Кибербезопасность

От предупреждений к действенной информации: Как ИИ меняет SOC

mm
Опубликовано
Обновлено

Центр операций безопасности (SOC) находится на грани кризиса. Выгорание аналитиков уже давно является критическим риском, но проблема только ухудшается. Фактически, 73% организаций, недавно опрошенных Cybersecurity Insiders и Gurucul, заявили, что они страдают от выгорания и постоянных нехваток персонала. Объем предупреждений увеличивается, угрозы множатся, и аналитики застряли в использовании устаревших и фрагментированных инструментов.

Это просто слишком много для людей, чтобы они могли справиться с этим в одиночку, что означает, что ИИ быстро превращается из приятной возможности в стратегическую необходимость.

Кризис в современных SOC

Хотя уровень выгорания в SOC хорошо документирован, ситуация еще не улучшилась, поэтому нельзя сказать, что аналитики находятся на грани своих возможностей. Они сталкиваются с все худшими проблемами, которые включают:

  • Усталость от предупреждений – Не только слишком много предупреждений, но и ложные положительные результаты увеличиваются, что делает трудным и неэффективным реагировать на них эффективно. Фактически, согласно вышеупомянутому опросу, 88% лидеров кибербезопасности заявили, что объем предупреждений увеличился; 46% сообщают о скачке более 25% за последний год.
  • Новые и эволюционирующие угрозы – Ландшафт угроз постоянно меняется, и ИИ оснащает злоумышленников новыми инструментами, которые позволяют им совершать больше угроз, быстрее. Злоупотребление учетными данными и внутренние риски добавляют дополнительную сложность.
  • Отсутствие видимости и пробелы в инструментарии – Опрос показал, что 96% компаний признают наличие значительных слепых зон. Инфраструктура облака (74%) и поведение идентификации и доступа (67%) являются главными проблемами.
  • Пробел в навыках и текучесть кадров – Пробел в навыках кибербезопасности продолжает быть проблемой для отрасли в целом, и высокий уровень выгорания означает высокий уровень текучести кадров. Вам нужно обучать аналитиков уровня 2 (L2) и выше через систему, но если они выгорают на уровне 1 (L1), это невозможно. Для этого требуется много времени и усилий, чтобы найти, нанять, обучить и удержать сотрудников, а также поддерживать запас замены, просто чтобы справиться с текучестью кадров.

Привнесение ИИ за стол

ИИ и автоматизация предлагают огромный потенциал для SOC. Неудивительно, что 81% организаций в вышеупомянутом опросе заявили, что они развертывают или тестируют инструменты ИИ для SOC. И те, кто использует эти инструменты в полной мере, испытывают значительные результаты: 60%采用ющих заявили, что они увидели снижение времени расследования на 25% (или более), и 21% видят снижение более 50%.

ИИ превращает усталость от предупреждений в действенную информацию, помогая с:

  • Снижением шума – С ИИ в SOC организации получают управляемую корреляцию и приоритезацию
  • Быстрыми расследованиями – ИИ и автоматизация помогают с триажем, сбором контекста и ответом
  • Эмансипацией аналитиков – Время аналитиков освобождается для фокусировки на более ценных действиях

Пробел в реализации

ИИ предлагает огромный потенциал для улучшения SOC, но вот проблема: только 31% респондентов используют эти инструменты в основных потоках обнаружения и реагирования. Хотя интерес высок, существует пробел в реализации.

Есть препятствия для полной операционализации ИИ. Одним из них являются проблемы интеграции. Устаревшая инфраструктура и фрагментированная инструментария также могут затруднить принятие новых технологий. Другой проблемой является прозрачность и объяснимость; как понять, почему ИИ принимает решения?

Вторым препятствием является доверие, которое аналитики должны иметь к системам, на которые они полагаются. Доверие является важным требованием для зрелости ИИ. Только 9% участников опроса заявили, что они “очень уверены” в предупреждениях и рекомендациях, сгенерированных ИИ. Другие 33% “в основном доверяют” результатам ИИ, но хотят их проверить, и 41% считают, что ИИ полезен в целом, но все еще требует постоянной проверки.

Третьим препятствием является управление изменениями. Организации сталкиваются с постоянным пробелом в навыках и новыми потребностями в обучении, что может затруднить внедрение новой технологии и использование ИИ в полной мере. Также существует культурное сопротивление; менталитет “Ну, мы всегда делали это так, почему менять?”

Преодоление препятствий для успеха SOC

Начните с пилотных проектов, которые дают быструю отдачу от инвестиций. Коррелируйте идентификацию и поведение, а не только события. Из-за пробелов в видимости идентификации и доступа xx% респондентов, согласно вышеупомянутому опросу, часто используются, платформы ИИ должны делать больше, чем анализ журналов, чтобы определить, какие люди и устройства выполняют действия в системах. Контекст поведения имеет решающее значение для выявления угроз, основанных на идентификации.

Устранение барьеров для успеха SOC требует нескольких шагов. Первым делом, отдайте приоритет объяснимому ИИ для прозрачности и доверия. Объяснимый, прозрачный ИИ-триаж и расследования с контекстом и подробными шагами по устранению помогают аналитикам уровня 1 (L1) быстро учиться, работать на более высоком уровне и быстро повышать навыки.

Вторым шагом является повышение квалификации аналитиков для более ценных охот за угрозами и стратегических инициатив (например, Zero Trust). ИИ не предназначен для замены людей; он должен дополнить их. Это важное различие, которое необходимо понять и является ключом к успеху с ИИ в SOC. Оставьте человека в цикле, пока не будет установлено доверие, затем позвольте ИИ заниматься рутинными, низкоэффективными задачами безопасности и эскалировать остальные.

Третьим шагом является рассмотрение ИИ как основной стратегии SOC, а не как дополнительной или после мысли, но как части хорошо продуманного, комплексного подхода.

Пора принять ИИ в SOC

SOC сталкиваются с растущим кризисом, поскольку объем предупреждений увеличивается, выгорание аналитиков ухудшается и угрозы, основанные на идентификации, распространяются. Устаревшая защита не может справиться с угрозами, которые имитируют легитимное поведение и работают терпеливо за кулисами, работая “низко и медленно”. ИИ дает командам SOC возможность снизить усталость от предупреждений, преодолеть перегрузку данных и помочь расследовать на основе контекста. Вам нужно найти свои слепые зоны до того, как произойдет нарушение, а не во время или после. Оцените возможности, текущие проблемы и стратегическое видение вашего SOC и определите, где ИИ может помочь сегодня – и где он может способствовать созданию более устойчивой позиции безопасности в долгосрочной перспективе.

mm

Крис Шилс, вице-президент по маркетингу продуктов в Gurucul, более 20 лет выравнивает людей, процессы и технологии, чтобы стимулировать компании вперед. У него есть десятилетний опыт работы в области кибербезопасности в области маркетинга и управления продуктами. Его страсть - помогать бизнесу добиться успеха благодаря стратегическому использованию технологий. Недавно он помогал клиентам ускорять свое путешествие в сторону доверия к нулю в Appgate, Inc. Его опыт также включает работу в операциях, продажах и развитии нового бизнеса.