Securitate cibernetică

De la oboseală la informații inteligente: Cum AI transformă SOC

mm
Publicat
Actualizat

Centrul de operațiuni de securitate (SOC) se află la punctul de ruptură. Epuizarea analiștilor a fost mult timp un risc critic, dar problema este în continuă deteriorare. În fapt, 73% dintre organizații recent chestionate de Cybersecurity Insiders și Gurucul spun că suferă de epuizare și lipsă persistentă de personal. Volumul de alerte este în creștere, amenințările se înmulțesc, iar analiștii sunt blocați să utilizeze instrumente moștenite și fragmentate.

Este pur și simplu prea mult pentru ca oamenii să țină pasul, ceea ce înseamnă că AI se transformă rapid dintr-un lucru plăcut într-o necesitate strategică.

Crisa din SOC-urile de astăzi

În timp ce rata de epuizare în SOC este bine documentată, situația nu s-a îmbunătățit încă, așa că nu poate fi spus suficient de mult: analiștii sunt la capăt de puteri. Ei se confruntă cu provocări din ce în ce mai grave, care includ:

  • Oboseală de alerte – Nu numai că există prea multe alerte, dar și pozitivele false sunt în creștere, ceea ce face dificil și ineficient să răspunzi la valul de alerte în mod eficient. În fapt, conform sondajului menționat anterior, 88% dintre liderii de securitate cibernetică au spus că volumul de alerte a crescut; 46% raportează o creștere de peste 25% în ultimul an.
  • Amenințări noi și în evoluție – Peisajul amenințărilor este în permanentă schimbare, iar AI echipă actorii răi cu noi instrumente care le permit să comită mai multe amenințări, mai repede. Abuzul de credențiale și riscurile interne adaugă complexitate suplimentară.
  • Lipsa de vizibilitate și lacunele de instrumente – Raportul a constatat că 96% dintre companii recunosc că au puncte oarbe semnificative. Infrastructura cloud (74%) și comportamentul de identitate și acces (67%) sunt principalele preocupări.
  • Decalaj de abilități și fluctuație – Decalajul de abilități de securitate cibernetică continuă să fie o provocare pentru industrie în general, iar ratele ridicate de epuizare înseamnă o rată ridicată de fluctuație. Trebuie să pregătiți analiști de nivel 2 (L2) și mai sus prin sistem, dar dacă se epuizează la nivelul 1 (L1), nu se poate întâmpla. Este nevoie de mult timp și efort pentru a găsi, angaja, instrui și reține angajați, precum și pentru a menține o bancă de talente de rezervă, doar pentru a ține pasul cu fluctuația.

Aducerea AI la masa de discuții

AI și automatizarea oferă un potențial imens pentru SOC. Nu este de mirare că 81% dintre organizații din sondajul menționat anterior au spus că implementează sau testează instrumente AI pentru SOC. Și cei care utilizează aceste instrumente la potențialul lor maxim experimentează rezultate majore: 60% dintre adoptatori au spus că au văzut o reducere cu 25% (sau mai mult) a timpului de investigare, iar 21% văd reduceri mai mari de 50%.

AI transformă oboseala de alerte în informații inteligente, ajutând la:

  • Reducerea zgomotului – Cu AI în SOC, organizațiile câștigă corelare și prioritizare conduse de AI
  • Investigații mai rapide – AI și automatizarea ajută la triaj, colectarea contextului și răspuns
  • Împuternicirea analiștilor – Timpul analiștilor este eliberat pentru a se concentra pe activități de valoare superioară

Decalajul de execuție

AI oferă un potențial imens pentru îmbunătățirea SOC, dar iată problema: doar 31% dintre respondenți utilizează aceste instrumente în fluxurile de detectare și răspuns de bază. În timp ce interesul este ridicat, există un decalaj de execuție.

Există obstacole în calea operaționalizării complete a AI. Unul dintre ele este provocările de integrare. Infrastructura moștenită și instrumentele fragmentate pot face, de asemenea, dificilă adoptarea noilor tehnologii. O altă preocupare este transparența și explicabilitatea; cum înțelegi de ce deciziile sunt luate de AI?

Al doilea obstacol se concentrează pe încrederea pe care analiștii trebuie să o aibă în sistemele pe care sunt meniți să le folosească. Încrederea este o cerință esențială pentru maturitatea AI. Doar 9% dintre participanții la sondaj au raportat că sunt „foarte încrezători” în alertele și recomandările generate de AI. Alți 33% „în mare măsură au încredere” în rezultatele AI, dar doresc să le revizuiască, iar 41% consideră că AI este util în general, dar necesită încă validare continuă.

Al treilea obstacol este managementul schimbării. Organizațiile se luptă cu decalajul persistent de abilități și noile nevoi de instruire care pot face dificilă aducerea de noi tehnologii și utilizarea AI la potențialul său maxim. Există, de asemenea, rezistență culturală; o mentalitate de „Ei bine, am făcut-o întotdeauna astfel, deci de ce să schimbăm?”

Depășirea obstacolelor pentru succesul SOC

Începeți cu proiecte-pilot care oferă un randament rapid al investiției. Corelați identitatea și comportamentul, nu doar evenimentele. Din cauza lacunelor de vizibilitate în comportamentul de identitate și acces, xx% dintre respondenți, conform sondajului menționat anterior, care sunt adesea exploatate, platformele AI trebuie să facă mai mult decât analiza jurnalelor pentru a determina care persoane și dispozitive efectuează acțiuni în sisteme. Contextul comportamental de acest tip este crucial pentru găsirea amenințărilor sofisticate bazate pe identitate.

Înlăturarea barierelor pentru succesul SOC necesită mai multe etape. În primul rând, priorizați AI explicabil pentru transparență și încredere. AI explicabil, transparent, triaj și investigații cu context și pași de remediere detaliați ajută analiștii de nivel 1 (L1) să învețe rapid, să performeze la un nivel superior și să-și dezvolte rapid abilitățile.

În al doilea rând, instruiți analiștii pentru vânătoarea de amenințări de valoare superioară și inițiative strategice (cum ar fi Zero Trust). AI nu este menit să înlocuiască oamenii; este menit să-i completeze. Aceasta este o distincție importantă de înțeles și este cheia pentru a reuși cu AI în SOC. Păstrați un om în buclă până când încrederea este stabilită, apoi lăsați AI să gestioneze sarcinile de securitate mundane și cu impact scăzut și să escaladeze restul.

Al treilea, tratați AI ca o strategie de bază a SOC, nu ca o piesă atașată sau o gândire ulterioară, ci ca parte a unei abordări cuprinzătoare și bine gândite.

Este timpul să adoptați AI în SOC

SOC-urile se confruntă cu o criză în creștere, pe măsură ce volumul de alerte explodează, epuizarea analiștilor se înrăutățește și amenințările bazate pe identitate se înmulțesc. Apărările moștenite nu pot ține pasul cu amenințările care imită comportamentul legitim și operează în secret, „jos și lent”. AI împuternicește echipele SOC să reducă oboseala de alerte, să depășească suprasarcina de date și să ajute la investigații bazate pe context. Trebuie să găsiți punctele oarbe înainte de a apărea o încălcare, nu în timpul sau după. Evaluați capacitățile, provocările actuale și viziunea strategică a SOC și identificați unde AI poate ajuta astăzi – și unde poate contribui la crearea unei poziții de securitate mai reziliente pe termen lung.

mm

Chris Scheels, Vice Președinte de Marketing al Produsului la Gurucul a aliniat oameni, procese și tehnologie pentru a impinge companiile înainte timp de peste 20 de ani. El are o decadă de experiență în securitatea cibernetică în marketingul și managementul produsului. Pasiunea lui este de a ajuta afacerile să reușească prin utilizarea strategică a tehnologiei. Cel mai recent, el a ajutat clienții să-și accelereze călătoria Zero Trust la Appgate, Inc. Fondul lui include și experiență în operațiuni, vânzări și dezvoltarea de noi afaceri.