Connect with us

Cybersikkerhet

Fra varslingstrøtthet til handlebare etterretninger: Hvordan AI former om SOC

mm
Published
Updated

Sikkerhetsoperasjons-senteret (SOC) er på bristepunktet. Analytikerutbrenthet har lenge vært en kritisk risiko, men problemet blir bare verre. Faktisk sier 73% av organisasjonene nylig undersøkt av Cybersecurity Insiders og Gurucul at de lider av utbrenthet og varige bemanningsmangler. Varslingsvolumer øker, trusler multipliserer, og analytikere er fanget i å bruke legacy- og fragmenterte verktøy.

Det er enkelt og rett for mye for mennesker alene å holde pace med, noe betyr at AI raskt går fra å være et ønske til å være en strategisk nødvendighet.

Krisen i dagens SOCs

Mens utbrenthetsraten i SOC er godt dokumentert, har situasjonen ikke forbedret seg enda, så det kan ikke være sagt nok: analytikere er på slutten av tauet. De kjemper med stadig verre utfordringer som inkluderer:

  • Varslingstrøtthet – Ikke bare er det for mange varslinger, men falske positiver øker, og det gjør det vanskelig og ineffektivt å respondere på flommen effektivt. Faktisk, ifølge undersøkelsen ovenfor, sa 88% av sikkerhetsledere at varslingsvolumet har økt; 46% rapporterer en økning på over 25% i løpet av det siste året.
  • Nye og utviklende trusler – Trusselslandskapet endrer seg alltid, og AI utstyrer dårlige aktører med nye verktøy som muliggjør at de kan utføre flere trusler, raskere. Kredittmisbruk og insider-risiko legger til ytterligere kompleksitet.
  • Mangel på synlighet og verktøysgap – Rapporten fant at 96% av selskapene innrømmer å ha betydelige blinde flekker. Sky-infrastruktur (74%) og identitet- og adferd (67%) er de største bekymringene.
  • Ferdighetsgap og turnover – Sikkerhetsferdighetsgapet fortsetter å være en utfordring for industrien som helhet, og høy utbrenthetsrate betyr en høy turnover-rate. Du må trene niveau 2 (L2) og høyere analytikere opp gjennom systemet, men hvis de brenner ut på niveau 1 (L1), kan det ikke skje. Det tar mye tid og innsats å finne, ansette, påmelding, trene og beholde ansatte, samt opprettholde en benk av erstattningstalent, bare for å holde pace med turnover.

Å bringe AI til bordet

AI og automatisering tilbyr enormt potensial for SOC. Det er ingen overraskelse at 81% av organisasjonene i ovennevnte undersøkelse sa at de var i ferd med å deployere eller prøve ut AI-verktøy for SOC. Og de som bruker disse verktøyene til deres fulle potensiale opplever betydelige resultater: 60% av adoptantene sa at de hadde sett en reduksjon på 25% (eller mer) i undersøkelses-tid, og 21% ser reduksjoner større enn 50%.

AI transformerer varslingstrøtthet til handlebare etterretninger ved å hjelpe med:

  • Støyreduksjon – Med AI i SOC, får organisasjonene AI-drevet korrelasjon og prioritering
  • Raskere undersøkelser – AI og automatisering hjelper med triage, innhenting av kontekst og respons
  • Analyst-empowerment – Analytikerens tid frigjøres til å fokusere på høyere-verdi-aktiviteter

Utførelsesgapet

AI tilbyr enormt potensial for å forbedre SOC, men her er problemet: Bare 31% av respondentene bruker disse verktøyene på tvers av core-detection og respons-arbeidsflyter. Mens interessen er høy, er det et utførelsesgap.

Det er hindringer for fullstendig operasjonalisering av AI. En av dem er integrasjonsutfordringer. Legacy-infrastruktur og fragmentert verktøy kan også gjøre det vanskelig å adoptere nye teknologier. En annen bekymring er gjennomsiktighet og forklarbarhet; hvordan forstår du hvorfor beslutninger blir tatt av AI?

Den andre hindringen handler om tillit til systemene de er ment å avhenge av. Tillit er en essensiell krav for AI-maturitet. Bare 9% av undersøkelsesdeltagerne rapporterte å være “svært trygg” på varslinger og anbefalinger generert av AI. En annen 33% “til stor del stoler” på AI-resultater, men ønsker å gjennomgå dem, og 41% mener AI er nyttig generelt, men fortsatt trenger kontinuerlig validering.

Den tredje hindringen er endringsledelse. Organisasjoner sliter med den pågående ferdighetsgapet og nye treningbehov som kan gjøre det vanskelig å bringe på nye teknologier og bruke AI til deres fulle potensiale. Det er også kulturell motstand; en mentalitet av “Vel, vi har alltid gjort det på denne måten, så hvorfor endre?”

Å overvinne hindringene for SOC-suksess

Start med pilotprosjekter som leverer en rask avkastning på investeringen. Korrelér identitet og adferd, ikke bare hendelser. På grunn av synlighetsgap i identitet- og adferdsatferd, xx% av respondentene, ifølge ovennevnte undersøkelse, som ofte utnyttes, må AI-plattformene gjøre mer enn logg-analyse for å bestemme hvilke personer og enheter som utfører handlinger på tvers av systemer. Adferds-kontekst av denne typen er avgjørende for å finne identitets-drevne, sofistikerte trusler.

Å fjerne hindringene for SOC-suksess krever flere skritt. Først, prioriter forklarbar AI for gjennomsiktighet og tillit. Forklarbar, gjennomsiktig AI-triage og -undersøkelser med kontekst og detaljerte remedierings-skritt hjelper L1-analytikere å lære raskt, utføre på et høyere nivå og raskt oppgradere ferdigheter.

Andre, oppgradere analytikere for høyere-verdi-trussel-jakt og strategiske initiativer (som Zero Trust). AI er ikke ment å erstatte mennesker; det er ment å supplere dem. Det er en viktig distinksjon å forstå og er nøkkel til å lykkes med AI i SOC. Hold en menneskelig i løkken til tillit er etablert, så la AI håndtere mundane, lav-impakt-sikkerhet-oppgaver og eskalere resten.

Tredje, behandle AI som en kjerne- SOC-strategi, ikke en bolt-på eller en ettertanke, men en del av en godt gjennomtenkt, komprehensiv tilnærming.

Det er på tide å omfavne AI i SOC

SOCs står overfor en økende krise mens varsling-volum øker, analytiker-utbrenthet forverres og identitets-baserte trusler multipliserer. Arveforsvar kan ikke holde pace med trusler som imiterer legitime atferd og opererer tålmodig bak kulissene, arbeider “lav og sakte”. AI gir SOC-teamene mulighet til å redusere varslingstrøtthet, overvinne data-overbelastning og hjelpe med å undersøke basert på kontekst. Du må finne dine blinde flekker før en brudd inntrer, ikke under eller etter. Vurdere kapasiteter, nåværende utfordringer og strategisk visjon for SOC og identifisere hvor AI kan hjelpe i dag – og hvor det kan bidra til å skape en mer motståkraftig sikkerhets-stance på lang sikt.

Related Topics:
mm

Chris Scheels, visepresident for produktmarkedsføring i Gurucul har vært med å koordinere mennesker, prosesser og teknologi for å drive bedrifter fremover i over 20 år.  Han har en tiårs erfaring innen cybersikkerhet i produktmarkedsføring og produktledelse. Hans lidenskap er å hjelpe bedrifter med å lykkes gjennom strategisk bruk av teknologi.  For nylig hjalp han kunder med å akselerere deres Zero Trust-reise hos Appgate, Inc.  Hans bakgrunn inkluderer også erfaring fra operasjoner, salg og utvikling av nye forretningsområder.