An ninh mạng

Từ Cảnh Báo Mệt Mỏi Đến Trí Tuệ Hành Động: Làm Thế Nào AI Đang Tái Định SOC

mm
Đã xuất bản
Đã cập nhật

Trung tâm vận hành bảo mật (SOC) đang đứng trước điểm bùng nổ. Burnout của nhà phân tích đã trở thành một rủi ro quan trọng từ lâu, nhưng vấn đề chỉ trở nên tồi tệ hơn. Trên thực tế, 73% tổ chức được khảo sát gần đây bởi Cybersecurity Insiders và Gurucul cho biết họ đang gặp phải burnout và thiếu hụt nhân sự nghiêm trọng. Số lượng cảnh báo đang tăng lên, các mối đe dọa đang gia tăng, và các nhà phân tích đang bị kẹt với các công cụ cũ và bị phân mảnh.

Điều này đơn giản là quá nhiều cho con người để theo kịp, điều này có nghĩa là AI đang nhanh chóng chuyển từ một thứ “tốt” sang một nhu cầu chiến lược.

Khủng hoảng trong các SOC ngày nay

Mặc dù tỷ lệ burnout trong SOC đã được ghi nhận, tình hình vẫn chưa được cải thiện, vì vậy nó không thể được nói quá nhiều: các nhà phân tích đang ở cuối dây thần kinh của họ. Họ đang vật lộn với những thách thức ngày càng tồi tệ, bao gồm:

  • Mệt mỏi cảnh báo – Không chỉ có quá nhiều cảnh báo, mà các cảnh báo sai cũng đang tăng lên, và điều đó khiến việc phản hồi hiệu quả trở nên khó khăn và không hiệu quả. Trên thực tế, theo khảo sát được đề cập ở trên, 88% lãnh đạo an ninh mạng cho biết số lượng cảnh báo đã tăng; 46% báo cáo sự tăng đột ngột hơn 25% trong năm qua.
  • Mối đe dọa mới và đang phát triển – Phong cảnh đe dọa luôn thay đổi, và AI đang trang bị cho các tác nhân xấu những công cụ mới cho phép họ thực hiện nhiều mối đe dọa hơn, nhanh hơn. Lạm dụng thông tin xác thực và rủi ro bên trong thêm phức tạp.
  • Thiếu tầm nhìn và khoảng trống công cụ – Báo cáo cho thấy 96% công ty thừa nhận có những điểm mù đáng kể. Cơ sở hạ tầng đám mây (74%) và hành vi xác thực và truy cập (67%) là những mối quan tâm hàng đầu.
  • Khoảng trống kỹ năng và tỷ lệ nghỉ việc – Khoảng trống kỹ năng an ninh mạng vẫn tiếp tục là một thách thức cho ngành công nghiệp nói chung, và tỷ lệ burnout cao có nghĩa là tỷ lệ nghỉ việc cao. Bạn cần đào tạo các nhà phân tích cấp 2 (L2) và cao hơn thông qua hệ thống, nhưng nếu họ bị cháy hết ở cấp 1 (L1), điều đó không thể xảy ra. Việc tìm kiếm, tuyển dụng, đào tạo và giữ chân nhân viên, cũng như duy trì một băng ghế dự bị thay thế, chỉ để theo kịp với tỷ lệ nghỉ việc, đòi hỏi rất nhiều thời gian và công sức.

Đưa AI vào bàn

AI và tự động hóa mang lại tiềm năng khổng lồ cho SOC. Không có gì ngạc nhiên khi 81% tổ chức trong khảo sát được đề cập ở trên cho biết họ đang triển khai hoặc thử nghiệm các công cụ AI cho SOC. Và những người sử dụng các công cụ này với toàn bộ tiềm năng của chúng đang trải qua những kết quả lớn: 60% người áp dụng cho biết họ đã thấy giảm 25% (hoặc nhiều hơn) thời gian điều tra, và 21% thấy giảm hơn 50%.

AI biến mệt mỏi cảnh báo thành trí tuệ hành động bằng cách giúp đỡ với:

  • Giảm tiếng ồn – Với AI trong SOC, các tổ chức đạt được sự tương quan và ưu tiên hóa AI
  • Điều tra nhanh hơn – AI và tự động hóa giúp với phân loại, thu thập ngữ cảnh và phản hồi
  • Đảm bảo phân tích – Thời gian của các nhà phân tích được giải phóng để tập trung vào các hoạt động có giá trị cao hơn

Khoảng trống thực hiện

AI mang lại tiềm năng khổng lồ cho việc cải thiện SOC, nhưng đây là vấn đề: Chỉ 31% người trả lời đang sử dụng các công cụ này trên các luồng phát hiện và phản hồi cốt lõi. Mặc dù sự quan tâm là cao, nhưng có một khoảng trống thực hiện.

Có những chướng ngại vật cho việc vận hành đầy đủ AI. Một trong số đó là thách thức tích hợp. Cơ sở hạ tầng cũ và công cụ bị phân mảnh cũng có thể khiến việc áp dụng công nghệ mới trở nên khó khăn. Một mối quan tâm khác là tính minh bạch và giải thích; làm thế nào bạn hiểu tại sao các quyết định được đưa ra bởi AI?

Chướng ngại vật thứ hai tập trung vào sự tin cậy mà các nhà phân tích cần phải có trong các hệ thống họ được yêu cầu dựa vào. Sự tin cậy là một yêu cầu thiết yếu cho sự trưởng thành của AI. Chỉ 9% người tham gia khảo sát cho biết họ “rất tự tin” vào các cảnh báo và khuyến nghị được tạo ra bởi AI. 33% “tin tưởng phần lớn” vào kết quả AI nhưng muốn xem xét lại, và 41% nghĩ rằng AI hữu ích nói chung nhưng vẫn cần xác nhận liên tục.

Chướng ngại vật thứ ba là quản lý thay đổi. Các tổ chức đang vật lộn với khoảng trống kỹ năng và nhu cầu đào tạo mới có thể khiến việc áp dụng công nghệ mới và sử dụng AI với toàn bộ tiềm năng của nó trở nên khó khăn. Có sự kháng cự văn hóa; một tâm lý “Chúng tôi đã luôn làm như vậy, vì vậy tại sao thay đổi?”

Đánh bại chướng ngại vật cho thành công của SOC

Bắt đầu với các dự án thử nghiệm mang lại lợi nhuận nhanh chóng. Tương quan và hành vi, không chỉ là sự kiện. Do sự thiếu tầm nhìn trong hành vi xác thực và truy cập, xx% người trả lời, theo khảo sát được đề cập, thường bị khai thác, các nền tảng AI cần làm hơn là phân tích nhật ký để xác định những người và thiết bị đang thực hiện hành động trên các hệ thống. Bối cảnh hành vi này rất quan trọng để tìm thấy các mối đe dọa tinh vi dựa trên danh tính.

Loại bỏ các rào cản cho thành công của SOC đòi hỏi một số bước. Đầu tiên, ưu tiên AI giải thích được cho tính minh bạch và tin cậy. AI giải thích được, minh bạch, phân loại và điều tra với ngữ cảnh và các bước khắc phục chi tiết giúp các nhà phân tích L1 học nhanh, hoạt động ở mức cao hơn và nhanh chóng nâng cao kỹ năng.

Thứ hai, nâng cao kỹ năng cho các nhà phân tích để săn tìm mối đe dọa và các sáng kiến chiến lược (như Zero Trust). AI không được thiết kế để thay thế con người; nó được thiết kế để bổ sung cho họ. Đó là một sự khác biệt quan trọng để hiểu và là chìa khóa để thành công với AI trong SOC. Giữ một con người trong vòng lặp cho đến khi sự tin cậy được thiết lập, sau đó để AI xử lý các nhiệm vụ bảo mật tầm thường, thấp và không có tác động, và chuyển tiếp phần còn lại.

Thứ ba, hãy coi AI là một chiến lược cốt lõi của SOC, không phải là một bộ phận thêm vào hoặc một ý tưởng sau cùng, mà là một phần của một phương pháp toàn diện, được suy nghĩ kỹ lưỡng.

Đã đến lúc chấp nhận AI trong SOC

SOC đang đối mặt với một cuộc khủng hoảng ngày càng tăng khi số lượng cảnh báo tăng vọt, burnout của nhà phân tích trở nên tồi tệ hơn và các mối đe dọa dựa trên danh tính gia tăng. Các biện pháp phòng thủ cũ không thể theo kịp với các mối đe dọa模仿 hành vi hợp pháp và hoạt động kiên nhẫn, âm thầm, làm việc “thấp và chậm”. AI trao quyền cho các đội SOC để giảm mệt mỏi cảnh báo, vượt qua quá tải dữ liệu, và giúp điều tra dựa trên ngữ cảnh. Bạn cần tìm ra điểm mù của mình trước khi xảy ra vi phạm, không phải trong hoặc sau khi vi phạm. Đánh giá khả năng, thách thức hiện tại, và tầm nhìn chiến lược của SOC của bạn và xác định nơi AI có thể giúp đỡ ngày hôm nay – và nơi nó có thể đóng góp vào việc tạo ra một tư thế bảo mật linh hoạt hơn trong dài hạn.

mm

Chris Scheels, Phó Chủ tịch Tiếp thị Sản phẩm tại Gurucul đã được kết nối giữa người, quy trình và công nghệ để thúc đẩy các công ty tiến về phía trước trong hơn 20 năm.  Anh ấy đã có một thập kỷ kinh nghiệm trong lĩnh vực an ninh mạng về tiếp thị sản phẩm và quản lý sản phẩm. Đam mê của anh ấy là giúp các doanh nghiệp thành công thông qua việc sử dụng công nghệ một cách chiến lược.  Gần đây nhất, anh ấy đã giúp khách hàng tăng tốc hành trình Zero Trust tại Appgate, Inc.  Nền tảng của anh ấy cũng bao gồm kinh nghiệm trong các hoạt động, bán hàng và phát triển kinh doanh mới.