ืื ืืืื ืืขื
ืืืฆื AI ืืืืืง ืืช ืืจืื ืืืืืืื ืฉื ืืขืชืื
מרכז הביטחון המסורתי (SOC) עובר שינוי משמעותי, בעיקר בשל האינטגרציה של AI. כמעט 90% מהארגונים משתמשים כיום בטכנולוגיות AI, עם יישום משמעותי בגילוי איומים, תגובה ושיקום התקריות. עם זאת, רק 27% מהם ביצעו אוטומציה מלאה של גילוי איומים, מה שמצביע על פער בין הפוטנציאל המלא של AI. כדי להישאר מעודכנים, מנהיגי הביטחון חייבים לנצל AI באופן אסטרטגי כדי לבנות את מרכז הביטחון של העתיד.
כיצד AI משפר את צוותי SOC ומשלב עומסי עבודה
AI יכול לעזור לאנליסטים הביטחוניים להגדיר מחדש את תפקידיהם ולאפשר להם להתמקד ביוזמות אסטרטגיות בעלות ערך גבוה יותר. המגינים יכולים לעבור ממצב תגובה קבוע לעבודה שמפחיתה סיכונים ומגבירה את ערך הפעילות הביטחונית בעסק.
בדרך כלל, דיברנו על מוצרים ב-SOC, כגון Security Information and Event Management (SIEM), Security Orchestration and Automated Response (SOAR), ו-User and Entity Behavior Analytics (UEBA) הם מרכיבים מרכזיים של פעילות SOC. לפעמים, מוצרים אלו מחוברים בצורה לא טובה, מה שגורם לקשיים באינטרופרביליות ולעומס נפשי מיותר עבור האנליסטים. עם זאת, השיחות המודרניות מתמקדות יותר ביכולות מאשר במוצרים, במיוחד כאשר AI מסייע להפחית את העייפות מהחיבור באמצעות היותו “רקמה מחברת”.
AI אינו עוצר רק בחיבור כלים קיימים, אלא גם משפר את הפרודוקטיביות. הוא יכול לשתף פעולה עם אנליסטים ביצירת ספרי עבודה, תוך חיסכון של עבודה בסיסית ביצירת תגובה אוטומטית מהיסוד. AI יכול גם לסכם אירוע, להוציא את המידע הרלוונטי ביותר ממה שמוצג ולתת לאנליסט התחלת דרך מוקדמת.
כאשר צוותי SOC מנצלים סוכנים של AI בעומסי עבודה, הם מרוויחים מהכללת אפשרויות, תגובה מהירה יותר, יכולת נוספת והפחתת עומס ידני. למשל, סוכנים של AI שיכולים לאוטומט את הסינון ולהסיר תוצאות שליליות כוזבות, נותנים לאנליסטים התחלת דרך כאשר הם עובדים דרך תור הכרטיסים. אך זה לא רק עניין של יעילות או פרודוקטיביות; AI יכול להביא יכולות חדשות ל-SOC שהיו בעבר כלים מוחכרים. למשל, הנדסה הפוכה, שבה AI יכול לגלות כיצד תוכנה זדונית מסוימת עובדת, כדי לתת לצוותי הביטחון הבנה של מה שעלול לקרות במתקפה. כלים אלו יכולים גם לבצע ניתוח מעמיק יותר מאוטומציה במהלך חקירה, ולוודא שרוב העבודה המוקדמת היא השלמה לפני שהאנליסט סוקר אירוע.
הנגישות לכלים אלו של AI תהיה חיונית עבור SOC, שכן גורמי האיום מנצלים AI, וקצב משחק החתול והעכבר מהיר יותר.
יתרונות ה-SOC המונע על ידי AI
כאשר צוותי SOC מבלים את כל זמנם בתגובה להתרעות או בטיפול באירועים, אין להם זמן לתרום לתוכניות אסטרטגיות שמניעות יעילות ב-SOC. זה מזיק לעסק, שכן עמידות מערכות דיגיטליות משפיעה ישירות על רווחיות.
AI פותח שינוי משמעותי בשחרור זמן, בדומה לאוטומציה לפני. זה מאפשר לצוותי SOC להתמקד ביוזמות אסטרטגיות ופרואקטיביות שמניעות צמיחה עסקית, מפחיתות את כמות האירועים ויוצרות יכולת גדולה יותר להשקעות נוספות.
בנוסף לשחרור זמן עבור צוותי SOC, AI ישפר את איכות התגובה ויעזור לצוותים לתגוב יותר מהר. ככל שהתוקפים משתמשים יותר ויותר ב-AI כדי לאיץ ולהגביר את התקפותיהם, הוא הופך לחיוני ש-SOC מודרניים יאמץ יכולות דומות.
פיתוח SOC המונע על ידי AI
כדי להקים SOC המונע על ידי AI, מנהיגי אבטחת המידע חייבים תחילה לנתח את פעילות ה-SOC הנוכחית, כדי לזהות משימות שדורשות את המאמץ הידני הרב ביותר, ואז לאיץ אותם עם AI. נקודות התחלה נפוצות כוללות:
כתיבה וניהול גילוי: רבים מה-SOC כבר מנצלים גילויים שנכתבו על ידי ספקים ומסתגלים אותם לצורכיהם. AI יכול לשפר עוד יותר את התהליך הזה, על ידי יצירה וכתיבה של גילויים חדשים. מעבר ליצירה וכתיבה של גילויים חדשים, AI יכול גם להקל את נטל הניהול של מחזור החיים של הגילוי. כאשר גילוי הופסק או הופך לרועש, AI יכול לזהות את הבעיה ולהציע שיפורים לשיפור אמינות הגילוי. למשל, כמו ש-Netflix מציע סרטים, AI יכול להניע מנוע המלצות גילוי, שקובע אילו גילויים מציעים את הכיסוי הטוב ביותר, על בסיס הנתונים שלכם והאיומים שאתה מולם.
פירוש ממצאים: AI יכול לתת לאנליסטים התחלת דרך, על ידי סיכום והדגשת מידע מפתח מהתרעות. בנוסף לעשרה אוטומטית, שחוסכת זמן ומונעת מטלות חוזרות ומייגעות, AI יכול לזהות פרטים חשובים ולהציע צעדים סבירים הבאים. זה מאפשר לאנליסטים לשמור על השליטה, תוך חיסכון של דקות יקרות בכל חקירה.
ריצה של חקירות: עבור SOC, חקירה שיתופית של איומים פוטנציאליים אינה רק פונקציה, אלא המשימה העיקרית. חקירות יעילות תלויות בקיום נתונים איכותיים, כדי ליישם את הניתוחים הנכונים ולקבל החלטות מושכלות. זה עלול להישמע בסיסי, אך השגת זרימת עבודה כזו בכל היבטי העסק היא מטלה מסובכת. AI יכול לשפר את היכולות החקירתיות של SOC, על ידי טיפול אוטונומי בחלקים מהחקירה, כגון ניתוח דוגמאות מלוורים, או לאיץ שיטות קיימות, כגון חיפוש יעיל של דפוסים זדוניים דומים בנכסים אחרים. העברת מטלות אלו מאנליסטים עמוסים מגדילה את יכולת הצוות ומאפשרת להם להתמקד בניתוח מורכב, חקירה ותיקון.
ניסוח דו”חות חקירה: דו”חות חקירה הם לעיתים קרובות מגניבים וצורבים, אך הם חיוניים עבור ידע תאגידי, רישומים היסטוריים וציות. כאשר הם באיכות גבוהה, דו”חות אלו יכולים אפילו לשמש כמקור נתונים שימושי עבור AI, תוך גילוי דפוסים ומגמות ניקוי בתוך SOC. עם זאת, כתיבתם היא בדרך כלל ארוכה, מייגעת ומשעממת. זהו המקום שבו AI יכול לבלוט: הוא יכול לאסוף במהירות מידע וליצור דו”חות מקיפים. האם זה מרשים? אולי לא. אך זה חוסך 15-20 דקות לכל חקירה; זמן שמתווסף במהירות.
כתיבת ספרי עבודה: ספרי עבודה מאוטמים את זרימות העבודה הביטחונית, מאפשרים לאנליסטים הביטחוניים לבלות יותר זמן בחקירת איומים. הם מציעים יתרונות משמעותיים במונחי חיסכון בזמן, איכות תגובה ועקביות. בנוסף, ספרי עבודה משמשים כמסמך ברור של התגובות הנכונות לתרחישים ספציפיים, יתרון ברור עבור צוותי ציות! עם זאת, יצירת ספרי עבודה יעילים דורשת זמן ושיפור, כדי לוודא שהם מופעלים במצבים הרלוונטיים. אנליסטים פעמים רבות מתמודדים עם לחץ זמן כזה, שקשה לפתח את המשאבים האלו מהיסוד. שוב, AI יכול לעזור לאיץ את התהליך הזה, על ידי יצירה וכתיבה משותפת של ספרי עבודה, מה שמאפשר לאנליסטים להימנע מלהתחיל מדף ריק.
הקמת SOC העתיד
ניצול AI ייתן ל-SOC שלך יתרון משמעותי, תוך שחרור זמן יקר עבור פיתוח אסטרטגיית ביטחון והישארות מוכנה למה שיבוא. ככל שהמורכבות גוברת, כולל התקפות AI, איומים פנימיים מכוונים ורגולציות ביטחון סייבר מתפתחות, הישארות מלפנים הופכת לאתגר יותר מתמיד. עם זאת, SOC העתיד לא רק עניין של היות מוכן לקרב; הוא בניית עמידות שנמשכת, מאפשרת גמישות ארגונית, וחיזוק הרווח התחתון והמוניטין של העסק.
