I Security Operations Center con Intelligenza Artificiale (AI SOC) sfruttano il machine learning, l'automazione e l'analisi predittiva per rivoluzionare la cybersecurity rilevando e rispondendo alle minacce in modo significativamente più rapido e accurato rispetto ai SOC tradizionali.
Mentre i SOC convenzionali si basano su automazione basata su workflow, threat hunting manuale e correlazione basata su regole, gli AI SOC Agent che alimentano gli AI SOC apprendono continuamente dai pattern dei dati, si adattano ai vettori di attacco in evoluzione e riducono i falsi positivi.
Co-founder and CEO at Simbian.ai.
Integrando intelligence in tempo reale, rilevamento avanzato delle anomalie e flussi di lavoro automatizzati, gli AI SOC migliorano la visibilità delle minacce, accelerano la risposta agli incidenti e scalano le operazioni di sicurezza con capacità di monitoraggio 24/7 e architetture efficienti in termini di risorse, consentendo alle organizzazioni di superare le sofisticate minacce informatiche di oggi.
Conoscendo tutto questo, come dovreste approcciarvi alla vostra architettura SOC, e come questo approccio AI-first contrasta con gli approcci tradizionali? Discuterò entrambi gli approcci, utilizzando dati del mondo reale per aiutare a guidare la vostra decisione su ciò che è meglio per la vostra organizzazione.
Differenze Principali tra SOC Tradizionale e AI SOC
Mentre sia i SOC tradizionali che gli AI SOC utilizzano SIEM, EDR e strumenti equivalenti per rilevare le minacce, la loro somiglianza finisce quando si tratta di ciò che accade una volta generate le allerte. I SIEM e altri strumenti di rilevamento generano da decine a migliaia di allerte ogni giorno, a seconda delle dimensioni dell'organizzazione. La stragrande maggioranza, oltre il 90%, non merita ulteriori azioni – essendo falsi positivi o veri positivi con basso impatto. Questo porta i SOC tradizionali, alimentati da esseri umani, a essere continuamente sovraccaricati. Non sorprende che gli analisti lascino sempre lavoro incompiuto quando terminano il loro turno. Peggio ancora, ogni ora che gli analisti trascorrono su tali allerte rumorose è un'ora sottratta al contrasto delle minacce reali.
I SOC tradizionali richiedono la costruzione di flussi di lavoro come modelli di risposta. Questo crea una quantità significativa di lavoro burocratico per l'ingegneria – sia al momento della creazione che per mantenerli. Un AI SOC, d'altra parte, apprende autonomamente e non richiede flussi di lavoro o playbook. Questo porta i team di sicurezza a essere liberati per affrontare le minacce, non i playbook.
Con il triage manuale nei SOC tradizionali, gli analisti trascorrono più del 40% del loro tempo investigando eventi a bassa priorità. In alcuni SOC tradizionali, gli ingegneri dell'automazione scrivono automazione su SOAR o altre piattaforme low-code per filtrare parte del rumore. Ma tale automazione IT non sopravvive ai cambiamenti nell'ambiente o ai nuovi tipi di allerte.
Gli strumenti AI SOC sono diversi in quanto possono iniettare automazione in questo caos. Utilizzano l'Intelligenza Artificiale per fornire benefici critici, come filtrare il 90% dei falsi positivi tramite analisi comportamentale. Gli AI SOC inoltre prioritizzano le minacce nelle investigazioni SOC utilizzando punteggi di rischio con informazioni di evidenza e contesto. Infine, possono auto-risolvere il 60% degli incidenti Tier-1 in meno di 3 minuti.
Quando i SOC Tradizionali Brillano e Quando Non Lo Fanno
I SOC tradizionali esistono da molti anni. Esiste un ecosistema consolidato di analisti, fornitori, strumenti e processi costruito attorno all'architettura SOC tradizionale. Un SOC tradizionale può rappresentare l'unica scelta in alcuni ambienti, come quelli regolamentati con elevate resistenze al cambiamento, o nelle organizzazioni che devono seguire rigorosi processi interni. Per le organizzazioni mainstream, al contrario, i SOC tradizionali non riescono a gestire le crescenti richieste poste sui team di sicurezza. Un'architettura SOC tradizionale non riesce a tenere il passo con i volumi crescenti di alert, e qualsiasi allerta non investigata rappresenta un rischio. Non è abbastanza veloce per gestire attacchi innovativi, di conseguenza trasferisce questo onere sugli analisti. Non è in grado di evolversi abbastanza rapidamente per comprendere nuovi tipi di alert o per adattarsi a strumenti in continua evoluzione. Infine, i SOC tradizionali sono messi alla prova quando si tratta di risposta alle minacce. Mentre i SIEM rilevano le minacce, non le mitigano. Sono necessari altri strumenti per eseguire operazioni come il blocco di indirizzi IP malevoli, la quarantena delle macchine, ecc. Affrontare completamente qualsiasi rischio richiede spesso molto più di questi prodotti: necessita di conoscenze specifiche per ciascun business che risiedono solo nella mente degli utenti o in note non strutturate che le macchine non possono automatizzare.
AI SOC Tools Prove to be the Perfect Complement for Traditional SOC
AI SOC tools address the shortcomings of traditional SOCs. AI-driven SOC platforms combine the best of three knowledge centers.
They leverage AI models trained on large amounts of security data for aspects that are common across all SOCs.
They combine that with the AI SOC vendor’s knowledge base of latest security data. And the best AI SOCs extend that further by incorporating context provided by users to customize responses for that user.
With these techniques, they suppress noise, reduce alert fatigue, and respond to threats at machine speed.
Leveraging SIEM and AI SOC Synergy
AI SOCs do not displace the “issue finders” in your traditional SOC, such as SIEMs, EDRs, CDRs, ITDRs, XDRs, and email security solutions.
AI SOCs complement them by investigating the issues they find, filtering the false positives and issues with low impact, and responding to them.
An AI SOC is the first responder organizations need in an era of constantly growing alert volumes, so that human analysts can stay focused on the alerts that matter.
With human oversite still in the mix, and AI handling the basic SOC activities, analysts are free to focus on strategic tasks like threat hunting and playbook refinement.
Tre Passaggi per Rendere il Vostro SOC A Prova di Futuro
Le organizzazioni devono inizialmente verificare le metriche esistenti del proprio SOC per individuare tendenze critiche. Questo aiuterà a identificare aree che necessitano miglioramenti, come un divario crescente nel numero di alert non investigati, tempi di risposta più lenti del desiderato, o alti tassi di falsi positivi e le loro fonti. Successivamente, dovrebbero testare gli strumenti AI SOC su alert che attualmente non vengono investigati per misurare i benefici realizzabili e comprendere come cambia il ruolo dell'analista con un AI SOC come primo soccorritore. Infine, misurare il ROI tramite il monitoraggio di MTTR, tassi di escalation e costi di archiviazione su sei mesi aiuterà a scoprire se un AI SOC è giusto per la loro organizzazione.
Qual è la formula vincente? Lasciare che SIEM gestisca i log; permettere ad AI SOC di gestire triage, investigazione e risposta; e far concentrare gli esseri umani sulle decisioni più strategiche.
Ecco la nostra selezione dei migliori software di protezione degli endpoint.
Questo articolo è stato prodotto nell'ambito del canale Expert Insights di TechRadarPro, dove presentiamo le menti più brillanti e innovative del settore tecnologico di oggi. Le opinioni espresse qui sono quelle dell'autore e non necessariamente quelle di TechRadarPro o Future plc. Se sei interessato a contribuire, scopri di più qui: https://www.techradar.com/news/submit-your-story-to-techradar-pro