超越炒作：您的安全平台提供的是AI价值还是空谈？

超越炒作：您的安全平台提供的是AI价值还是空谈？

2025年7月30日
Jeremy Goldstein

评估AI潜力的时代已经结束。对CISO（首席信息安全官）而言，网络安全领域唯一值得讨论的AI话题是经过验证的性能。高层指令很明确——每位领导者都被要求说明如何利用AI实现更高效、更快速和更盈利。对CISO来说，这种压力将对话从“是否应该采用AI”转变为“如何正确实施”。正确的AI投资应通过加速威胁遏制、创建更高效的安全团队以及量化降低整体风险来增强业务。

在每家供应商都声称AI领先的背景下，衡量平台价值的不是模型大小或任意的LLM基准，而是其实现这些业务需求的能力。是时候超越炒作，专注于AI在安全运营中的实施结果。

安全团队面临来自网络攻击数量增长、复杂性和速度的空前压力——更多噪音、更多工作、更多风险。经过验证的安全方法和手动工作流难以跟上步伐，导致分析师不堪重负、警报被忽略以及组织风险增加。作为回应，安全团队不仅需要新工具，还需要从根本上改变处理安全的方式。

为引导这一转型，SentinelOne创建了自主SOC成熟度模型，该框架展示了先进的生成式和代理AI如何增强人类专业知识、分析数据和自动化工作流，以机器速度应对威胁。

辨别真正的AI价值与市场噪音

对CISO来说，挑战在于穿透震耳欲聋的市场噪音，识别真正的AI驱动价值。当组织能够加速威胁检测和响应时间，同时降低MTTD（平均检测时间）和MTTR（平均响应时间）等关键指标时，真正的AI价值才显现。通过自动化常规和重复性任务，AI使经验丰富的分析师能够将专业知识专注于主动威胁狩猎和深入调查。

在安全计划中实施AI的组织旨在显著提高效率、明显降低风险，并减少安全事件的可能性和严重性。当AI驱动的工具改进分析师工作流并为各级安全专业人员提供增强能力时，它们对安全团队变得至关重要。大多数人现在熟悉生成式AI：帮助辅助工作的工具。

在安全领域，这意味着从原始数据（事件摘要、查询、调查见解）生成可读内容，以帮助分析师更快理解情况。这是关于加速理解。代理AI更进一步。这不仅关乎提供辅助，还关乎能够完成工作的系统。先进的AI系统，尤其是那些利用代理能力的系统，现在可以处理数据召回和关联，甚至精确启动决策步骤，使团队能够更快、更准确地响应。

最有效的AI补充和增强人类专业知识，反之亦然，推动更强大的安全态势。最终，设计良好的AI系统的目标是将人类角色提升为对AI行动的战略监督和管理，以更有效的方式应用他们的专业知识以及对工具和流程的深厚制度知识。分析师的角色从手动分类和调查警报队列转变为应用他们的专业知识来监督自主系统。AI代理可以推理多步任务、决定后续行动、优先处理最重要的事项，并自主推进工作流，同时保持透明度并让人类参与循环。

导航AI迷宫：CISO应在AI工具中寻找什么

导航AI供应商格局具有挑战性。使用此清单优先考虑提供更智能、更快速和更集成安全的解决方案，确保您投资于真正价值，而不仅仅是炒作。

:check_mark: 1. 它是否提供统一、可操作的可见性？
AI能否通过摄取和关联来自整个安全环境（包括端点、云工作负载、身份、防火墙、SASE和威胁情报源）的情报来打破数据孤岛？
它是否提供单一统一视图，将不同的数据点转化为可操作的见解？

:check_mark: 2. 它是否支持开放标准以更好地检测？
平台是否采用数据规范化的开放标准，如开放网络安全架构框架（OCSF）？
这是否通过确保所有安全工具使用相同语言来实现更准确、上下文丰富的威胁检测？

:check_mark: 3. 它是否驱动行动和遏制？
AI是否超越简单识别问题，积极帮助我的团队遏制它们？
它能否将原始遥测数据转化为清晰的情报，驱动自动化响应行动或提供优先、引导的修复路径？

:check_mark: 4. 它是否赋能分析师并培养自主性？
AI是否旨在简化复杂性并赋能所有技能水平的分析师，减少警报疲劳并释放人才处理最关键的威胁？
它是否帮助我的团队迈向更自主的操作模式？

:check_mark: 5. 它是否作为真正的力量倍增器？
平台是否利用生成式AI（用于见解和理解）和代理AI（用于自主行动和决策）？
是否有明确证据表明AI持续学习、适应并增强我的安全团队的能力和效率？

从轶事到证据：AI部署的成果

面对这些挑战和选择，安全领导者如何将可信的AI解决方案与炒作区分开？答案在于数据驱动的评估和对真实世界实施的诚实审视。安全领导者应评估展示先进AI能力如何转化为可衡量的安全和业务成果的解决方案。

最近的IDC白皮书《SentinelOne Purple AI的商业价值》[1]提供了 precisely 这种定量评估。IDC对使用SentinelOne Purple AI的组织进行了深入访谈，该解决方案利用 cutting-edge 生成式AI和代理AI加速调查、狩猎、分类和响应等工作流。

这些真实世界部署的发现提供了关于AI在满足安全领导者对速度、效率和风险降低需求时可带来的 tangible 好处的 compelling 见解。使用Singularity平台和Purple AI，客户经历了显著改进：

• 识别安全威胁速度快63%，解决速度快55%，意味着事件在几分钟内得到遏制，而不是几小时。
• 安全团队效率提高38%，使每位团队成员能够支持多61%的端点。
• 338%的三年投资回报率，回报期仅为四个月。

这些客户成果归因于Purple AI的能力，包括自然语言查询、自动事件摘要、建议的后续调查步骤以及其代理AI功能（如Auto-Triage）提供的自动化。组织发现Purple AI使他们能够增强安全运营、提高操作效率并改善整体安全成果，降低操作风险并增加业务信心。

不要只听我们的话——听听报告中现有Purple AI客户的说法：

• 增强安全运营： “能够用SentinelOne Purple AI提出原生问题，而无需了解特定关键词或学习新语法，是一个巨大的力量倍增器，为我们节省了大量时间。”
• 提高操作效率： “有了Purple AI，我们不需要扩展安全专家团队。目前，我们避免了招聘，并能够利用现有的应用团队。”
• 实现风险降低： “拥有Purple AI对提高我们的操作成熟度至关重要。它使我们能够进行具体调查，做出关于安全态势的明智决策，并确保没有东西潜入我们的环境。”
• 增加业务信心： “在创新方面，我认为它可能帮助我们未来承担更多风险，因为我们将更有信心。”

超越炒作：自行判断

当AI——结合生成式和代理优势——经过深思熟虑地实施以满足安全团队的需求时，它以非常真实和可衡量的方式推动安全运营。关键是看透营销口号，专注于经过验证的成果。生成式和代理AI无疑将塑造安全运营中心的未来，CISO必须从谨慎好奇转向战略采用。

AI是分散注意力还是您的下一个竞争优势？在我们的点播网络研讨会《超越炒作：区分AI炒作与安全成果》中获得明确答案。我们呈现IDC对真实AI实施的定量评估，并收录当前Purple AI客户、IDC研究副总裁Chris Kissel和SentinelOne产品管理高级总监Adriana Corona的见解。

要了解如何通过Purple AI革命性的自主SOC方法转变安全运营，请访问我们的网页或向产品专家请求演示。

[1] IDC商业价值白皮书，由SentinelOne赞助，《SentinelOne Purple AI的商业价值》，#US53337725，2025年7月
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码