Il SOC aziendale medio riceve 10.000 avvisi al giorno. Ciascuno richiede Da 20 a 40 minuti È necessaria una ricerca adeguata, ma anche i team con personale completo possono gestirne solo il 22%. più di questo Il 60% dei team di sicurezza ammette di ignorare gli avvisi Questo in seguito si rivelò fondamentale.
Gestire un SOC efficiente non è mai stato così difficile e ora il business stesso sta cambiando. Le attività degli analisti di livello 1 come l’assegnazione delle priorità, l’arricchimento e l’escalation stanno diventando funzioni software e sempre più team SOC si rivolgono ad agenti IA supervisionati per gestire il volume. Gli analisti umani spostano le loro priorità verso la ricerca, la revisione e la presa di decisioni sui casi finali. I tempi di risposta si stanno accorciando.
Ma il costo di non integrare la visione e l’intuizione umana è elevato. Gartner prevede Oltre il 40% dei progetti di intelligenza artificiale delle agenzie verrà annullato Le ragioni principali di ciò entro la fine del 2027 sono l’incertezza del valore aziendale e la cattiva gestione. È ancora più importante gestire correttamente il cambiamento e garantire che l’intelligenza artificiale produttiva non diventi un agente di caos nel SOC.
Perché è necessario modificare il vecchio modello SOC?
Oggi il burnout è così grave in molti SOC che gli analisti senior considerano i cambiamenti di carriera. I SOC legacy che dispongono di più sistemi che emettono avvisi contrastanti e non sono in grado di parlare tra loro rendono il business una ricetta per il burnout, e la pipeline di talenti non può essere ricostituita più velocemente di quanto il burnout la prosciuga.
Documenti del Global Threat Report 2025 di CrowdStrike Tempi di pausa veloce fino a 51 secondi e ha scoperto che il 79% delle intrusioni non conteneva più malware. Gli aggressori si affidano invece allo sfruttamento dell’identità, al furto di credenziali e alle tecniche off-roading. Il triage manuale creato per cicli di intervento orari non può competere.
Come Matthew Sharp, CISO di Xactly, Ha detto a CSO Online: "I nemici stanno già utilizzando l’intelligenza artificiale per attaccare alla velocità della macchina. Le organizzazioni non possono difendersi dagli attacchi guidati dall’intelligenza artificiale con risposte basate sul ritmo umano."
In che modo l’autonomia limitata riduce i tempi di risposta?
Le implementazioni SOC che riducono i tempi di risposta condividono un modello comune: autonomia limitata. Gli agenti IA eseguono automaticamente la definizione delle priorità e l’arricchimento, ma gli esseri umani approvano le azioni di contenimento quando la gravità è elevata. Questa divisione dei processi lavorativi fornisce un volume di allerta relativo alla velocità della macchina preservando al tempo stesso il giudizio umano nelle decisioni che comportano rischi operativi.
Il rilevamento basato su grafici cambia il modo in cui i difensori vedono la rete. I SIEM tradizionali visualizzano eventi isolati. I database grafici mostrano le relazioni tra questi eventi, consentendo agli agenti di intelligenza artificiale di tracciare i percorsi di attacco anziché attivare avvisi uno per uno. Un accesso sospetto appare diverso quando il sistema riconosce che l’account si trova a due passi dal controller di dominio.
I guadagni di velocità sono misurabili. L’intelligenza artificiale comprime i tempi di indagine sulle minacce aumentando al tempo stesso la precisione rispetto ai giudizi dei migliori analisti. Implementazioni separate mostrano che la definizione delle priorità basata sull’intelligenza artificiale si allinea per oltre il 98% con le decisioni degli esperti umani e riduce i carichi di lavoro manuali di oltre 40 ore settimanali. La velocità non significa nulla se la precisione diminuisce.
ServiceNow e Ivanti segnalano un passaggio più ampio alle operazioni IT dell’agenzia
Gartner prevede un maggiore utilizzo dell’intelligenza artificiale multi-agente nel rilevamento delle minacce dal 5% al 70% Numero di applicazioni entro il 2028. ServiceNow ha speso ca. 12 miliardi di dollari si riferisce solo agli acquisti di titoli nel 2025. Comprimendo in 18 mesi una tabella di marcia triennale per il rafforzamento dei core, quando gli aggressori di tipo nazionale hanno confermato l’urgenza, Ivanti ha annunciato le capacità di intelligenza artificiale dell’agenzia per la gestione dei servizi IT e ha introdotto nel service desk il modello di autonomia limitata che sta rimodellando i SOC. L’anteprima per i clienti inizierà nel primo trimestre, con la disponibilità generale alla fine del 2026.
I carichi di lavoro che interrompono i SOC interrompono anche i service desk. Il CIO della Grand Bank, Robert Hanson, si è trovato di fronte allo stesso vincolo che i leader della sicurezza conoscono bene. "Possiamo offrire supporto 24 ore su 24, 7 giorni su 7, consentendo al nostro service desk di concentrarsi su sfide complesse." disse Hanson. Copertura continua senza organico proporzionale. Questo risultato incoraggia l’adozione da parte dei servizi finanziari, della sanità e del governo.
Tre confini amministrativi per un’autonomia limitata
L’autonomia limitata richiede confini amministrativi chiari. I team devono specificare tre cose: su quali categorie di avvisi gli agenti possono agire in modo indipendente, quali devono essere esaminate da esseri umani indipendentemente dal punteggio di affidabilità e quali percorsi di escalation verranno implementati quando la certezza scende al di sotto della soglia. Gli eventi di elevata gravità richiedono l’approvazione delle persone prima di poter essere tenuti sotto controllo.
Affinché qualsiasi organizzazione possa sfruttare i vantaggi in termini di tempo e protezione che questi strumenti di prossima generazione possono offrire, è fondamentale mettere in atto la governance prima di implementare l’intelligenza artificiale nei SOC. Poiché gli avversari utilizzano l’intelligenza artificiale come un’arma e cercano attivamente le vulnerabilità CVE più velocemente di quanto i difensori possano rispondere, il rilevamento autonomo diventa il nuovo elemento essenziale per rimanere resilienti in un mondo zero trust.
La via da seguire per i leader della sicurezza
I team dovrebbero iniziare con flussi di lavoro in cui è possibile recuperare gli errori. Tre flussi di lavoro consumano il 60% del tempo dell’analista fornendo al contempo un valore investigativo minimo: triage del phishing (gli aggiornamenti mancati possono essere rilevati nell’indagine secondaria), automazione della reimpostazione della password (raggio di esplosione basso) e corrispondenza degli indicatori noti di errori (logica deterministica).
Prima automatizzali, quindi verifica l’accuratezza rispetto al giudizio umano per 30 giorni.
