Connect with us

Cybersäkerhet

Från varningsutmattning till handlingsbar intelligens: Hur AI förändrar SOC

mm
Published
Updated

Säkerhetsoperationscentret (SOC) är på randen till en kollaps. Analytikerutmattning har länge varit en kritisk risk, men problemet blir bara värre. Faktum är att 73% av organisationer som nyligen undersöktes av Cybersecurity Insiders och Gurucul säger att de lider av utmattning och persistent personalbrist. Varningsvolymen ökar, hoten förökar sig och analytiker är fast i att använda äldre och fragmenterade verktyg.

Det är helt enkelt för mycket för människor att hinna med på egen hand, vilket innebär att AI snabbt går från att vara en trevlig funktion till en strategisk nödvändighet.

Krisen i dagens SOCs

Medan utmattningsfrekvensen i SOC är väl dokumenterad, har situationen inte förbättrats ännu, så det kan inte sägas tillräckligt ofta: analytiker är vid vägs ände. De kämpar med allt svårare utmaningar som inkluderar:

  • Varningsutmattning – Inte bara är det för många varningar, men falska positiva är också på uppgång, och det gör det svårt och ineffektivt att svara på floden effektivt. Faktum är att enligt den ovannämnda undersökningen sa 88% av cybersäkerhetsledare att varningsvolymen har ökat; 46% rapporterar en ökning på över 25% under det senaste året.
  • Nya och utvecklande hot – Hotlandskapet förändras alltid, och AI utrustar skurkar med nya verktyg som möjliggör att de kan utföra fler hot, snabbare. Behörighetsmissbruk och insider-risker lägger till ytterligare komplexitet.
  • Brist på synlighet och verktygsluckor – Rapporten fann att 96% av företagen medger att de har betydande blind fläckar. Molninfrastruktur (74%) och identitet och åtkomstbeteende (67%) är de främsta problemen.
  • Färdighetsgap och personalomsättning – Cybersäkerhetsfärdighetsgapet fortsätter att vara en utmaning för branschen som helhet, och hög utmattning innebär en hög personalomsättningsfrekvens. Du behöver utbilda L2 (och högre) analytiker upp genom systemet, men om de bränner ut på L1, kan det inte hända. Det tar en hel del tid och ansträngning att hitta, anställa, påbörja, utbilda och behålla anställda, samt upprätthålla en reserv av ersättningspersonal, bara för att hålla jämna steg med personalomsättningen.

Att ta AI till bordet

AI och automatisering erbjuder enorm potential för SOC. Det är ingen överraskning att 81% av organisationerna i den ovannämnda undersökningen sa att de distribuerade eller testade AI-verktyg för SOC. Och de som använder dessa verktyg till sin fulla potential upplever stora resultat: 60% av de som antog sa att de har sett en minskning på 25% (eller mer) av utredningstiderna, och 21% ser minskningar som är större än 50%.

AI förvandlar varningsutmattning till handlingsbar intelligens genom att hjälpa till med:

  • Bullerminskning – Med AI i SOC, får organisationer AI-driven korrelation och prioritering
  • Snabbare utredningar – AI och automatisering hjälper till med triage, insamling av sammanhang och svar
  • Analystiskt stöd – Analytikerens tid frigörs för att fokusera på högvärdesaktiviteter

Genomförandegapet

AI erbjuder enorm potential för att förbättra SOC, men här är problemet: Bara 31% av respondenterna använder dessa verktyg över kärndetektion och svarsflöden. Medan intresset är stort, finns det ett genomförandegap.

Det finns hinder för den fulla operativa användningen av AI. Ett av dem är integrationsutmaningar. Äldre infrastruktur och fragmenterad verktygsutrustning kan också göra det svårt att anta nya teknologier. Ett annat problem är transparens och förklarbarhet; hur förstår man varför beslut fattas av AI?

Det andra hindret handlar om det förtroende som analytiker behöver ha i de system de är tänkta att förlita sig på. Förtroende är ett grundläggande krav för AI-mognad. Bara 9% av undersökningens deltagare rapporterade att de var “mycket säkra” på de varningar och rekommendationer som genereras av AI. Ytterligare 33% “för det mesta litar” på AI-resultat men vill granska dem, och 41% tycker att AI är hjälpsamt överlag men fortfarande behöver kontinuerlig validering.

Det tredje hindret är förändringshantering. Organisationer kämpar med den pågående färdighetsbristen och de nya utbildningsbehoven som kan göra det svårt att ta med ny teknik och använda AI till sin fulla potential. Det finns också kulturellt motstånd; en mentalitet av “Jo, vi har alltid gjort det här sättet, så varför ändra?”

Att övervinna hindren för SOC-succés

Börja med pilotprojekt som ger en snabb avkastning på investeringen. Korrelera identitet och beteende, inte bara händelser. På grund av synlighetsluckor i identitet och åtkomstbeteende, xx% av respondenterna, enligt den ovannämnda undersökningen, som ofta utnyttjas, behöver AI-plattformar göra mer än logganalys för att avgöra vilka personer och enheter som utför åtgärder över system. Beteendesammanhang av detta slag är avgörande för att hitta identitetsdrivna, sofistikerade hot.

Att rensa bort hindren för SOC-succés kräver flera steg. Först, prioritera förklarbar AI för transparens och förtroende. Förklarbar, transparent AI-triage och utredningar med sammanhang och detaljerade åtgärdssteg hjälper L1-analytiker att lära sig snabbt, prestera på en högre nivå och snabbt höja sina färdigheter.

Sedan, utbilda analytiker för högvärdes hotjakt och strategiska initiativ (som Zero Trust). AI är inte tänkt att ersätta människor; det ska komplettera dem. Det är en viktig distinktion att förstå och är nyckeln till att lyckas med AI i SOC. Håll en människa i loopet tills förtroende är etablerat, sedan låt AI hantera vardagliga, lågimpakt säkerhetsuppgifter och eskalera resten.

Tredje, behandla AI som en kärnstrategi för SOC, inte som en tillägg eller en eftertanke, utan som en del av en väl genomtänkt, omfattande strategi.

Det är dags att omfamna AI i SOC

SOCs står inför en växande kris när varningsvolymen ökar, analytikerutmattning förvärras och identitetsbaserade hot förökar sig. Äldre försvar kan inte hålla jämna steg med hot som imiterar legitima beteenden och opererar tålmodigt bakom kulisserna, arbetar “lågt och långsamt”. AI ger SOC-team möjlighet att minska varningsutmattning, övervinna dataöverbelastning och hjälpa till att utreda baserat på sammanhang. Du behöver hitta dina blindfläckar innan en intrång sker, inte under eller efter. Utvärdera SOC:s förmågor, nuvarande utmaningar och strategiska vision, och identifiera var AI kan hjälpa idag – och var det kan bidra till att skapa en mer resilient säkerhetsställning på lång sikt.

Related Topics:
mm

Chris Scheels, Vice President of Product Marketing at Gurucul har i över 20 år varit involverad i att samordna människor, processer och teknik för att driva företag framåt. Han har ett decenniums erfarenhet av cybersäkerhet inom produktmarknadsföring och produktledning. Hans passion är att hjälpa företag att lyckas genom den strategiska användningen av teknik. Nyligen hjälpte han kunder att accelerera sin Zero Trust-resa på Appgate, Inc. Hans bakgrund inkluderar också erfarenhet av verksamhet, försäljning och utveckling av nya affärsområden.