Posao analitičara SOC-a (Security Operations Center) nikada nije bio lak. Suočeni s ogromnim brojem dnevnih upozorenja, analitičari (a ponekad i IT timovi koji preuzimaju ulogu SecOps-a) moraju obraditi hiljade sigurnosnih upozorenja – često lažnih alarma – kako bi indefikovali samo nekoliko stvarnih prijetnji. Ovaj neprestani rad 24/7 dovodi do umora od upozorenja, desenzibilizacije i povećanog rizika od propuštanja kritičnih sigurnosnih incidenata. Studije pokazuju da 70% analitičara SOC-a doživljava ozbiljan stres, a 65% razmatra napuštanje svog posla u roku od godine dana. Ovo predstavlja veliki izazov u zadržavanju zaposlenih, posebno s obzirom na postojeći manjak kvalificiranih sigurnosnih analitičara.
S operativne strane, analitičari provode više vremena na ponovljivim, ručnim zadacima poput istraživanja upozorenja, rješavanja i dokumentacija incidenata, nego na proaktivnim sigurnosnim mjerama. Sigurnosni timovi suočavaju se s problemima u konfigurisanju i održavanju SOAR playbook-ova, dok se cyber okruženje brzo mijenja. Dodatno, preopterećenost alatima i podaci u silosima prisiljavaju analitičare da oni se kreću nepovezanim sigurnosnim platformama, stvarajući ne samo neprijatnost, već i propuštanje korelacija među događajima koji bi mogli pomoći u prepoznavanju stvarnih prijetnji.
Prijetnje pokretane vještačkom inteligencijom – Užas!
Ovo se dodatno komplikuje činjenicom da prijetnje hakeri koriste vještačku inteligenciju (AI) za unapređenje svojih cyber kriminalnih aktivnosti. Korištenjem velike količine podataka, AI im omogućava da pokrenu učinkovitije, adaptivnije i teže uočljive napade na velikoj skali. AI alati generišu uvjerljive phishing e-mailove, deepfake sadržaj i skripte za socijalni inžinjering, čineći obmanu lakšom čak i za neiskusne napadače. Takođe mogu koristiti AI za pisanje sofisticiranog malware-a, obrtanje sigurnosnih mehanizama i automatizovano otkrivanje ranjivosti analiziranjem velikih baza koda u potrazi za iskorištivim greškama. Osim toga, AI-driven chatbotovi emituju stvarne korisnike, provode masovne prevare i pružaju korak-po-korak upute za cyber kriminal.
Prema izvještaju CrowdStrike-a iz 2024. godine, napadači su smanjili prosječno vrijeme izlaska za uspješne intruzije sa 79 minuta na 62 minuta, a najbrže zabilježeno vrijeme izlaska bilo je samo dvije minute i sedam sekundi. Čak i uz najbolje alate za detekciju i desetke analitičara na raspolaganju (što bi bio idealni scenario), sama količina i brzina današnjih cyber napada zahtijevaju da SOC timovi djeluju brže nego ikada i na neki način ručno pregledavaju i analiziraju ogromnu količinu upozorenja. Ovo je doslovno bila nemoguća misija. Ali to više nije slučaj.
Moderni SOC se vraća – Savršena kombinacija AI i ljudskog faktora
Ako ste analitičar SOC-a ili CISO, znate da nisam pretjerivao kada sam opisivao ozbiljnost situacije. Međutim, situacija se mijenja. Novi AI alati za SOC-ove omogućit će ljudskim timovima da obrade bilo koju vrstu i bilo koji jačinu sigurnosnih upozorenja, omogućujući im da se usmjere na rješavanje stvarnih prijetnji u rekordnom vremenu. Evo šta neki od rani usvojitelja već doživljavaju.
Automatizovano Trijaža
Mnogi dobavljači sada nude automatizovanu trijažu sigurnosnih upozorenja koja značajno smanjuje broj upozorenja koja ljudski analitičari moraju istraživati. Iako više dobavljača nudi automatizovanu trijažu za specifične slučajeve poput phishing-a, kraja, mreže i cloud-a(s trijažama koje su izradili ljudski sigurnosni stručnjaci), idealni scenarij bio bi AI-pokretan analitičar SOC-a koji može interpretirati bilo koju vrstu sigurnosnog upozorenja sa bilo kojeg senzora ili obrambenog sistema. Na taj način svi sigurnosni događaji, od najčešćih do najneobičnijih, mogu biti potpuno analizirani. Transparentnost takođe igra veliku ulogu jer je stvarna logika AI trijaže (do svakog koraka koji je poduzet) lako dostupna ljudskom analitičaru za pregled, ukoliko to želi.
Potpuna kontrola nad odgovorima na stvarne prijetnje
Iako AI-pokrenuta SOC platforma generiše tačan odgovor prikladan za specifičnu prijetnju (osiguravajući sličnu vrijednost SOAR-u, ali bez svih glavobolja s konfiguracijom i održavanjem), važno je imati ljudski faktor u procesu kako bi se pregledao predloženi odgovor i omogućilo prihvaćanje, izmjena ili neposredno izvršenje.
ChatGPT (ili DeepSeek) pridružuje se timu
Korištenje generativne AI omogućava SOC timovima da istraže nove prijetnje, najnovije metode napada i najbolje prakse za suzbijanje tih prijetnji. Alati poput ChatGPT-a nevjerojatno su korisni za brzo upoznavanje s praktički bilo kojom temom, uključujući sigurnost, te će zasigurno olakšati analitičarima pristup relevantnim rješenjima i brže učenje.
Upit podataka, interpretacija logova i detekcija anomalija
Analitičari SOC-a više ne moraju mučiti sintaksu upita. Umjesto toga, mogu koristiti prirodni jezik za pronalaženje podataka koji su im potrebni, a kada je u pitanju razumijevanje značaja određenog loga ili skupa podataka, AI rješenja mogu pružiti trenutna pojašnjenja. Kada analiziraju slošene skupove podataka koji sadrže hiljade logova, ugrađena detekcija anomalija pomaže u prepoznavanju neuobičajenih obrazaca koji bi mogli zahtijevati daljnje istraživanje.
Više podataka za AI koji žudi za podacima. Bez ogromnih troškova.
AI alati zahtijevaju veliku količinu podataka jer se na njima temelje učenje obrazaca, predviđanja i poboljšanje tačnosti tijekom vremena. Međutim, tradicionalna skladištenje podataka može biti izuzetno skupa. Nova tehnologija omogućila je brzo pretraživanje logova i drugih podataka iz ultra-pristupačnih hladnih skladištenja poput AWS S3. To znači da AI-pokretne SOC platforme mogu brzo pristupiti, obraditi i interpretirati ogromne količine podataka za automatsko trijažiranje upozorenja. Isto tako, ljudi mogu uživati u brzoj pretrazi podataka i neograničenom zadržavanju podataka radi usklađenosti.
Sve će ići brže
Proteklih stoljeće, društvene interakcije su bile znatno sporije – ako ste željeli kontaktirati nekoga, morali ste ih nazvati na kućni telefon i nadati se da će se javiti, poslati pismo i čekati danima na odgovor, ili se sastati osobno. Brzo do 2025. godine, instant poruke, društvene mreže i komunikacija pokretana AI-om učinile su interakcije trenutnim i besprijekornim. Ista transformacija događa se u sigurnosnim operacijama. Tradicionalni SOC-ovi zavise o ručnom trijažiranju, dugotrajnim istragama i složenim SOAR konfiguracijama, usporavajući vrijeme odgovora. Međutim, s AI-pokrenutim SOC rješenjima, analitičari više ne moraju pregledavati beskrajna upozorenja ili ručno izrađivati korake za sanaciju. AI automonetizuje trijažu, potvrđuje stvarne prijetnje i predlaže precizne odgovore, drastično smanjujući radne zadatke i vrijeme odgovora. AI oblikuje SOC operacije – omogućujući bržu, pametniju i učinkovitiju sigurnost na velikoj skali.
Zaključak
Analitičari SOC-a suočavaju se s problemima poput preopterećenja upozorenjima, ručne trijaiže i rastućih cyber prijetnji, što dovodi do sagorijevanja i neučinkovitosti. U isto vrijeme, prijetnje hakeri koriste AI za automatizaciju napada, što čini brzi odgovor ključnijim nego ikada. Dobra vijest je da se moderni SOC razvija uz pomoć AI-pokretnih triža, automatizovane sanacije i pretrage podataka putem prirodnog jezika, omogućujući analitičarima da se fokusiraju na stvarne prijetnje umjesto na zamorne procese. S AI-jem, SOC postaje brži, pametniji i skalabilniji.
Izvor:THe Hacker News
