จากความเหนื่อยหน่ายในการแจ้งเตือนไปสู่ข้อมูลเชิงลึกที่สามารถดำเนินการได้: วิธีการที่ AI กำลังเปลี่ยนแปลง SOC

ศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) อยู่ในจุดที่ถึงขีดจำกัดแล้ว นักวิเคราะห์เผชิญกับความเสี่ยงต่อการเผชิญหน้าซึ่งเป็นปัญหาที่สำคัญมานาน แต่ปัญหาเหล่านี้ยังคงดำเนินต่อไป และในความเป็นจริงแล้ว 73% ขององค์กรที่ ได้รับการสำรวจเมื่อเร็วๆ นี้ โดย Cybersecurity Insiders และ Gurucul ระบุว่าพวกเขาเผชิญกับการเผชิญหน้าและขาดแคลนบุคลากรอย่างต่อเนื่อง ปริมาณการแจ้งเตือนเพิ่มขึ้น อันตรายก็เพิ่มขึ้น และนักวิเคราะห์ยังคงติดอยู่กับการใช้เครื่องมือที่ล้าสมัยและกระจัดกระจาย

นี่คือสิ่งที่มนุษย์ไม่สามารถรับมือได้เพียงลำพัง ซึ่งหมายความว่า AI กำลังเปลี่ยนแปลงจากสิ่งที่ดีเป็นสิ่งจำเป็นทางยุทธศาสตร์

วิกฤตใน SOC ของวันนี้

ในขณะที่อัตราการเผชิญหน้าใน SOC ได้รับการบันทึกไว้อย่างดี สถานการณ์ยังไม่ได้รับการปรับปรุง ดังนั้นจึงไม่สามารถพูดได้ว่า นักวิเคราะห์อยู่ที่ปลายเส้นของความสามารถในการรับมือ พวกเขากำลังเผชิญกับความท้าทายที่เลวร้ายลงเรื่อยๆ ซึ่งรวมถึง:

• ความเหนื่อยหน่ายในการแจ้งเตือน – ไม่เพียงแต่มีการแจ้งเตือนมากเกินไป แต่การแจ้งเตือนเท็จก็เพิ่มขึ้น ทำให้การตอบสนองต่อการแจ้งเตือนเหล่านี้ไม่มีประสิทธิภาพ ในความเป็นจริง ตามการสำรวจที่กล่าวถึงข้างต้น 88% ของผู้นำด้านความปลอดภัยทางไซเบอร์ระบุว่าปริมาณการแจ้งเตือนเพิ่มขึ้น 46% รายงานว่าเพิ่มขึ้นมากกว่า 25% ในช่วงปีที่แล้ว
• ภัยคุกคามใหม่และพัฒนา – ภูมิทัศน์ของภัยคุกคามเปลี่ยนแปลงอยู่เสมอ และ AI ได้จัดเตรียมเครื่องมือใหม่ให้กับผู้กระทำผิดที่ช่วยให้พวกเขาทำภัยคุกคามได้มากขึ้นเร็วขึ้น การละเมิดสิทธิ์และความเสี่ยงภายในเพิ่มความซับซ้อน
• การขาดความเข้าใจและช่องว่างของเครื่องมือ – การสำรวจพบว่า 96% ของบริษัทต่างๆ ยอมรับว่ามีจุดบอดที่สำคัญ โครงสร้างพื้นฐานบนคลาวด์ (74%) และพฤติกรรมด้านอัตลักษณ์และการเข้าถึง (67%) เป็นข้อกังวลอันดับต้นๆ
• ช่องว่างด้านทักษะและความหมุนเวียน – ช่องว่างด้านทักษะด้านความปลอดภัยทางไซเบอร์ยังคงเป็นความท้าทายสำหรับอุตสาหกรรมโดยรวม และอัตราการเผชิญหน้าที่สูงหมายถึงอัตราการหมุนเวียนที่สูง คุณต้องฝึกอบรมนักวิเคราะห์ระดับ 2 (L2) และสูงกว่าผ่านระบบ แต่ถ้านักวิเคราะห์เผชิญหน้าในระดับ 1 (L1) สิ่งนี้ไม่สามารถเกิดขึ้นได้ ต้องใช้เวลาและความพยายามอย่างมากในการค้นหา จ้าง ฝึกอบรม และรักษาพนักงาน ตลอดจนรักษาพนักงานสำรองเพื่อรักษาให้เทียบเท่ากับการหมุนเวียน

นำ AI มาสู่โต๊ะ

AI และการทำงานอัตโนมัติให้ผลลัพธ์ที่ยิ่งใหญ่สำหรับ SOC ไม่น่าแปลกใจที่ 81% ขององค์กรในสำรวจที่กล่าวถึงข้างต้นระบุว่าพวกเขาได้นำ AI มาใช้หรือทดลองใช้สำหรับ SOC และผู้ที่ใช้เครื่องมือเหล่านี้อย่างเต็มที่ได้รับผลลัพธ์ที่สำคัญ: 60% ของผู้นำรับว่าพวกเขาได้เห็นการลดลง 25% (หรือมากกว่า) ในเวลาการสืบสวน และ 21% มีการลดลงมากกว่า 50%

AI แปลงการแจ้งเตือนให้เป็นข้อมูลเชิงลึกที่สามารถดำเนินการได้โดยการช่วยเหลือ:

• การลดความซับซ้อน – ด้วย AI ใน SOC องค์กรสามารถใช้การเชื่อมโยงและการจัดลำดับความสำคัญที่ขับเคลื่อนด้วย AI
• การสืบสวนที่รวดเร็วขึ้น – AI และการทำงานอัตโนมัติช่วยเหลือในการไตร่ตรอง การรวบรวมบริบทและการตอบสนอง
• การเสริมอำนาจของนักวิเคราะห์ – นักวิเคราะห์มีเวลาในการมุ่งเน้นไปที่กิจกรรมที่มีคุณค่าสูงกว่า

ช่องว่างในการดำเนินการ

AI มีศักยภาพที่ยิ่งใหญ่ในการปรับปรุง SOC แต่นี่คือปัญหา: เพียง 31% ของผู้ตอบแบบสำรวจใช้เครื่องมือเหล่านี้ในกระบวนการตรวจจับและตอบสนองหลัก มีความสนใจสูง แต่มีช่องว่างในการดำเนินการ

มี障碍ในการใช้งาน AI อย่างเต็มที่ หนึ่งในนั้นคือความท้าทายในการรวมระบบ โครงสร้างพื้นฐานที่ล้าสมัยและเครื่องมือที่กระจัดกระจายก็สามารถทำให้เกิดความยากลำบากในการนำเทคโนโลยีใหม่ๆ มาใช้ได้ ข้อกังวลอื่นๆ คือความโปร่งใสและความสามารถในการอธิบายได้: คุณจะเข้าใจได้อย่างไรว่าทำไมการตัดสินใจถึงถูกทำโดย AI?

อุปสรรคที่สองคือความไว้วางใจที่นักวิเคราะห์ต้องการมีต่อระบบที่พวกเขาต้องอาศัยพึ่งพา ความไว้วางใจเป็นข้อกำหนดที่จำเป็นสำหรับการเติบโตของ AI เพียง 9% ของผู้เข้าร่วมแบบสำรวจระบุว่า “มั่นใจมาก” ในการแจ้งเตือนและคำแนะนำที่สร้างโดย AI อีก 33% “มั่นใจส่วนใหญ่” ในผลลัพธ์ของ AI แต่ต้องการทบทวน และ 41% คิดว่า AI มีประโยชน์โดยรวม แต่ยังคงต้องการการตรวจสอบอย่างต่อเนื่อง

อุปสรรคที่สามคือการเปลี่ยนแปลงและการจัดการ การเปลี่ยนแปลง นักวิเคราะห์กำลังดิ้นรนในการขาดแคลนทักษะและความต้องการฝึกอบรมใหม่ๆ ที่สามารถทำให้เกิดความยากลำบากในการนำเทคโนโลยีใหม่ๆ มาใช้และใช้ AI ให้เต็มที่ มีการต่อต้านวัฒนธรรม; มानसिकतิของ “เราทำมันมาอย่างนี้เสมอ ดังนั้นเหตุใดจึงเปลี่ยน?”

การเอาชนะอุปสรรคสำหรับความสำเร็จของ SOC

เริ่มต้นด้วยโครงการนำร่องที่ให้ผลตอบแทนจากการลงทุนอย่างรวดเร็ว สัมพันธ์ระหว่างอัตลักษณ์และพฤติกรรม ไม่ใช่แค่เหตุการณ์เท่านั้น เนื่องจากช่องว่างในการมองเห็นของอัตลักษณ์และพฤติกรรมที่เข้าถึง องค์กรต่างๆ ต้องการให้แพลตฟอร์ม AI ทำมากกว่าการวิเคราะห์ข้อมูลลॉกเพื่อกำหนดว่าใครและอุปกรณ์ใดกำลังดำเนินการกระทำนั้นๆ บนระบบต่างๆ บริบทพฤติกรรมของชนิดนี้มีความสำคัญอย่างยิ่งในการค้นหาภัยคุกคามที่ซับซ้อนและขับเคลื่อนด้วยอัตลักษณ์

การขจัดอุปสรรคต่อความสำเร็จของ SOC ต้องใช้หลายขั้นตอน ขั้นแรก จัดลำดับความสำคัญของ AI ที่สามารถอธิบายได้ สำหรับความโปร่งใสและความไว้วางใจ AI ที่สามารถอธิบายได้และโปร่งใสในการไตร่ตรองและการสืบสวนด้วยบริบทและการแก้ไขที่มีรายละเอียด ช่วยให้นักวิเคราะห์ L1 เรียนรู้ได้อย่างรวดเร็ว ทำงานในระดับที่สูงขึ้น และพัฒนาทักษะอย่างรวดเร็ว

สิ่งที่สอง คือการเพิ่มทักษะของนักวิเคราะห์สำหรับการล่าภัยคุกคามเชิงกลยุทธ์และความคิดริเริ่ม (เช่น Zero Trust) AI ไม่ได้มีจุดมุ่งหมายเพื่อทดแทนมนุษย์ แต่มีจุดมุ่งหมายเพื่อเพิ่มประสิทธิภาพให้กับมนุษย์ นี่คือความแตกต่างที่สำคัญที่ต้องเข้าใจและเป็นกุญแจสำคัญในการประสบความสำเร็จด้วย AI ใน SOC รักษานักวิเคราะห์ไว้ในวงจรจนกว่าจะมีการสร้างความไว้วางใจ จากนั้นให้ AI จัดการกับงานด้านความปลอดภัยที่ซับซ้อนต่ำและเพิ่มขึ้น

ที่สาม คือการรักษา AI ไว้เป็นกลยุทธ์หลักของ SOC ไม่ใช่สิ่งที่เพิ่มเข้ามาหรือคิดในภายหลัง แต่เป็นส่วนหนึ่งของแนวทางที่ครอบคลุมและรอบคอบ

เวลาที่จะยอมรับ AI ใน SOC

SOC ต้องเผชิญกับวิกฤตที่เพิ่มขึ้นเมื่อปริมาณการแจ้งเตือนเพิ่มขึ้น อัตราการเผชิญหน้าเลวร้ายลง และภัยคุกคามที่ขับเคลื่อนด้วยอัตลักษณ์เพิ่มขึ้น ระบบป้องกันที่ล้าสมัยไม่สามารถติดตามภัยคุกคามที่เลียนแบบพฤติกรรมที่ถูกต้องและดำเนินการอย่างเงียบๆ ในเบื้องหลัง AI เสริมศักยภาพให้กับทีม SOC ในการลดความเหนื่อยหน่ายในการแจ้งเตือน การเอาชนะการอัดฉีดข้อมูล และช่วยในการสืบสวนตามบริบท คุณต้อง p investigate based on context. You need to find your blind spots before a breach occurs, not during or after. Evaluate the capabilities, current challenges, and strategic vision of your SOC and identify where AI can help today – and where it can contribute to creating a more resilient security stance in the long term.