Connect with us

Tankeledare

Hur AI driver på SOC för framtiden

mm
Published
A professional security analyst working in a modern, high-tech Security Operations Center (SOC) with multiple monitors displaying AI-driven data visualizations and neural network interfaces.

Den traditionella Security Operations Center (SOC) genomgår en stor förändring, främst driven av AI-integration. Nästan 90% av organisationerna använder nu AI-teknologier, med betydande tillämpning i hotdetektering, svar och incidentåterhämtning. Men endast 27% har fullständigt automatiserad hotdetektering, vilket indikerar ett gap i att förverkliga AI:s fulla potential. För att hålla jämna steg måste säkerhetsledare strategiskt utnyttja AI för att bygga SOC för framtiden.

Hur AI kompletterar SOC-team och integrerar arbetsbelastningar

AI kan hjälpa säkerhetsanalytiker omdefiniera sina roller och ge dem möjlighet att fokusera på högvärdiga, strategiska initiativ. Försvarare kan gå från en konstant reaktiv läge till arbete som minskar risk och höjer värdet av säkerhetsoperationer i verksamheten.

Vi har ofta talat om produkter i SOC, såsom Security Information and Event Management (SIEM), Security Orchestration and Automated Response (SOAR) och User and Entity Behavior Analytics (UEBA) är kärnkomponenter i SOC-åtgärder. Dessa är ibland dåligt sammanfogade i arbetsflöden, vilket resulterar i en Frankenstein av interoperabilitetsproblem och onödig mental belastning för analytiker. Men moderna samtal fokuserar nu på funktioner snarare än produkter, särskilt eftersom AI hjälper till att minska växlingsutmattningen genom att fungera som en sammanbindande vävnad.

AI slutar inte med att ansluta befintliga verktyg; det är också en stor produktivitetsförbättrare. Det kan samförfatta playbook med en analytiker, vilket sparar dem den grundläggande arbetsbördan av att skapa ännu en automatiserad respons från scratch. AI kan också sammanfatta en incident, dra ut den mest relevanta informationen från vad som presenteras och ge analytiker en tidig start.

När SOC-team använder AI-agenter i sina arbetsflöden, får de fördelar av ännu snabbare inneslutning, skalad respons, ytterligare kapacitet och minskad manuell möda. Till exempel kan AI-agenter som kan auto-triagera och ta bort falska positiva ge analytiker en försprång när de arbetar med en biljettkö. Men det är inte bara om effektivitet eller produktivitet; AI kan bringa nya funktioner till SOC som tidigare var utkontrakterade verktyg. Till exempel reverse engineering, där AI kan ta reda på hur en viss skadlig kod fungerar för att ge säkerhetsteam en förståelse för vad som kan ha hänt under ett angrepp. Dessa verktyg kan också utföra mer ingående analys än automation under en utredning, vilket säkerställer att mycket av det förberedande arbetet är slutfört innan analytiker granskar en incident.

Att knacka på dessa AI-verktyg kommer att bli avgörande för SOC eftersom hotaktörer använder AI, och takten i katt- och mus-leken ökar.

Fördelarna med ett AI-drivet SOC

När SOC-team tillbringar all sin tid med att svara på larm eller hantera incidenter, har de ingen tid att bidra till strategiska program som driver effektivitet i SOC. Detta är skadligt för verksamheten, eftersom digital systemresiliens direkt påverkar lönsamheten.

AI låser upp en steg-förändring i att frigöra tid, precis som automation gjorde tidigare. Detta möjliggör för SOC-team att fokusera på strategiska, proaktiva initiativ som driver affärsutveckling, minskar incidentvolymen och skapar mer kapacitet för ytterligare investeringar.

Förutom att frigöra tid för SOC-team, kommer AI att förbättra kvaliteten på svaret och hjälpa teamen att svara snabbare. När angripare alltmer använder AI för att accelerera och skala sina angrepp, är det avgörande att moderna SOC antar liknande funktioner.

Utveckling av ett AI-drivet SOC

För att etablera ett AI-drivet SOC, måste säkerhetsledare först analysera de nuvarande SOC-praktikerna för att identifiera uppgifter som kräver mest manuell ansträngning och sedan accelerera dessa uppgifter med AI. Vanliga startpunkter inkluderar:

Författande och hantering av detekteringar: Många SOC använder redan leverantörs-skrivna detekteringar och finjusterar dem för att möta sina specifika behov. AI kan ytterligare förbättra denna process genom att samförfatta och författa nya detekteringar. Utöver att skapa och författa nya detekteringar, kan AI också lindra analytiker från bördan av att hantera detekteringslivscykeln. När en detektering slutar utlösa eller blir för bullrig, kan AI identifiera problemet och föreslå förbättringar för att förbättra detekteringsfideliteten. Till exempel, precis som Netflix föreslår filmer, kan AI driva en detekterings-rekommendationsmotor som bestämmer vilka detekteringar som erbjuder den bästa täckningen, baserat på din data och de hot du står inför.

Tolka resultat: AI kan ge analytiker en försprång genom att sammanfatta och belysa viktig information från larm. Utöver automatisk berikning, som sparar tid och förhindrar upprepade, utmattande uppgifter, kan AI identifiera viktiga detaljer och föreslå troliga nästa steg. Detta tillåter analytiker att behålla kontrollen, samtidigt som de sparar värdefulla minuter på varje utredning.

Kör utredningar: För ett SOC, är den samarbetande utredningen av potentiella hot inte bara en funktion, utan det är kärnuppdraget. Effektiva utredningar beror på att ha kvalitetsdata för att tillämpa rätt analys och fatta informerade beslut. Medan detta kan låta grundläggande, är det förvånansvärt svårt att uppnå ett sådant arbetsflöde över alla verksamhetsområden. AI kan förbättra SOC:s utredningsförmåga genom att autonomt hantera delar av en utredning, såsom att analysera skadliga kodexempel, eller accelerera befintliga metoder, som att effektivt söka efter liknande skadliga mönster i andra tillgångar. Att avlasta dessa uppgifter från överbelastade analytiker ökar teamets kapacitet och tillåter dem att fokusera på komplex analys, utredning och åtgärd.

Utkast till utredningsrapporter: Utredningsrapporter är ofta tråkiga och tidskrävande, men de är avgörande för företagskunskap, historiska register och regelefterlevnad. När de är av hög kvalitet, kan dessa rapporter även tjäna som en värdefull datakälla för AI, avslöjande vanliga mönster och åtgärdstrender inom SOC. Men att skriva dem är vanligtvis långsamt, mödosamt och tråkigt. Här kan AI lysa: det kan snabbt samla information och skapa omfattande rapporter. Är det glamoröst? Kanske inte. Men det sparar 15-20 minuter per utredning; tid som snabbt adderar upp.

Författande av playbook: Playbook automatiserar säkerhetsarbetsflöden, vilket tillåter säkerhetsanalytiker att spendera mer tid på att utreda hot. De levererar betydande fördelar i form av tidsbesparingar, svars kvalitet och konsekvens. Dessutom fungerar playbook som en tydlig dokumentation av korrekta svar för specifika scenarier, en värdefull fördel för regelefterlevnadsteam! Men att skapa effektiva playbook tar tid och finjustering för att säkerställa att de aktiveras korrekt i relevanta situationer. Analytiker står ofta inför sådana tidsbegränsningar att det är svårt att utveckla dessa resurser från scratch. Återigen kan AI hjälpa till att accelerera denna process genom att generera och samförfatta playbook, vilket möjliggör för analytiker att undvika att börja från en blank sida.

Etablering av det framtidsklara SOC

Att utnyttja AI kommer att ge ditt SOC en betydande fördel, frigör värdefull tid för att utveckla en säkerhetsstrategi och förbli förberedd för vad som kommer att hända. När komplexiteten ökar, inklusive AI-drivna angrepp, riktade insiderhot och utvecklande cybersäkerhetsregler, är det svårare än någonsin att hålla jämna steg. Men det framtida SOC är inte bara om att vara stridsklart; det handlar om att bygga motståndskraft som varar, möjliggör organisatorisk smidighet och stärker ditt företags lönsamhet och rykte.

Related Topics:
mm

Kirsty Paine (hon/henne) är en strategisk rådgivare inom teknik och innovation för Splunks EMEA-region, där hon tillhandahåller tekniskt ledarskap för strategiska konton. Som en erfaren teknolog, strateg och säkerhetsspecialist, hon trivs på att förstå svåra problem och hitta kreativa lösningar.