Gartner发布创新洞察:AI SOC智能体加速通信运营商安全运营转型
通信服务提供商需要专门构建的 AI SOC智能体,以自动化和增强信令、核心网、无线接入网和漫游中的安全性,从而使产品领导者能够转变安全运营,加速检测和响应,并确保关键电信基础设施的弹性。
主要发现
AI SOC智能体提供先进的专用功能,使安全分析师能够高效地管理通信服务提供商 (CSP)环境中的大量运营工作,自动进行分类、加速威胁狩猎和简化事件报告生成,从而提高安全工作流程的速度和准确性。
尽管 AI SOC 供应商格局正在快速变化,但 CSP 安全运营团队仍然可以通过利用替代解决方案(例如集成 SIEM 和 SOAR 平台、专门的托管检测和响应 (MDR) 服务或定制的 AI/ML 技术,如 Open RAN IDS)来提高运营效率并加强安全性,而无需仅仅依赖专用的 AI SOC智能体。
AI SOC智能体市场包括两类供应商:一类是致力于实现完全自主工作流程的供应商(这对于达到 5 级自主网络至关重要),另一类是提供增强模型的供应商(利用人机协同监督来保障关键的 CSP 安全运营)。
虽然 AI SOC智能体尚未取代人类运营人员,但它们对于满足电信安全、监管和弹性要求至关重要,通过增强 CSP 在告警分类、调查和威胁狩猎等领域的运营,支持合规性和持续服务可用性。
建议
为了推动AI SOC智能体的普及,产品负责人必须:
目标客户是那些在安全运营方面需要增加技术支持的人力资源的通信服务提供商(CSP),以及那些适合部署 CSP AI SOC智能体的特定活动、职能和领域(例如 5G 或开放 RAN)。
定义并提供成功指标跟踪,以验证AI SOC智能体是否能够通过提高检测准确率、精确率和召回率,同时缩短平均检测时间 (MTTD)和平均解决时间 (MTTR)来提升通信服务提供商 (CSP) 的安全运营成果,从而确保这些可衡量的运营收益能够完全抵消解决方案成本。
通过改进安全运营工作流程、无缝集成和功能(例如,更快的告警分类和 Open RAN 异常检测),向 CSP展示 AI SOC智能体的价值,优先考虑运营收益而不是产品功能。
确保采用 AI SOC智能体直接支持 CSP 的合规性、监管和弹性目标,方法是在将智能体集成到 CSP 的 SOC 工作流程中时,建立与电信特定要求(例如持续的服务可用性、监管报告的准确性和对安全标准的遵守)相关的明确成功标准。
战略规划假设
到 2027 年,55 %的云服务提供商将在其安全运营中采用至少三个AI 智能体,而2025 年这一比例还不到 15% 。
到 2030 年,由于过度依赖人工智能工具,75% 的 CSP SOC 团队可能会面临技能退化的问题。
概述
AI SOC智能体——一种利用人工智能技术实现安全运营自动化和增强的解决方案,正在改变通信服务提供商 (CSP)应对不断演变的威胁和监管要求的方式。产品负责人有机会帮助CSP安全负责人保护5G和多云等复杂环境,平衡技术风险、合规性和服务可用性。AI SOC智能体简化了告警分类、威胁调查和合规性报告流程,帮助CSP克服技能短缺问题并高效扩展运营规模。目前既有人工辅助模型,也有完全自主的模型,需要根据组织成熟度和监管需求进行精心匹配。然而,进一步应用也带来了挑战,CSP需要更多帮助:AI模型容易受到对抗性攻击和操作误差的影响,并且可能会削弱人类的专业知识。集成障碍和数据质量问题进一步增加了部署的复杂性,因此,明智的选择和监督对于增强韧性和遵守监管规定至关重要。
下图 1 显示了 AI SOC智能体与 SOC 操作员和数据源交互以支持各种用例的逻辑用法。
图 1:AI SOC智能体的使用情况
描述
AI SOC智能体正在变革通信服务提供商的电信安全运营,它们能够自动化处理大量任务,例如减少误报和增强告警,这对于保护复杂的5G、开放式无线接入网和多云环境至关重要。这些智能体利用自然语言查询、攻击路径上下文识别和实时异常检测等高级功能,加速调查,从而维护网络完整性,并支持跨网络切片的机密性、完整性和可用性。
领先方法
AI SOC智能体利用大型语言模型(LLM)普及对复杂电信文档、信令协议(例如SS7、GTP)以及3GPP和GSMA等机构发布的不断发展的标准等信息的访问。这些代理通过直观的自然语言界面将技术知识转化为可操作的见解,从而弥合技能差距,并在组织内的各个岗位上提供即时效用,而无需进行大量的再培训。
借助先进的自然语言理解能力,AI SOC智能体使安全分析师能够使用自然语言与电信平台(例如OSS/BSS、CSPM工具)进行交互,从而简化资产管理和合规性监督等工作流程。这些智能体可以生成事件摘要、自动生成监管报告并创建响应手册,从而支持治理和持续服务。通过吸收组织策略和标准操作程序 (SOP),它们确保输出符合合规性和审计要求。观察学习进一步增强了这些智能体的功能。通过监控人工操作员,智能体可以学习标准流程、标记偏差并支持流程一致性,这对于满足5G服务级别要求( SLR ) 至关重要。这种双管齐下的方法提高了日常运营效率和战略监督能力,使通信服务提供商 (CSP) 能够在动态的电信环境中实现更高的韧性、合规性和客户信任度。
益处和用途
CSP AI SOC智能体的目标是通过应用人工智能来增强各种安全运营活动和任务,尤其侧重于电信运营和5G/开放式无线接入网等复杂环境。当AI SOC智能体与现有的CSP安全基础设施集成,并支持监管合规性和审计要求时,这些优势将得到最大程度的发挥。
表1:CSP AI SOC智能体的主要优势
精简运营支出并保留电信知识 |
|
提升告警质量和情境化程度 |
|
更快的决策和更迅速的解决方案 |
|
重新投资人力资源,扩大专业知识规模,并确保一致性 |
|
AI SOC智能体的效能取决于其底层AI/ML模型和技术的专门训练。为了使这些智能体真正有效并带来可衡量的价值,其解决方案必须根据特定的安全活动进行开发和训练。在电信行业,这种训练必须优先考虑保护复杂专有基础设施(例如5G核心网和开放式无线接入网)的独特需求。部署这些系统的一个主要运营目标是维持严格的网络切片服务级别限制(SLR)。因此,这些定制化AI SOC智能体执行的专门工作最好被理解和阐述为安全运营的高价值用例。 | |
资料来源:Gartner(2025年12月)
表2:CSP AI SOC智能体的常见用例
告警分类与优先级排序 | 利用人工智能/机器学习技术对 5G 核心网和开放式无线接入网中的告警进行过滤和分类,并与电信威胁情报进行关联,减少误报,缩短安全事件的平均修复时间。 |
增强调查和背景 | 通过 API 动态丰富电信系统的数据,加速分析,综合分析针对核心网络或用户数据的威胁的时间线和路径等信息。 |
自主威胁检测 | 持续分析大量电信网络数据并监控通信模式(例如,开放式无线接入网),以检测传统系统无法检测到的异常活动。 |
协作协助 | 充当安全团队的对话式人工智能顾问,将自然语言查询翻译成复杂的电信安全查询,并管理大量客户或分析师的咨询。 |
检测工程 | 通过摄取原始威胁情报、合成指标并生成检测内容,为 CSP 检测工程团队提供支持,例如,针对 5G 核心网和开放式 RAN 环境。 |
事件/案例概要 | 利用生成式人工智能合成事件调查细节,并为高级管理层生成摘要报告,以帮助实现电信治理、风险和合规(GRC)目标。 |
运营监督与一致性 | 确保复杂的多云 5G 和开放式 RAN 架构的流程一致性和运营监督,标记偏差并降低配置错误风险。 |
组织知识保留 | 通过在人工智能系统中捕获和保留运营知识来缓解电信人才流失,加快新 SOC 人员的入职速度。 |
应对建议或执行 | 通过 API 集成提供电信相关的上下文响应建议,并自动执行遏制或补救措施(例如,隔离网络功能),以维持持续的服务可用性。 |
威胁狩猎增强 | 通过基于内部安全事件、日志和外部电信威胁情报生成假设和透明分析,解放技术娴熟的电信安全运营中心 (SOC) 人员,使其能够主动进行威胁狩猎。 |
零信任策略执行 | 在电信环境中强制执行严格的策略遵守,通过自主应用基于策略的操作来保护网络组件和切片,从而支持安全 5G 核心的零信任架构。 |
资料来源:Gartner(2025年12月)
风险
尽管通信服务提供商普遍渴望实现自动驾驶网络,但在电信环境中采用人工智能驱动的SOC智能体并非通往完全自主的捷径。相反,这一转型是一个渐进的过程,需要将人工智能SOC能力与特定的运营目标进行战略性调整,例如确保不间断的服务交付以及遵守严格的网络切片服务等级要求( SLR )。
成功整合AI SOC的基础前提是对现有安全运营进行强有力的投资。人工智能智能体带来的运营效率提升,例如加快告警分级、增强威胁检测和减少工作量,必须显著超过与 AI SOC 的采用和生命周期管理相关的巨额资本和运营支出。
对于缺乏成熟安全运营的通信服务提供商 (CSP) 而言,风险尤为严峻。许多电信网络仍然依赖于零散的文档、机构知识和非正式实践,同时还要管理日益复杂的多云架构,这进一步扩大了威胁形势。在部署 AI SOC智能体之前,企业必须优先考虑数据清理、知识编目和基础设施现代化。未能满足这些先决条件,或者未能明确定义优化目标(例如缓解 O-RAN 服务管理和编排 (SMO) 框架中的配置错误漏洞),都可能导致投资浪费和 AI 项目失败。
与CSP的AI SOC智能体相关的关键风险
业务连续性和灾难恢复风险:在系统中断期间,AI SOC智能体的可靠性至关重要。由于对抗性攻击、模型漂移或集成问题导致的故障,如果没有完善的恢复计划,可能会延迟事件响应、延长停机时间,并可能导致违反监管规定和经济损失。
人工智能模型易受对抗性攻击的影响:用于入侵检测的 AI 模型(尤其是在 Open RAN 中)容易受到数据投毒和对抗性操纵的影响,从而导致误报或错误拒绝网络切片。
自动化配置错误风险:AI智能体可能会无意中更改 VNF/CNF 包和授权策略,或损坏密钥配置(例如 NSSAI),从而导致服务降级或安全漏洞。
自主网络系统中幻觉的放大:LLM或 AI 智能体的错误输出可以通过多步骤工作流程传播,放大在自主网络管理场景中可能无法检测到的错误。
敏感数据泄露:AI智能体通常需要访问机密用户和切片数据(例如,SUPI、UE 位置、订阅详细信息),这增加了通过 Diameter 或 RADIUS 等受损协议暴露的风险。
基础电信安全技能的流失:过度依赖AI智能体会导致关键的人类专业知识流失,而这些专业知识对于调查与核心电信信令协议(GTP、Diameter、SS7)相关的威胁至关重要。这种技能的流失会削弱组织有效应对新型或复杂攻击的能力。
组织变革管理的挑战:员工抵触情绪、信任问题和培训不足阻碍了AI SOC的推广应用。有效的变革管理包括培训、沟通和参与至关重要。
跨切片策略违规和资源耗尽:源自一个网络切片的自动化操作可能会无意中违反切片间隔离,导致相邻切片遭受拒绝服务 (DoS) 攻击或资源耗尽。
智能体不确定性和智能体可审计性缺失:AI智能体行为的治理薄弱和审计跟踪不足会导致活动不受管理或无法追踪,从而危及对运营政策和监管要求的遵守。
由于传统BSS/OSS集成障碍而导致的部署失败:AI智能体部署在与传统 BSS/OSS 集成时面临技术和财务障碍,新兴标准(例如 MCP)通常不兼容,这有导致项目失败的风险。
高成本和供应商不稳定性:许可限制、平台复杂性和供应商不稳定性使得成本论证变得复杂,并限制了广泛采用,特别是对于缺乏可靠的运营指标进行基准测试和投资回报率分析的团队而言。
采用率
AI SOC智能体的市场特点是企业对其表现出浓厚的兴趣,但其在安全运营领域的部署仍处于起步阶段,且规模有限。这种企业范围内的部署意愿与通信服务提供商(CSP)密切相关,近四分之三的CSP受访者预计将在未来一到两年内,在其业务范围内广泛采用AI试点项目或智能体。
展望未来,Gartner 预测这项技术的整合将大幅加速: 2024 年,企业软件中包含智能体 AI 的比例不到1% ,但预计到 2028 年,这一数字将急剧上升至 33%。
尽管这些长期预测令人信服,但目前的生产应用率仍然很低。一项针对大型终端用户组织的2025年调查显示,届时只有不到33%的组织正在积极使用或试用网络安全人工智能助手。然而,采用这些功能的战略意图十分显著,因为高达88%的受访组织计划使用、正在试用或已经在生产工作流程中使用网络安全人工智能助手进行威胁检测和事件响应。
以下是一些与CSP相关的AI智能体示例:
诺基亚 NetGuard XDR(扩展检测与响应)AI智能体
Nokia NetGuard XDR 包含 AI 驱动的智能体,旨在实时摄取、关联和分析电信信令数据(SS7、Diameter、GTP)。这些智能体能够自主对告警进行分类,检测信令流量中的异常情况,并提供针对电信环境(包括 5G 核心网和 RAN)量身定制的自动化事件响应建议。
Palo Alto Cortex XSOAR 为电信行业提供 AI 驱动的剧本
Cortex XSOAR 是一个功能全面的安全运营自动化 (SOAR) 平台,它提供由人工智能驱动的剧本和智能体,可自动执行电信行业特有的安全运营中心 (SOC) 任务,例如 SS7/Diameter/GTP 告警增强、异常检测和事件分类。这些智能体可与电信信令防火墙和 5G 核心系统集成,从而实现自主调查和修复。
西班牙电信的AI驱动型SOC智能体(内部开发)
西班牙电信(Telefónica)为其全球安全运营中心(SOC)开发了专有的AI智能体。这些智能体能够采集电信行业特有的数据(信令、网络切片监测、漫游分析),自主进行告警分类,并生成事件摘要和合规性报告。它们旨在跨多云、5G核心网和无线接入网(RAN)环境运行。
替代方案
对于通信服务提供商 (CSP) 而言,除了 AI SOC智能体之外,还有其他替代方案,它们在工作流程增强、自动化和高级威胁检测方面也能为安全运营团队带来诸多益处。对于为 CSP 构建产品的产品负责人来说,评估这些替代方案至关重要,这有助于找到最有效、最理想的途径,在应对 5G 核心网和开放式无线接入网 (Open RAN) 等复杂环境的同时,实现可衡量的运营收益。
以下是CSP AI SOC a gent类型优势的主要替代路径:
利用托管安全服务 (MDR/MSS)
MDR 提供商正在将 AI SOC 功能直接融入到他们的服务产品中,为购买独立技术提供了一种替代方案。
这种方法有助于 CSP 管理大量的安全事件,因为一些全球安全运营中心每年要处理超过 36 万起事件。
使用新一代人工智能技术的服务可以将事件解决时间从几天大幅缩短到几分钟。
现有安全平台(SIEM/XDR)中的原生人工智能
现有的 SIEM 和 XDR 工具现在提供原生 AI 功能来增强常见的工作流程任务,例如增强告警丰富性和上下文关联性。
这些工具利用LLM(语言学习模型)通过聊天机器人界面提供指导并简化复杂查询。
通信服务提供商必须整合专门的电信情报,因为传统的 IT 安全堆栈通常无法解码 GTP、Diameter 和 SS7 等核心协议,从而造成安全盲点。
定制化内部智能体开发
拥有内部人工智能开发专业知识的大型 CSP 可能会选择构建自己的定制智能体,选择这条路线是为了更好地控制数据,以限制隐私风险并进行特定任务的定制。
这样就可以通过将网络安全系统与其他部门的资产连接起来,实现必要的跨职能背景化。
定制解决方案对于将智能体与遗留的棕地系统集成至关重要,这是扩大 AI 采用规模的一大挑战,通常需要模型上下文协议 (MCP) 等标准。
专门针对电信行业的AI解决方案
专用人工智能/机器学习系统直接部署到网络功能中,用于执行特定的、关键的安全任务。
异常检测:利用集成学习等先进机器学习技术的专用入侵检测系统( IDS ) 旨在检测 Open RAN Near-RT RIC 环境中的威胁。生成式人工智能通过模拟复杂的攻击场景,为增强 Open RAN 中的 IDS 提供了极具前景的前沿技术。
运营效率:非安全类GenAI应用,例如GenAI语音机器人,已被证明在客户服务运营中卓有成效,将平均事件解决时间从12.24分钟缩短至7.99分钟。AI /ML模型还用于持续的性能保障,并根据所需的安全级别要求定制安全措施。
建议
为了推动通信服务提供商 (CSP) 采用其AI SOC智能体,产品负责人必须:
针对资源消耗较大的活动,例如初始告警调查和数据汇总,增加现有人员以填补安全技能缺口,尤其是在 Open RAN 安全等高复杂度领域部署专门的增强措施(例如 RAN Guardian Agent),以持续监控网络并预先调整无线电性能以应对负载增加。
通过衡量量化的运营收益来验证财务投资回报率,包括减少误报告警,改进平均故障检测时间/平均修复时间以及准确率、召回率和精确度等检测指标,同时实施对人工智能输出进行持续采样的流程,以主动识别和减轻幻觉,并跟踪相关的成本相关错误。
通过严格优先考虑功能性运营收益而非抽象产品特性,重新构想 HITL 工作流程,确保通过 MCP 和 A2A 等标准在不同的安全系统之间实现无缝的数据交换和工具执行,使智能体能够访问和整合关键的组织环境(例如,安全策略和 SOP),从而加快分类速度,并使人工分析师能够转向战略威胁狩猎和检测工程。
通过确保智能体可审计、受策略约束且可解释(XAI),嵌入强制性 AI 治理,以保证 CSP 的弹性,支持网络切片的机密性、完整性和可用性三元组,并将安全措施与零信任架构 (ZTA) 原则保持一致,以满足强制性SLR的持续服务可用性要求。
代表性供应商
Anthropic
Dropzone AI
DRUID
Google
Palo Alto Networks
Pegasystems
Tecnotree