公司考慮的是產品和構建可以無需大量定制即可銷售的解決方案,但服務公司通過接受定制來交付價值。
與以往不同的是,如今由軟件工程師創立的AI賦能MDR服務公司,憑借風投資金支持,從第一天起就考慮規模化發展。像Arctic Wolf和Expel這樣的公司,在創業初期利用現有技術成功打造了以產品為先的服務型企業。如今,人們寄希望于AI能讓新進入者實現比以往更多的手動工作自動化,從而帶來更高的效率和更好的利潤率。
我堅信人工智能確實具有強大的潛力,能使服務提供商效率大幅提升。然而,挑戰不在于效率,而在于分發。Expel和Arctic Wolf已經自動化了所有無需LLMs的警報調查環節。我推測他們自動處理了90-95%的工單和警報。盡管如此,所有獲得風險投資的MDR(托管檢測與響應)服務商加在一起,可能只占整個MSSP(管理安全服務提供商)/MDR市場份額的不到10%。我認為,阻止Expel和Arctic Wolf占領服務市場的障礙并非自動化。如果是自動化問題,那么LLMs和警報噪音的減少確實可能改變游戲規則。但更可能的是,AI驅動的MDR參與者需要解決并克服其前輩們面臨的相同問題和障礙——即分發和進入市場。在企業之外,公司傾向于通過他們熟知且信任的托管服務提供商(MSPs)購買安全服務。而在大型企業中,則常常有轉銷商、集成商等角色參與其中。托管安全服務提供商需要找到一種方法來觸達之前服務不足的客戶群體——而AI將使之成為可能。
SOC的AI代理與AI賦能的MDR:邁向未來
AI for SOC和AI-enabled MDR截然不同
許多人在審視用于SOC的AI和AI驅動的MDR時,認為兩者之間的區別僅在于定位和品牌。在我看來,遠不止如此。
為SOC構建AI代理的初創公司正在開發以產品為先的解決方案,這些方案假設將由其他人來操作它們。我傾向于認為,在未來十年,越來越多的客戶將會將他們的SOC外包給第三方,而不是通過更好的工具來提升內部SOC的能力。毫無疑問,大型企業仍將繼續存在對最佳工具的市場需求,但對于15-20家以上的公司來說,這個市場似乎并不足夠大以讓它們都生存下來。那些能夠展示價值和真正影響力的公司將會蓬勃發展;而那些不能的,將會逐漸消失。
另一方面,AI賦能的MDR設計的產品將由他們自己的團隊操作。他們盡可能抽象化平臺的復雜性和內部運作,只向最終客戶展示他們期望的結果。AI賦能的MDR正在構建內部服務交付能力,而SOC供應商的AI則依賴于客戶的人才來充分發揮其工具的價值。
根據初創企業選擇的路徑,它們最終不可避免地會構建不同的產品方案。從一種方案轉向另一種也并非易事。除非初創企業投資于開發運營能力、構建完全多租戶的產品,并假設產品將由內部運營來設計,否則它不會輕易成為服務提供商。換句話說,MDR遠不止是AI SOC加上幾位SOC分析師。反之亦然(AI SOC產品并非由企業自身團隊運營的AI驅動的MDR平臺)。
思考退出路徑
我相信AI SOC和AI支持的MDR玩家都有四條退出路徑:
- 被服務公司收購
- 被私募股權收購并與服務公司合并
- 被產品公司收購
- 成為服務(MDR/MSSP)公司
我認為大多數玩家將被現有的服務公司吞并。這將使服務公司能夠解決一些圍繞人才短缺和隨著增長需要擴展員工規模的問題。此外,服務提供商愿意不惜一切代價將自己定位為產品提供者。我們最近已經看到了Arctic Wolf和Cylance合并時這類交易是如何展開的。被私募股權收購并與服務公司合并是另一條強勁的退出路徑。許多現有的小型MDR和MSSP由私募股權所有——這些人比任何人都更重視實現運營效率和降低成本。AI可能使私募股權公司實現以前不可能達到的回報水平。
在我看來,AI SOC和AI MDR供應商被產品公司收購的概率處于中低水平。這是因為CrowdStrike、Palo Alto、SentinelOne等企業正大力投資于自身的自動化能力。對他們而言,AI服務不太可能成為能向客戶銷售的新SKU。內部效率提升或許是一個強有力的驅動因素,但服務提供商無疑更能深切感受到手工操作的痛點。
我堅信,那些試圖僅構建產品型AI SOC(安全運營中心)解決方案的公司,最終將演變為“產品加服務”的混合模式。原因很簡單:雖然AI能夠實現一級或二級分析的自動化(這正是許多低效之處所在),但企業真正面臨的挑戰在于吸引并留住高級人才。自動化處理低級安全篩選的某些方面固然有益,但若不解決更廣泛的問題,其影響最多也只是有限的。
談到AI賦能的MDR,我認為它們更有可能發展成為服務公司(想象一下下一代Expel和Arctic Wolf)。正如我在文章中多次提到的,客戶關心的是結果,而不是它們是如何交付的。話雖如此,交付過程中有人類參與的方式,更有可能開拓企業細分市場之外的市場。此外,服務領域已經相當商品化,很多感知價值來自于個人關系和客戶體驗。MDR供應商(無論是否由 AI 驅動)如果以服務而非產品公司的模式運營,它們更有能力建立這些關系,并將自身定位為客戶團隊的真正延伸。
產品和服務融合將持續發展
無論企業從何處起步,產品與服務的融合趨勢將持續推進。無論是面向SOC的AI技術還是AI賦能的MDR(托管檢測與響應)服務商,都將演變為形態相似的AI驅動、技術領先的服務提供商。正因如此,我斷言,今日以AI為動力的SOC企業,必將是未來的安全服務提供商。
最終,我認為當今企業在人工智能(AI)與安全運營中心(SOC)交匯處所做的努力對行業而言是一大幸事。想象這樣一個世界,每位MDR提供商都能接入由AI驅動的運營中心,AI SOC助力他們自動化處理警報疲勞及SOC周邊的手動流程,AI滲透測試工具則幫助他們自動化大量滲透測試相關的手動工作,諸如此類,令人難以抑制興奮之情。這有望改變服務交付的方式及其成本結構。當然,前提是技術能夠兌現其承諾。
如果AI確實能夠兌現其承諾,它也將顛覆傳統的安全產品上市模式,即安全公司銷售產品后,客戶依賴生態系統合作伙伴(經銷商、集成商和顧問)并支付大量額外費用才能成功使用他們剛購買的產品。希望我們很快能見證一個世界,在那里,安全產品的買家最終通過專業知識與技術的恰當結合,解決了長期以來的挑戰。
原文鏈接:
https://ventureinsecurity.net/p/todays-ai-powered-soc-companies-are-524