
Agentic AI 正在重塑威胁管理
文章称,企业安全团队常同时使用 40 个以上工具,但因各自孤立,仍难缩短入侵驻留时间。作者主张用 agentic AI 把威胁情报、暴露验证与响应自动串接成闭环,以支持 CTEM。
Introduction
平均企业安全团队拥有 40 个或更多安全工具,这些工具能提供大量内部遥测和资产数据可视性。但它们往往各自孤立运行,生成(重叠的)告警和数据。然而,入侵驻留时间仍然顽固地很长(约 43 天),响应窗口在团队采取行动前持续关闭,而分析师则在分流噪音中耗尽精力,而不是阻止威胁。
问题不在于投入,而在于架构。
安全项目是为一个威胁移动足够慢、让人类可以手动协调响应的世界而建立的。那个世界已经不复存在。随着 AI 能力的开发和使用方式不断演进,尤其是前沿 AI 工具的出现,安全也需要更主动的姿态,以及机器速度的响应来对抗快速移动的对手。Gartner 的 Continuous Threat Exposure Management(CTEM)框架有助于推动这种转变:从被动的、点时评估转向持续、迭代的循环,包括范围界定、发现、优先级排序、验证和动员。但对大多数组织来说,端到端地落地 CTEM 仍然难以实现,因为所需工具之间仍然无法互通。
每一个安全缺口背后的架构问题
现代安全堆栈是由专门工具组成的集合:这里一个威胁情报平台,那里一个漏洞扫描器,另有一个 BAS(breach and attack simulation)工具,以及一个试图把所有内容串联起来的 SIEM。每个工具都会生成数据,但没有一个能完成闭环。
等到情报被关联、暴露被排序、验证被执行,以及修复工单被处理时,对手往往已经移动了。瓶颈不在任何单一工具,而在它们之间的空白地带。
这就是让安全负责人夜不能寐的架构问题,也是那些附加在既有工作流上的通用 AI assistant 实际上无法解决的问题。让 chatbot 总结一份威胁报告当然有用,但这并不等同于拥有一个 AI 系统,能够自动将该报告与实时暴露面进行关联,验证你的控制是否有效,并优先排定最先需要修复的内容。
“Agentic” 究竟意味着什么,以及为何现在重要
“AI” 这个词在安全营销中已经被过度使用,因此有必要准确说明在这里 agentic AI 到底意味着什么。
Assistive AI 会等待被要求。它会总结、翻译和检索,让分析师更快地做同样的事情。
Agentic AI 会主动行动。它理解上下文,自动设定优先级,并跨系统执行多步骤工作流;这不是一次性查询,而是持续在后台以机器速度运行。
这种区分很重要,因为威胁环境也越来越以机器速度运作。随着前沿 AI 模型的快速进步,从发现到利用的时间线正在显著缩短。领先的安全团队不会是分析师最多的团队,而会是其 AI 基础设施能够自主匹配这种速度的团队。
就 CTEM 而言,这意味着三个功能需要停止作为彼此独立的工作流:
Operationalizing threat intelligence:持续摄取、结构化并结合你的环境对威胁、暴露和漏洞数据进行情境化。理解对手正在做什么,以及哪些资产和基础设施可能暴露于这些风险之下。
Testing and validating your security posture:持续测试你的控制、团队和流程是否真的能够抵御你正在跟踪的对手行为
Mobilizing response:根据经过验证、由情报驱动的证据和风险,自动对修复行动进行优先级排序并路由
当这三项功能作为一个闭环运作时,AI agent 在它们之间传递信息和决策,而无需等待人工交接,CTEM 项目就不再只是幻灯片上的框架,而是成为运营现实。
用于落地 CTEM 和主动安全的 Agentic AI
Agentic 威胁管理架构,正是让 CTEM 框架从战略文档走向持续后台运行的关键。这需要一个专门的 AI orchestration layer,作为一个基础性的、具有关联上下文的层,内含相互连接的 agents。与其让分析师手动把威胁情报与暴露验证连接起来,不如由 agents 持续完成繁重工作,并带着正确的上下文和推理进行处理。整个工作流是自治的,agents 会在彼此之间以及跨产品进行任务交接,同时仍保留 human-in-the-loop 供最终决策。分析师真正可以成为情报驱动行动的编排者。
现在正在建设这一能力的安全团队并没有等待一套完美工具集。他们先构建运营模型,再让架构随后跟上。率先做到这一点的团队将拥有一种会随时间累积的结构性优势:更好的数据、更好的分析、更好的证据,以及进一步地,更好调校的 AI。通用 LLM 并不适合这类场景,它需要上下文和基于产品的专业知识。
最快缩小差距的组织,都是把 CTEM 当作 operating model,而不是单一工具,并选择专为端到端运行它而构建的 AI 基础设施。你可以通过 XTM One CTEM Assistant 看到这种运营模型的实际运作。
Filigran 正在举行一场 live session,讲解这在实践中是什么样子:安全团队如何使用 agentic AI,把情报、暴露验证和响应连接为单一的持续工作流,而不会出现拖慢每一步的交接空档。
本场 session 将涵盖:
为何转向 agentic AI 会改变安全项目的运营模型,而不仅仅是工具集
在精度至关重要时,purpose-built agents 在何处优于通用 AI
如何为你自己的项目评估 agentic AI infrastructure
注册 live session 或获取录制:
Tuesday, June 30 · 3pm GMT / 10am EST
Thursday, July 2 · 1pm AEST