Connect with us

Lideri de opinie

Cum IA alimentează SOC-ul viitorului

mm
Published
A professional security analyst working in a modern, high-tech Security Operations Center (SOC) with multiple monitors displaying AI-driven data visualizations and neural network interfaces.

Centrul tradițional de operațiuni de securitate (SOC) trece printr-o schimbare majoră, în primul rând determinată de integrarea IA. Aproape 90% din organizații utilizează acum tehnologii IA, cu aplicații semnificative în detectarea amenințărilor, răspuns și recuperare după incidente. Cu toate acestea, doar 27% au detectarea complet automatizată a amenințărilor, ceea ce indică o lacună în realizarea potențialului complet al IA. Pentru a ține pasul, liderii în domeniul securității trebuie să utilizeze strategic IA pentru a construi SOC-ul viitorului.

Cum IA completează echipele SOC și integrează sarcinile de lucru

IA poate ajuta analiștii de securitate să-și redefinesc rolurile și să-i împuternicească să se concentreze pe inițiative strategice de valoare mai mare. Apărătorii pot trece de la o modă constant reactivă la o muncă care reduce riscul și ridică valoarea operațiunilor de securitate în cadrul companiei.

Am discutat adesea despre produsele din cadrul SOC, cum ar fi Sistemul de management al informațiilor și evenimentelor de securitate (SIEM), Orchestration și răspuns automatizat (SOAR) și Analiza comportamentului utilizatorilor și entităților (UEBA), care sunt componente de bază ale operațiunilor SOC. Acestea sunt uneori conectate prost în fluxuri de lucru, rezultând în dificultăți de interoperabilitate și o sarcină mentală inutilă pentru analiști. Cu toate acestea, conversațiile moderne se concentrează acum pe capacități, mai degrabă decât pe produse, în special pe măsură ce IA ajută la reducerea oboselii de comutare, acționând ca o legătură.

IA nu se oprește la conectarea instrumentelor existente; este și un mare îmbunătățitor al productivității. Poate co-autori cărți de joc cu un analist, economisindu-le munca de bază de a crea încă un răspuns automatizat de la zero. IA poate rezuma, de asemenea, un incident, scoțând în evidență informațiile cele mai relevante din ceea ce este prezentat și oferind analistului un avans în ceea ce privește briefing-ul.

Când echipele SOC utilizează agenți IA în fluxurile de lucru, beneficiază de o conținere și mai rapidă, de un răspuns la scară, de o capacitate suplimentară și de o reducere a muncii manuale. De exemplu, agenții IA care pot auto-triaja și elimina false pozitive oferă analiștilor un avans atunci când lucrează prin coada de bilete. Dar nu este vorba doar de eficiență sau productivitate; IA poate aduce capacități noi în cadrul SOC care au fost anterior unelte externalizate. De exemplu, ingineria inversă, unde IA poate determina cum funcționează un anumit malware, oferind echipei de securitate o înțelegere a ceea ce s-ar fi putut întâmpla într-un atac. Aceste unelte pot efectua, de asemenea, o analiză mai aprofundată decât automatizarea în timpul unei investigații, asigurându-se că mult din această muncă de pregătire este finalizată înainte ca analistul să examineze un incident.

Accesarea acestor unelte IA va deveni vitală pentru SOC-uri, deoarece actorii amenințători utilizează IA, iar ritmul jocului de șoarece și pisică se accelerează.

Beneficiile unui SOC alimentat de IA

Când echipele SOC petrec tot timpul răspunzând la alerte sau abordând incidente, nu au timp să contribuie la programe strategice care conduc la eficiență în cadrul SOC. Acest lucru este dăunător pentru afaceri, deoarece reziliența sistemelor digitale afectează direct profitabilitatea.

IA deblochează o schimbare semnificativă în eliberarea timpului, la fel ca și automatizarea înainte. Acest lucru permite echipelor SOC să se concentreze pe inițiative strategice, proactive, care conduc la creșterea afacerii, reducerea volumului de incidente și crearea unei capacități mai mari pentru investiții suplimentare.

În plus față de eliberarea timpului pentru echipele SOC, IA va îmbunătăți calitatea răspunsului și va ajuta echipele să răspundă mai repede. Pe măsură ce atacatorii utilizează din ce în ce mai mult IA pentru a accelera și a scala atacurile, este esențial ca SOC-urile moderne să adopte capacități similare.

Dezvoltarea unui SOC alimentat de IA

Pentru a stabili un SOC alimentat de IA, liderii în domeniul securității trebuie să analizeze mai întâi practicile actuale ale SOC pentru a identifica sarcinile care necesită cel mai mult efort manual și apoi să accelereze aceste sarcini cu IA. Punctele de plecare comune includ:

Autorizarea și gestionarea detectării: Multe SOC-uri utilizează deja detectări scrise de către furnizori și le rafinează pentru a le adapta nevoilor specifice. IA poate îmbunătăți și mai mult acest proces prin co-crearea și autorizarea noilor detectări. Dincolo de crearea și autorizarea noilor detectări, IA poate, de asemenea, să-i scutească pe analiști de povara gestionării ciclului de viață al detectării. Când o detectare încetează să declanșeze sau devine prea zgomotoasă, IA poate identifica problema și sugera îmbunătățiri pentru a îmbunătăți fidelitatea detectării. De exemplu, la fel ca Netflix, care sugerează filme, IA poate alimenta un motor de recomandare de detectare care determină care detectări oferă cea mai bună acoperire, pe baza datelor dvs. și a amenințărilor cu care vă confruntați.

Interpretarea rezultatelor: IA poate oferi analiștilor un avans prin rezumarea și evidențierea informațiilor cheie din alerte. În plus față de îmbogățirea automată, care economisește timp și prevenirea sarcinilor repetitive și epuizante, IA poate identifica detalii importante și sugera pași logici următori. Acest lucru permite analiștilor să păstreze controlul, economisind minute valoroase în fiecare investigație.

Executarea investigațiilor: Pentru un SOC, investigarea colaborativă a amenințărilor potențiale nu este doar o funcție, ci și misiunea de bază. Investigațiile eficiente depind de disponibilitatea datelor de calitate pentru a aplica analizele și deciziile informate. Deși acest lucru poate părea de bază, realizarea unui astfel de flux de lucru în toate domeniile de afaceri este surprinzător de dificilă. IA poate îmbunătăți capacitățile de investigație ale SOC prin gestionarea autonomă a părților unei investigații, cum ar fi analiza mostrelor de malware sau accelerarea metodelor existente, cum ar fi căutarea eficientă a unor modele malefice similare în alte active. Transferarea acestor sarcini de la analiștii supraîncărcați crește capacitatea echipei și le permite să se concentreze pe analiza complexă, investigație și remediere.

Redactarea rapoartelor de investigație: Rapoartele de investigație sunt adesea monotone și consumatoare de timp, dar sunt esențiale pentru cunoașterea corporativă, înregistrările istorice și conformitate. Când sunt de calitate, aceste rapoarte pot servi chiar și ca o sursă valoroasă de date pentru IA, dezvăluind modele și tendințe de remediere comune în cadrul SOC. Cu toate acestea, scrierea lor este de obicei lungă, laborioasă și plictisitoare. Acesta este punctul în care IA poate străluci: poate strânge rapid informații și crea rapoarte cuprinzătoare. Este glamoros? Poate nu. Dar economisește 15-20 de minute pe investigație; timp care se adună rapid.

Autorizarea cărților de joc: Cărțile de joc automatează fluxurile de lucru de securitate, permițând analiștilor de securitate să petreacă mai mult timp investigând amenințările. Ele oferă beneficii semnificative în ceea ce privește economia de timp, calitatea răspunsului și coerența. În plus, cărțile de joc servesc ca o documentație clară a răspunsurilor corecte pentru scenarii specifice, un avantaj valoros pentru echipele de conformitate! Cu toate acestea, crearea unor cărți de joc eficiente necesită timp și rafinare pentru a se asigura că se activează corespunzător în situații relevante. Analiștii se confruntă adesea cu astfel de presiuni de timp încât este dificil să dezvolte aceste resurse de la zero. Din nou, IA poate ajuta la accelerarea acestui proces prin generarea și co-autorizarea cărților de joc, permițând analiștilor să evite începerea de la o pagină goală.

Stabilirea SOC-ului pregătit pentru viitor

Utilizarea IA va oferi SOC-ului dvs. un avantaj semnificativ, eliberând timp valoros pentru a dezvolta o strategie de securitate și a rămâne pregătit pentru ceea ce urmează. Pe măsură ce complexitatea crește, inclusiv atacurile conduse de IA, amenințările interne țintite și reglementările de securitate cibernetică în evoluție, menținerea avansului devine mai dificilă ca niciodată. Cu toate acestea, SOC-ul viitorului nu este doar despre a fi pregătit pentru luptă; este despre construirea unei reziliențe care durează, permite agilitatea organizațională și întărește profitul și reputația afacerii dvs.

Related Topics:
mm

Kirsty Paine (ea/ea) este Consilier Strategic în Tehnologie și Inovare pentru regiunea EMEA a Splunk, unde oferă conducere tehnologică pentru conturi strategice. Ca tehnolog experimentat, strategist și specialist în securitate, ea prosperă în înțelegerea problemelor dificile și găsirea soluțiilor creative.