Лидеры мнений

Как ИИ стимулирует будущее SOC

mm
A professional security analyst working in a modern, high-tech Security Operations Center (SOC) with multiple monitors displaying AI-driven data visualizations and neural network interfaces.

Традиционный Центр операций безопасности (SOC) претерпевает значительные изменения, в основном обусловленные интеграцией ИИ. Почти 90% организаций сейчас используют технологии ИИ, с существенным применением в обнаружении угроз, реагировании и восстановлении после инцидентов. Однако только 27% полностью автоматизировали обнаружение угроз, что указывает на пробел в реализации полного потенциала ИИ. Чтобы идти в ногу, руководители безопасности должны стратегически использовать ИИ для создания SOC будущего.

Как ИИ дополняет команды SOC и интегрирует рабочие процессы

ИИ может помочь аналитикам безопасности переопределить свои роли и дать им возможность сосредоточиться на более ценных, стратегических инициативах. Защитники могут перейти от постоянного реактивного режима к работе, которая снижает риск и повышает ценность операций безопасности в бизнесе.

Мы часто говорили о продуктах в SOC, таких как Управление информацией и событиями безопасности (SIEM), Оркестровка и автоматизированная реакция безопасности (SOAR) и Аналитика поведения пользователей и сущностей (UEBA), которые являются основными компонентами операций SOC. Эти продукты иногда плохо интегрированы в рабочие процессы, что приводит к трудностям с совместимостью и ненужной умственной нагрузке на аналитиков. Однако современные разговоры теперь фокусируются на возможностях, а не на продуктах, особенно поскольку ИИ помогает снижать усталость от переключения, действуя как связующее звено.

ИИ не останавливается на подключении существующих инструментов; он также является значительным усилителем производительности. Он может создавать вместе с аналитиком плейбуки, экономя им базовую работу по созданию еще одного автоматического ответа с нуля. ИИ также может суммировать инцидент, выделяя наиболее актуальную информацию из представленной и давая аналитику ранний старт брифинга.

Когда команды SOC используют агенты ИИ в своих рабочих процессах, они получают пользу от еще более быстрого сдерживания, масштабированного реагирования, дополнительных возможностей и снижения ручного труда. Например, агенты ИИ, которые могут автоматически отсеивать и удалять ложные положительные результаты, дают аналитикам фору при работе с очередью тикетов. Но это не только вопрос эффективности или производительности; ИИ может принести новые возможности в SOC, которые ранее были доступны только через внешние инструменты. Например, обратная инженерия, где ИИ может выяснить, как работает конкретный вредоносный код, чтобы дать командам безопасности понимание того, что могло произойти во время атаки. Эти инструменты также могут проводить более глубокий анализ, чем автоматизация во время расследования, гарантируя, что большая часть предварительной работы завершена до того, как аналитик рассмотрит инцидент.

Использование этих инструментов ИИ станет важным для SOC, поскольку злоумышленники используют ИИ, и темп игры в кошки-мышки ускоряется.

Преимущества SOC, оснащенного ИИ

Когда команды SOC тратят все свое время на реагирование на оповещения или решение инцидентов, у них нет времени для вклада в стратегические программы, которые повышают эффективность SOC. Это вредно для бизнеса, поскольку устойчивость цифровых систем напрямую влияет на прибыльность.

ИИ открывает шаговую смену в освобождении времени, как и автоматизация раньше. Это позволяет командам SOC сосредоточиться на стратегических, проактивных инициативах, которые стимулируют рост бизнеса, снижают объем инцидентов и создают больше возможностей для дальнейших инвестиций.

Помимо освобождения времени для команд SOC, ИИ также повысит качество реагирования и поможет командам реагировать быстрее. Поскольку атакующие все чаще используют ИИ для ускорения и масштабирования своих атак, важно, чтобы современные SOC приняли аналогичные возможности.

Разработка SOC, оснащенного ИИ

Чтобы создать SOC, оснащенный ИИ, лидеры кибербезопасности должны сначала проанализировать текущие практики SOC, чтобы выявить задачи, требующие наибольших ручных усилий, и затем ускорить эти задачи с помощью ИИ. Общие точки начала включают:

Создание и управление обнаружением угроз: Многие SOC уже используют обнаружение, написанное поставщиками, и настраивают его для удовлетворения своих конкретных потребностей. ИИ может еще больше улучшить этот процесс, создавая и авторствуя новые обнаружения. Помимо создания и авторства новых обнаружений, ИИ также может облегчить аналитикам бремя управления жизненным циклом обнаружения. Когда обнаружение перестает срабатывать или становится слишком шумным, ИИ может выявить проблему и предложить усовершенствования для улучшения достоверности обнаружения. Например, как Netflix предлагает фильмы, ИИ может обеспечить двигатель рекомендаций обнаружения, который определяет, какие обнаружения предлагают лучшее покрытие, исходя из ваших данных и угроз, с которыми вы столкнетесь.

Интерпретация результатов: ИИ может дать аналитикам фору, суммируя и выделяя ключевую информацию из оповещений. Помимо автоматического обогащения, которое экономит время и предотвращает повторяющиеся, изнурительные задачи, ИИ может выявить важные детали и предложить вероятные следующие шаги. Это позволяет аналитикам сохранять контроль, экономя ценные минуты на каждом расследовании.

Проведение расследований: Для SOC совместное расследование потенциальных угроз не является просто функцией, это основная миссия. Эффективные расследования полагаются на наличие качественных данных для применения правильных аналитик и принятия обоснованных решений. Хотя это может показаться базовым, достижение такого рабочего процесса во всех бизнес-областях удивительно сложно. ИИ может повысить возможности расследования SOC, автономно обрабатывая части расследования, такие как анализ образцов вредоносного кода, или ускоряя существующие методы, такие как эффективный поиск подобных вредоносных шаблонов в других активах. Перегрузка этих задач с перегруженных аналитиков увеличивает командную емкость и позволяет им сосредоточиться на сложном анализе, расследовании и смягчении.

Создание отчетов о расследованиях: Отчеты о расследованиях часто являются скучными и трудоемкими, но они необходимы для корпоративных знаний, исторических записей и соблюдения требований. Когда они высокого качества, эти отчеты могут даже служить ценным источником данных для ИИ, раскрывая общие закономерности и тенденции смягчения в SOC. Однако написание их обычно является длительным, трудоемким и скучным. Именно здесь ИИ может блеснуть: он может быстро собрать информацию и создать полные отчеты. Это может быть не гламурно, но экономит 15-20 минут на каждое расследование; время, которое быстро накапливается.

Создание плейбуков: Плейбуки автоматизируют рабочие процессы безопасности, позволяя аналитикам безопасности тратить больше времени на расследование угроз. Они обеспечивают значительные выгоды в плане экономии времени, качества реагирования и последовательности. Кроме того, плейбуки служат четкой документацией правильных реакций на конкретные сценарии, ценный бонус для команд соблюдения требований! Однако создание эффективных плейбуков требует времени и усовершенствования, чтобы гарантировать, что они активируются правильно в соответствующих ситуациях. Аналитикам часто не хватает времени, чтобы разработать эти ресурсы с нуля. Снова ИИ может помочь ускорить этот процесс, создавая и соавторствуя плейбуки, позволяя аналитикам избежать начала с чистого листа.

Создание SOC, готового к будущему

Использование ИИ даст вашему SOC значительное преимущество, освобождая ценное время для разработки стратегии безопасности и оставаясь готовым к тому, что ждет впереди. По мере увеличения сложности, включая атаки, ускоренные ИИ, целевые внутренние угрозы и эволюционирующие правила кибербезопасности, оставаться впереди становится все более сложным. Однако будущий SOC не только о том, чтобы быть готовым к бою; это построение устойчивости, которая сохраняется, обеспечение организационной гибкости и укрепление дна и репутации вашего бизнеса.

Кирсти Пейн (она/её) является стратегическим советником в области технологий и инноваций для региона EMEA компании Splunk, где она предоставляет техническое лидерство для стратегических счетов. Как опытный технолог, стратег и специалист по безопасности, она процветает на понимании сложных проблем и нахождении творческих решений.