AIが未来のSOCを推進する方法

truyền統的なセキュリティ・オペレーション・センター（SOC）は、主にAIの統合によって大きな変化を遂げています。ほぼ90％の組織が現在AIテクノロジーを利用しており、脅威の検出、対応、インシデントの復旧における重要な応用があります。ただし、27％のみが脅威の検出を完全に自動化していることを示しています。これは、AIの全潜在能力を実現するためのギャップを示しています。ペースを維持するために、セキュリティのリーダーは、戦略的にAIを活用して、未来のSOCを構築する必要があります。

AIがSOCチームを強化し、ワークロードを統合する方法

AIは、セキュリティ・アナリストが役割を再定義し、高い価値の戦略的イニシアチブに焦点を当てることを可能にします。防御者は、リスクを軽減し、セキュリティ・オペレーションのビジネス価値を高める作業にシフトできます。

私たちは、SOCにおける製品について話し合ってきました。セキュリティ・インフォメーションおよびイベント・マネジメント（SIEM）、セキュリティ・オーケストレーションおよび自動化されたレスポンス（SOAR）、およびユーザーおよびエンティティ・ビヘイビア・アナリティクス（UEBA）は、SOCオペレーションの重要なコンポーネントです。これらは、時々、ワークフローにうまく組み込まれておらず、相互運用性の問題やアナリストのための不必要な精神的負担につながることがあります。ただし、現代の会話は、特にAIがツールの切り替えの疲労を軽減する「つなぎ」の役割を果たしているため、製品ではなく機能に焦点を当てています。

AIは、既存のツールを接続すること以外にも、生産性の向上に大きく貢献します。AIは、アナリストと共同でプレイブックを作成できます。基本的な作業を自動化することで、アナリストの作業を簡素化できます。AIは、インシデントを要約し、提示された情報から最も関連性の高い情報を抽出して、アナリストに早期のブリーフィングのヘッドスタートを提供できます。

SOCチームがワークフローでAIエージェントを活用すると、より迅速な封じ込め、拡大された対応、追加の機能、および削減された手作業のメリットがあります。たとえば、自動的に偽陽性を除去できるAIエージェントは、アナリストがチケット・キューを処理する際にヘッドスタートを提供できます。ただし、これは効率性や生産性だけではありません。AIは、以前はアウトソーシングされたツールだった機能をSOCに導入できます。たとえば、リバース・エンジニアリングでは、AIは特定のマルウェアの動作を分析して、セキュリティ・チームが攻撃の内容を理解できるようにします。これらのツールは、自動化よりも詳細な分析を実行できます。調査中に、準備作業のほとんどをアナリストが確認する前に完了できるためです。
脅威アクターがAIを利用し、猫と鼠のゲームのペースが速まるため、SOCではこれらのAIツールを活用することが重要になります。

AIを活用したSOCの利点

SOCチームがすべての時間をアラートに応答したりインシデントに対応したりする場合、効率性を向上させる戦略プログラムに貢献する時間がありません。これは、ビジネスにとって有害です。デジタル・システムの耐久性は、収益性に直接影響します。

AIは、時間の解放に大きな変化をもたらします。自動化が以前行ったように、SOCチームは、ビジネス成長を促進し、インシデントの数を削減し、さらに投資するためのキャパシティを増やす、戦略的で予防的なイニシアチブに焦点を当てることができます。

SOCチームの時間を解放することに加えて、AIは、対応の質を高め、チームがより迅速に対応できるようにします。攻撃者がAIを使用して攻撃を加速および拡大するようになっているため、現代のSOCは同等の機能を採用することが不可欠です。

AIを活用したSOCの開発

AIを活用したSOCを確立するには、サイバーセキュリティのリーダーは、まず現在のSOCの実践を分析して、最も手作業が必要なタスクを特定し、次にそれらのタスクをAIで加速する必要があります。一般的な開始点には、以下が含まれます。

検出の作成および管理: 多くのSOCは、すでにベンダーが書いた検出を利用し、それを特定のニーズに合わせて微調整しています。AIは、このプロセスをさらに強化できます。新しい検出を作成および共同作成することで、検出のライフサイクルを管理するアナリストからの負担を軽減できます。検出がトリガーを停止したり、ノイズが多くなったりしたとき、AIは問題を特定し、検出の精度を向上させるための改良を提案できます。たとえば、Netflixが映画を提案するように、AIは、検出の推奨エンジンを動かして、提供されたデータと直面している脅威に基づいて、最も包括的な検出を決定できます。

調査結果の解釈: AIは、自動的な強化によって時間を節約し、繰り返しとなるタスクを防ぐことで、アナリストにヘッドスタートを提供できます。さらに、AIは、重要な詳細を特定し、次に進むための可能性のあるステップを示唆できます。これにより、アナリストはコントロールを維持しながら、貴重な時間を節約できます。

調査の実行: SOCの場合、潜在的な脅威の共同調査は、機能ではなく、コア・ミッションです。効果的な調査には、正しい分析を適用し、情報に基づいた決定を下すために、質の高いデータを使用する必要があります。AIは、SOCの調査能力を強化できます。たとえば、マルウェアのサンプルを分析したり、他の資産で類似の悪意のあるパターンを効率的に検索したりするなど、調査の一部を自律的に処理できます。これらのタスクを過負荷のアナリストから外すと、チームのキャパシティが増加し、複雑な分析、調査、および修復に集中できます。

調査報告書の作成: 調査報告書は、企業の知識、歴史的記録、およびコンプライアンスのために不可欠ですが、通常、時間がかかり、面倒です。高品質の場合、これらの報告書は、SOC内で共通のパターンや修復の傾向を明らかにするための貴重なデータ・ソースとして機能できます。ただし、これらの報告書を書くことは、通常、長く、時間がかかり、面倒です。これがAIが輝く場所です。AIは、迅速に情報を収集して包括的な報告書を作成できます。華麗ではありませんが、調査ごとに15〜20分の時間を節約できます。時間はすぐに加算されます。

プレイブックの作成: プレイブックは、セキュリティ・ワークフローを自動化し、アナリストが脅威を調査する時間を増やします。プレイブックは、時間の節約、対応の質、および一貫性という点で大きなメリットをもたらします。さらに、プレイブックは、特定のシナリオに対する正しい対応について明確な文書化を提供し、コンプライアンス・チームにとって大きな利点となります。ただし、効果的なプレイブックを作成するには、時間と改良が必要です。アナリストは、時間の圧力に直面していることが多いため、リソースから作成することは難しいです。再び、AIは、このプロセスを加速するのに役立ちます。プレイブックの作成と共同作成を支援できます。アナリストは、空白のページから始める必要がなくなります。

未来に備えたSOCの確立

AIを活用することで、SOCは大きな利点を得ることができます。セキュリティ戦略の開発と、将来のために準備するための貴重な時間を解放できます。複雑さが増すにつれて、AI駆動型の攻撃、ターゲット化された内部脅威、進化するサイバーセキュリティ規制に対処することは、以前よりも困難です。ただし、未来のSOCは、戦闘に備えることだけではありません。持続可能な耐久性を構築し、組織の敏捷性を高め、ビジネスの収益性と評判を強化することです。