Il lavoro di un analista di SoC non è mai stato facile. Di fronte a una schiacciante inondazione di avvisi quotidiani, gli analisti (e talvolta i crew IT che stanno raddoppiando come SecOPS) devono provare a percorrere migliaia di avvisi di sicurezza – spesso falsi positivi – solo per identificare una manciata di minacce reali. Questo implacabile lavoro 24 ore su 24, 7 giorni su 7, porta all’affaticamento di allerta, alla desensibilizzazione e all’aumento del rischio di perdere incidenti di sicurezza critici. Gli studi lo dimostrano Il 70% degli analisti SOC subisce stress grave e il 65% considera di lasciare il lavoro entro un anno. Ciò rende la conservazione una grande sfida per i crew di sicurezza, specialmente alla luce del Carenza esistente di analisti di sicurezza qualificati.
Dal punto di vista operativo, gli analisti trascorrono più tempo in attività ripetitive e manuali come lo studio degli avvisi e la risoluzione e la documentazione di incidenti rispetto alle misure di sicurezza proattive. I crew di sicurezza lottano con la configurazione e la manutenzione di playbook Soar mentre il paesaggio informatico cambia rapidamente. Per di sopra di tutto ciò, il sovraccarico di strumenti e gli analisti della forza dati silenziosi per navigare nelle piattaforme di sicurezza disconnesse, creando non solo inconvenienti, ma più criticamente, mancate correlazioni tra eventi che potrebbero aver contribuito a identificare veri positivi.
Attori delle minacce alimentate dall’IA – Yikes!
Quanto sopra è aggravato dal fatto che gli attori delle minacce stanno sfruttando l’intelligenza artificiale per alimentare il loro crimine informatico. Elaborando rapidamente grandi quantità di dati, l’IA consente loro di avviare attacchi più efficaci, adattivi e difficili da rilevare su larga scala. Gli strumenti di intelligenza artificiale generano e -mail di phishing altamente convincenti, contenuti DeepFake e script di ingegneria sociale, rendendo l’inganno molto più semplice anche per gli aggressori inesperti. Possono anche usare l’intelligenza artificiale per scrivere sofisticati malware, meccanismi di sicurezza inversa e automatizzare la scoperta di vulnerabilità analizzando grandi basi di codice per i difetti sfruttabili. Inoltre, i chatbot guidati dall’intelligenza artificiale impersonano gli utenti reali, conducono frodi su larga scala e per i neofiti forniscono una guida dettagliata del crimine informatico.
Secondo un rapporto di crowdstrike del 2024, gli aggressori hanno ridotto il tempo medio di breakout per intrusioni di successo da 79 minuti a 62 minuti, con il tempo di breakout noto più veloce di soli due minuti e sette secondi. Anche con i migliori strumenti di rilevamento e dozzine di analisti disponibili (uno state of affairs da sogno) il quantity e la velocità di oggi degli attacchi informatici di oggi richiedono ancora alle squadre SOC di muoversi più velocemente che mai e in qualche modo rivedere manualmente e percorrere la quantità folle di avvisi generati. Questa è stata letteralmente una missione impossibile. Ma non più.
Il moderno SOC colpisce: una miscela perfetta di AI e umano nel loop
Se sei un analista di SoC o un CISO, sai che non stavo esagerando su quanto sia terribile la situazione. Ma la marea sta girando. I nuovi strumenti di intelligenza artificiale per SOC consentiranno ai crew umani di elaborare qualsiasi tipo E qualsiasi quantity di avvisi di sicurezza, permettendo loro di concentrarsi sulla gestione delle minacce reali a tempo report. Ecco uno sguardo a ciò che alcuni primi utenti stanno vivendo.
Triage automatizzato
Molti fornitori offrono ora un triage automatizzato di avvisi di sicurezza che riduce in modo significativo il numero di avvisi che gli analisti umani devono indagare. Mentre più fornitori offrono un triage automatizzato per casi d’uso specifici come phishing, endpoint, rete e cloud (con il playbook di triage creato da professionisti della sicurezza umana) lo state of affairs ideale è per un Analista SOC basato sull’intelligenza artificiale che può interpretare qualsiasi tipo di avviso di sicurezza da qualsiasi sensore o sistema di difesa. In questo modo, tutti gli eventi di sicurezza, dai più comuni ai più oscuri, possono essere completamente triageti. Anche la trasparenza gioca un ruolo importante qui, con l’effettiva logica del triage AI (fino a ogni passo fatto) che è prontamente disponibile per un analista umano da rivedere se lo si desidera.
Pieno controllo sulla risposta alle minacce reali
Mentre una piattaforma SOC a propulsione AI genera una risposta accurata appropriata alla minaccia specifica (fornendo un valore simile a un aumento senza tutto il mal di testa di configurazione e manutenzione), è importante avere un umano nel loop per rivedere la riparazione suggerita e la capacità di accettare, modificarla o immediatamente eseguirla.
Chatgpt (o DeepSeek) si unisce alla squadra
Sfruttare l’intelligenza artificiale generativa consente ai crew SOC di ricercare minacce emergenti, gli ultimi metodi di attacco e le migliori pratiche per combatterle. Strumenti come CHATGPT sono incredibili per aumentare rapidamente su qualsiasi argomento, la sicurezza inclusa e renderà sicuramente più facile l’accesso agli analisti e apprendere facilmente le soluzioni pertinenti in modo tempestivo.
Interpretazione dei dati, interpretazione del registro e rilevamento di anomalie
Gli analisti SOC non devono più lottare con la sintassi di question. Invece, possono utilizzare un linguaggio naturale per trovare i dati di cui hanno bisogno e quando si tratta di comprendere il significato di un particolare registro o set di dati, le soluzioni AI possono fornire chiarimenti immediati. Quando si analizza un set di dati aggregati di migliaia di registri, gli aiuti al rilevamento di anomalie integrati nell’identificazione di modelli insoliti che potrebbero giustificare ulteriori indagini.
Più dati per AI affamati di dati. Senza un conto folle.
Gli strumenti di intelligenza artificiale sono affamati di dati perché si basano su grandi quantità di informazioni per apprendere i modelli, fare previsioni e migliorare la loro precisione nel tempo. Tuttavia, l’archiviazione tradizionale dei dati può essere molto proibitiva. Le tecnologie imminenti hanno permesso di interrogare rapidamente i registri e altri dati da un frigorifero ultra-accumulato come AWS S3. Ciò significa che queste piattaforme SOC basate sull’intelligenza artificiale possono rapidamente accedere, elaborare e interpretare le grandi quantità di dati per loro per triage automaticamente. Allo stesso modo, per gli umani. Come sicurezza CISO o VP, ora puoi controllare completamente i tuoi dati senza alcun blocco dei fornitori, dando ai tuoi analisti funzionalità di interrogazione rapide e fidelizzazione illimitata per scopi di conformità.
Tutto si muoverà più velocemente
Nel secolo scorso, le interazioni sociali erano molto più lente: se volevi connetterti con qualcuno, dovevi chiamare la loro rete fissa e sperare che avessero risposto, inviare una lettera e aspettare giorni per una risposta o incontrarci di persona. Avanti veloce al 2025 e la messaggistica istantanea, i social media e la comunicazione guidata dall’IA hanno reso le interazioni fast e senza soluzione di continuità. La stessa trasformazione sta avvenendo nelle operazioni di sicurezza. I SOC tradizionali si basano su triage manuali, lunghe indagini e configurazioni complesse di salire, rallentando i tempi di risposta. Ma con le soluzioni SOC alimentate dall’intelligenza artificiale, gli analisti non devono più setacciare gli avvisi infiniti o creare manualmente passaggi di bonifica. L’intelligenza artificiale automatizza il triage, convalida le minacce reali e suggerisce una risanamento precisa, riducendo drasticamente i tempi di carico di lavoro e di risposta. L’intelligenza artificiale sta rimodellando le operazioni SOC, abilitando su larga scala una sicurezza più veloce, più intelligente e più efficace.
In sintesi, gli analisti SOC lottano con volumi di allerta, triage manuale e crescenti minacce informatiche, portando a burnout e inefficienze. Nel frattempo, gli attori delle minacce stanno sfruttando l’IA per automatizzare gli attacchi, rendendo la risposta rapida più critica che mai. La buona notizia è che il moderno SOC si sta evolvendo con triage alimentato dall’intelligenza artificiale, bonifica automatizzata e question di dati basati sul linguaggio naturale, consentendo agli analisti di concentrarsi su minacce reali anziché su processi noiosi. Con AI il SOC sta diventando più veloce, più intelligente e più scalabile.
Interessato a saperne di più? Scarica questa guida per saperne di più come rendere il SoC più efficiente, o Fai un tour interattivo per i prodotti Per saperne di più sugli analisti AI SOC.
