Connect with us

Leaders d’opinion

Comment l’IA alimente le SOC de demain

mm
Published
A professional security analyst working in a modern, high-tech Security Operations Center (SOC) with multiple monitors displaying AI-driven data visualizations and neural network interfaces.

Le Security Operations Center (SOC) traditionnel subit un changement majeur, principalement impulsé par l’intégration de l’IA. Près de 90% des organisations utilisent désormais des technologies d’IA, avec une application significative dans la détection des menaces, la réponse et la récupération des incidents. Cependant, seuls 27% ont entièrement automatisé la détection des menaces, indiquant un écart dans la réalisation du plein potentiel de l’IA. Pour rester à la hauteur, les dirigeants de la sécurité doivent stratégiquement exploiter l’IA pour construire le SOC de demain.

Comment l’IA améliore les équipes SOC et intègre les charges de travail

L’IA peut aider les analystes en sécurité à redéfinir leurs rôles et à les habiliter à se concentrer sur des initiatives stratégiques à plus forte valeur. Les défenseurs peuvent passer d’un mode réactif constant à un travail qui réduit les risques et élève la valeur des opérations de sécurité dans l’entreprise.

Nous avons souvent parlé de produits dans le SOC, tels que la gestion des informations et des événements de sécurité (SIEM), l’orchestration et la réponse automatisée de la sécurité (SOAR), et l’analyse du comportement des utilisateurs et des entités (UEBA) qui sont des composants essentiels des opérations SOC. Ces produits sont parfois mal intégrés dans les flux de travail, ce qui entraîne des difficultés d’interopérabilité et une charge mentale inutile pour les analystes. Cependant, les conversations modernes se concentrent désormais sur les capacités plutôt que sur les produits, en particulier à mesure que l’IA aide à réduire la fatigue de commutation en agissant comme un tissu conjonctif.

L’IA ne s’arrête pas à la connexion des outils existants ; c’est également un grand accélérateur de productivité. Il peut co-rédiger des playbooks avec un analyste, lui évitant le travail de base de création d’une réponse automatisée à partir de zéro. L’IA peut également résumer un incident, en tirant les informations les plus pertinentes de ce qui est présenté et en donnant à l’analyste un avantage pour le briefing préalable.

Lorsque les équipes SOC utilisent des agents IA dans leurs flux de travail, elles bénéficient d’une contention plus rapide, d’une réponse à l’échelle, de capacités supplémentaires et d’une réduction de la charge manuelle. Par exemple, les agents IA qui peuvent auto-trier et supprimer les faux positifs donnent aux analystes un avantage lorsqu’ils travaillent sur une file d’attente de tickets. Mais ce n’est pas seulement une question d’efficacité ou de productivité ; l’IA peut apporter de nouvelles capacités dans le SOC qui étaient précédemment des outils externalisés. Par exemple, l’ingénierie inverse, où l’IA peut déterminer comment un logiciel malveillant fonctionne pour donner aux équipes de sécurité une compréhension de ce qui s’est passé lors d’une attaque. Ces outils peuvent également effectuer une analyse plus approfondie que l’automatisation pendant une enquête, en garantissant que la plupart du travail préparatoire est terminé avant que l’analyste n’examine un incident.

Brancher ces outils IA sera vital pour les SOC, car les acteurs menaçants utilisent l’IA, et le rythme du jeu du chat et de la souris s’accélère.

Les avantages d’un SOC alimenté par l’IA

Lorsque les équipes SOC passent tout leur temps à répondre aux alertes ou à traiter les incidents, ils n’ont pas le temps de contribuer à des programmes stratégiques qui améliorent l’efficacité du SOC. Cela est préjudiciable à l’entreprise, car la résilience des systèmes numériques affecte directement la rentabilité.

L’IA débloque un changement significatif en libérant du temps, tout comme l’automatisation l’a fait auparavant. Cela permet aux équipes SOC de se concentrer sur des initiatives proactives stratégiques qui stimulent la croissance de l’entreprise, en réduisant le volume des incidents et en créant davantage de capacité pour de nouveaux investissements.

En plus de libérer du temps pour les équipes SOC, l’IA améliorera la qualité de la réponse et aidera les équipes à répondre plus rapidement. Alors que les attaquants utilisent de plus en plus l’IA pour accélérer et amplifier leurs attaques, il est essentiel que les SOC modernes adoptent des capacités similaires.

Élaboration d’un SOC alimenté par l’IA

Pour établir un SOC alimenté par l’IA, les dirigeants de la cybersécurité doivent d’abord analyser les pratiques actuelles du SOC pour identifier les tâches qui nécessitent le plus d’efforts manuels, puis accélérer ces tâches avec l’IA. Les points de départ courants incluent :

Rédaction et gestion des détections : De nombreux SOC utilisent déjà des détections écrites par les fournisseurs et les affinent pour répondre à leurs besoins spécifiques. L’IA peut encore améliorer ce processus en co-créant et en rédigeant de nouvelles détections. Au-delà de la simple création et de la rédaction de nouvelles détections, l’IA peut également soulager les analystes de la charge de gérer le cycle de vie de la détection. Lorsqu’une détection cesse de déclencher ou devient trop bruyante, l’IA peut identifier le problème et suggérer des améliorations pour améliorer la fidélité de la détection. Par exemple, tout comme Netflix suggère des films, l’IA peut alimenter un moteur de recommandation de détection qui détermine lesquelles offrent la meilleure couverture, en fonction de vos données et des menaces auxquelles vous êtes confronté.

Interpréter les résultats : L’IA peut donner aux analystes un avantage en résumant et en mettant en évidence les informations clés à partir des alertes. En plus de l’enrichissement automatique, qui économise du temps et évite des tâches répétitives et épuisantes, l’IA peut identifier les détails importants et suggérer les prochaines étapes probables. Cela permet aux analystes de conserver le contrôle, tout en économisant des minutes précieuses sur chaque enquête.

Exécuter les enquêtes : Pour un SOC, l’enquête collaborative sur les menaces potentielles n’est pas seulement une fonction, c’est la mission principale. Des enquêtes efficaces reposent sur la disponibilité de données de qualité pour appliquer les bonnes analyses et prendre des décisions éclairées. Même si cela peut sembler basique, atteindre un tel flux de travail dans toutes les zones d’activité est étonnamment difficile. L’IA peut améliorer les capacités d’enquête du SOC en gérant de manière autonome certaines parties d’une enquête, comme l’analyse d’échantillons de logiciels malveillants, ou accélérer les méthodes existantes, comme la recherche efficace de modèles malveillants similaires dans d’autres actifs. Le déchargement de ces tâches des analystes surchargés augmente la capacité de l’équipe et leur permet de se concentrer sur l’analyse, l’enquête et la remédiation complexes.

Rédiger les rapports d’enquête : Les rapports d’enquête sont souvent fastidieux et chronophages, mais ils sont essentiels pour la connaissance d’entreprise, les archives historiques et la conformité. Lorsqu’ils sont de haute qualité, ces rapports peuvent même servir de source de données précieuse pour l’IA, révélant des modèles et des tendances de remédiation courants au sein du SOC. Cependant, les rédiger est généralement long, fastidieux et peu passionnant. C’est là que l’IA peut briller : elle peut rapidement rassembler les informations et créer des rapports complets. Est-ce glorieux ? Peut-être pas. Mais cela économise 15 à 20 minutes par enquête ; du temps qui s’ajoute rapidement.

Rédaction des playbooks : Les playbooks automatisent les flux de travail de sécurité, permettant aux analystes en sécurité de passer plus de temps à enquêter sur les menaces. Ils offrent des avantages significatifs en termes d’économie de temps, de qualité de réponse et de cohérence. De plus, les playbooks servent de documentation claire des réponses correctes pour des scénarios spécifiques, un avantage précieux pour les équipes de conformité ! Cependant, la création de playbooks efficaces prend du temps et nécessite des affinements pour garantir qu’ils s’activent correctement dans les situations pertinentes. Les analystes sont souvent confrontés à de telles pressions temporelles qu’il est difficile de développer ces ressources à partir de zéro. À nouveau, l’IA peut aider à accélérer ce processus en générant et en co-rédigeant des playbooks, permettant aux analystes d’éviter de commencer à partir d’une page blanche.

Établir le SOC prêt pour l’avenir

L’exploitation de l’IA donnera à votre SOC un avantage significatif, en libérant du temps précieux pour développer une stratégie de sécurité et rester préparé pour tout ce qui se profile à l’horizon. Alors que la complexité augmente, y compris les attaques alimentées par l’IA, les menaces internes ciblées et l’évolution des réglementations en matière de cybersécurité, rester à la pointe est plus difficile que jamais. Cependant, le SOC de demain ne consiste pas seulement à être prêt au combat ; c’est construire une résilience qui dure, permettre l’agilité organisationnelle et renforcer la ligne de fond et la réputation de votre entreprise.

Related Topics:
mm

Kirsty Paine (elle/she) est une conseillère stratégique en technologie et innovation pour la région EMEA de Splunk, où elle fournit un leadership d'opinion technique pour les comptes stratégiques. En tant que technologue expérimentée, stratège et spécialiste de la sécurité, elle prospère en comprenant les problèmes difficiles et en trouvant des solutions créatives.