El trabajo de un analista de SOC nunca ha sido fácil. Frente a una inundación abrumadora de alertas diarias, los analistas (y a veces los equipos de TI que se duplican como SecOps) deben intentar transmitir miles de alertas de seguridad, a menudo falsos positivos, solo identificar un puñado de amenazas reales. Este implacable trabajo las 24 horas, los 7 días de la semana, conduce a alertar la fatiga, la desensibilización y el mayor riesgo de faltar incidentes de seguridad críticos. Los estudios muestran que el 70% de los analistas de SOC experimentan un estrés severo, y el 65% considera dejar sus trabajos dentro de un año. Esto hace que la retención sea un gran desafío para los equipos de seguridad, especialmente a la luz de la escasez existente de analistas de seguridad calificados.
Por el lado operativo, los analistas pasan más tiempo en tareas repetitivas y manuales, como investigar alertas y resolver y documentar incidentes que en las medidas de seguridad proactivas. Los equipos de seguridad luchan por configurar y mantener los libros de jugadas SOAR a medida que el panorama cibernético cambia rápidamente. Para colmo de esto, la sobrecarga de herramientas y los analistas de datos de datos aislados para navegar por las plataformas de seguridad desconectadas, creando no solo los inconvenientes, sino más críticamente, las correlaciones perdidas entre los eventos que podrían haber ayudado a identificar los verdaderos aspectos positivos.
Actores de amenaza de IA – ¡Ay!
Lo anterior se ve agravado por el hecho de que los actores de amenaza están aprovechando la IA para que alimente su delito cibernético. Al procesar grandes cantidades de datos rápidamente, AI les permite lanzar ataques más efectivos, adaptativos y difíciles de detectar a escala. Las herramientas de IA generan correos electrónicos de phishing muy convincentes, contenido de defake y guiones de ingeniería social, lo que hace que el engaño sea mucho más fácil incluso para los atacantes sin experiencia. También pueden usar IA para escribir malware sofisticado, mecanismos de seguridad de ingeniería inversa y automatizar el descubrimiento de vulnerabilidades analizando grandes bases de código para fallas explotables. Además, los chatbots impulsados por la IA se hacen pasar por usuarios reales, conducir fraude a gran escala y para los novatos, proporcionan una guía de delito cibernético paso a paso.
Según un informe de CrowdStrike de 2024, los atacantes han reducido el tiempo de ruptura promedio para intrusiones exitosas de 79 minutos a 62 minutos, con el tiempo de ruptura más rápido conocido de solo dos minutos y siete segundos. Incluso con las mejores herramientas de detección y docenas de analistas disponibles (un escenario de ensueño), el gran volumen y la velocidad de los ataques cibernéticos de hoy todavía requieren que los equipos de SOC se muevan más rápido que nunca y de alguna manera revise y registren manualmente la cantidad de alertas que se generan. Esto ha sido literalmente una misión imposible. Pero ya no.
El SoC moderno retrocede: una mezcla perfecta de IA y humano en el bucle
Si eres un analista de SOC o un CISO, sabes que no estaba exagerando cuán grave es la situación. Pero la marea está girando. Las nuevas herramientas de IA para SOCS permitirán que los equipos humanos procesen cualquier tipo y cualquier volumen de alertas de seguridad, lo que les permite centrarse en manejar amenazas reales en tiempo récord. Aquí hay una idea de lo que algunos adoptantes tempranos están experimentando.
Triaje automatizado
Muchos proveedores ahora ofrecen triaje automatizado de alertas de seguridad que reducen significativamente el número de alertas que los analistas humanos tienen que investigar. Mientras que múltiples proveedores ofrecen triaje automatizado para casos de uso específicos como phishing, punto final, red y nube (con el libro de jugadas de clasificación creado por profesionales de seguridad humanos), el escenario ideal es para un analista de SOC con IA que puede interpretar cualquier tipo de alerta de seguridad de cualquier sensor o sistema de defensa. De esta manera, todos los eventos de seguridad, de los más comunes a los más oscuros, pueden ser completamente triedes. La transparencia también juega un papel importante aquí, con la lógica real del Triage AI (hasta cada paso de los pasos) disponible para que un analista humano lo revise si lo desea.
Control total sobre la respuesta a amenazas reales
Si bien una plataforma SOC con AI genera una respuesta precisa apropiada para la amenaza específica (que proporciona un valor similar a un SOAR sin todo el dolor de cabeza de configuración y mantenimiento), es importante tener un humano en el bucle para revisar la remediación sugerida y La capacidad de aceptarlo, modificarlo o ejecutarlo inmediatamente.
Chatgpt (o Deepseek) se une al equipo
Aprovechar la IA generativa permite a los equipos de SOC investigar amenazas emergentes, los últimos métodos de ataque y las mejores prácticas para combatirlas. Herramientas como ChatGPT son increíbles para aumentar rápidamente en prácticamente cualquier tema, seguridad incluida y definitivamente facilitará que los analistas accedan y aprendan fácilmente sobre las soluciones relevantes de manera oportuna.
Consulta de datos, interpretación de registros y detección de anomalías
Los analistas de SOC ya no necesitan luchar para consultar la sintaxis. En cambio, pueden usar el lenguaje natural para encontrar los datos que necesitan y cuando se trata de comprender la importancia de un registro o conjunto de datos en particular, las soluciones de IA pueden proporcionar una aclaración instantánea. Al analizar un conjunto de datos agregados de miles de registros, la detección de anomalías incorporada ayuda a identificar patrones inusuales que podrían justificar una mayor investigación.
Más datos para la IA hambrienta de datos. Sin una factura loca.
Las herramientas de IA tienen hambre de datos porque dependen de grandes cantidades de información para aprender patrones, hacer predicciones y mejorar su precisión con el tiempo. Sin embargo, el almacenamiento de datos tradicional puede ser muy costoso. Las próximas tecnologías han hecho posible consultar rápidamente los registros y otros datos del almacenamiento en frío ultraffordable, como AWS S3. Esto significa que estas plataformas SOC con AI pueden acceder rápidamente, procesar e interpretar las grandes cantidades de datos para que puedan clasificar automáticamente las alertas. Del mismo modo, para los humanos. Como seguridad CISO o VP, ahora puede controlar completamente sus datos sin ningún bloqueo de proveedores, al tiempo que le da a sus analistas capacidades de consulta rápida y retención ilimitada para fines de cumplimiento.
Todo se moverá más rápido
En el siglo pasado, las interacciones sociales eran mucho más lentas: si quisiera conectarse con alguien, tenía que llamar a su teléfono fijo y esperar que respondieran, envíen una carta y espera días para una respuesta, o reunirse en persona. Avance rápido hasta 2025, y los mensajes instantáneos, las redes sociales y la comunicación impulsada por la IA han hecho que las interacciones sean inmediatas y perfectas. La misma transformación está ocurriendo en las operaciones de seguridad. Los SOC tradicionales se basan en el triaje manual, las largas investigaciones y las configuraciones complejas de SOAR, desacelerando los tiempos de respuesta. Pero con las soluciones SOC con AI, los analistas ya no tienen que examinar las alertas interminables o los pasos de remediación manualmente elaborar manualmente. AI automatiza el triaje, valida las amenazas reales y sugiere una remediación precisa, reduciendo drásticamente los tiempos de carga de trabajo y la respuesta. La IA está remodelando las operaciones de SOC, habilitando la seguridad más rápida, inteligente y más efectiva a escala.
En resumen, los analistas de SOC luchan con volúmenes de alerta, triaje manual y amenazas cibernéticas crecientes, lo que lleva a agotamiento e ineficiencias. Mientras tanto, los actores de amenaza están aprovechando la IA para automatizar los ataques, lo que hace que la respuesta rápida sea más crítica que nunca. La buena noticia es que el SOC moderno está evolucionando con triaje con IA, remediación automatizada y consulta de datos impulsadas por el lenguaje natural, lo que permite a los analistas centrarse en amenazas reales en lugar de procesos tediosos. Con IA, el SOC se está volviendo más rápido, más inteligente y más escalable.
¿Interesado en aprender más? Descargue esta guía para obtener más información sobre cómo hacer que el SOC sea más eficiente, o realizar una gira de productos interactivos para obtener más información sobre los analistas de AI SOC.