Chiunque operi nel settore della cybersecurity sa che è un mondo ricco di soddisfazioni ma anche di sfide, con gli attori delle minacce che tengono utenti e aziende sempre in allerta. Con l’intelligenza artificiale (AI) che è penetrata nel mercato a velocità vertiginosa, è fondamentale per i professionisti rimanere aggiornati sui suoi ultimi sviluppi e assicurarsi di integrarla responsabilmente nei propri protocolli di protezione. È inoltre importante che gli analisti di sicurezza, che lavorano in prima linea, ne comprendano l’impatto, preparandosi per il futuro. È opportuno analizzare come l’AI stia ridisegnando i ruoli degli analisti SOC, affrontando il problema critico del burnout e fornendo consigli pratici per mantenere il successo in questa nuova era.

Lo stato attuale dei Security Operation Center: sfide e burnout

Gli analisti SOC di oggi devono affrontare una miriade di sfide che contribuiscono ad aumentare i livelli di stress e burnout. La prima è relativa alla mole di dati da elaborare, spesso descritta come la ricerca di aghi in pagliai sempre più grandi. A questo sovraccarico di informazioni si aggiunge l’abbondanza di falsi positivi, con oltre il 50% dei SOC che fatica a tenere il passo con gli alert che riceve. La complessità della gestione di strumenti di sicurezza multipli e differenti aggrava ulteriormente questa situazione, portando con sè problemi di implementazione e inefficienze.

L’impatto psicologico di queste sfide non può essere sopravvalutato. La natura ripetitiva delle indagini sui falsi positivi può essere logorante, causando burnout e portando ad alti tassi di turnover. Secondo una recente ricerca il 65% del personale addetto alle security operation ha ammesso di aver considerato l’idea di cambiare o lasciare il proprio attuale lavoro, a causa dei livelli di stress nell’ambiente SOC. portati. Si tratta di un turnover che non riguarda solo i team di sicurezza, ma si ripercuote sull’intera azienda, incidendo sull’efficacia complessiva della cybersecurity.

I conflitti organizzativi, come le operazioni decentralizzate e le tensioni tra team IT e infosec, complicano ulteriormente il ruolo dell’analista SOC, creando un ambiente in cui il burnout non è solo un rischio, ma una realtà sempre più diffusa.

La diffusione dell’intelligenza artificiale nel SOC: un nuovo paradigma

L’intelligenza artificiale migliora significativamente il set di strumenti a disposizione per la cybersecurity, offrendo soluzioni potenti che possono mitigare molte delle sfide che contribuiscono al burnout professionale. L’AI sta rivoluzionando i SOC, accelerando il rilevamento delle minacce, automatizzando i processi di triage e consentendo una risposta intelligente agli incidenti.

La capacità dell’AI di elaborare grandi quantità di dati a velocità senza precedenti consente di identificare schemi e anomalie che potrebbero sfuggire agli analisti umani. Le enormi quantità di informazioni che il machine learning può analizzare vanno oltre le capacità dell’uomo, creando per il SOC una scala esponenziale, che facilita il rilevamento delle minacce quasi in tempo reale, riducendo significativamente il tempo che intercorre tra la compromissione iniziale e la scoperta. Inoltre, i sistemi di intelligenza artificiale sono in grado di categorizzare e dare priorità alle segnalazioni, diminuendo drasticamente la moltitudine di falsi positivi che spesso sommerge gli analisti.

Nella risposta agli incidenti, i sistemi basati su AI possono suggerire, o addirittura automatizzare, le azioni di risposta in base ai dati storici e agli schemi appresi, accelerando sensibilmente i tempi di risoluzione. Inoltre, l’intelligenza artificiale eccelle nell’arricchimento dei dati, fornendo contesto e comprensione degli eventi di sicurezza più approfonditi, aiutando gli analisti a intuire rapidamente il quadro completo di un incidente.

Il ruolo in evoluzione degli analisti SOC

Con l’AI che prende in carico sempre più compiti di routine, i ruoli degli analisti SOC – a ogni livello – si evolvono:

Gli analisti Tier 1 possono spostare la loro attenzione dalla verifica degli alert all’approfondimento delle attività potenzialmente dannose. Stanno sviluppando competenze nell’utilizzo degli strumenti di AI e nell’interpretazione degli insight generati, coltivando al contempo la capacità critica di convalidare e contestualizzare i risultati dell’AI.

possono spostare la loro attenzione dalla verifica degli alert all’approfondimento delle attività potenzialmente dannose. Stanno sviluppando competenze nell’utilizzo degli strumenti di AI e nell’interpretazione degli insight generati, coltivando al contempo la capacità critica di convalidare e contestualizzare i risultati dell’AI. Gli analisti Tier 2 e 3 stanno diventando esperti di sistemi di AI, comprendendone il funzionamento interno e i limiti relativi. Stanno sviluppando competenze di programmazione avanzate per personalizzare e ottimizzare gli strumenti di AI, gestiscono iniziative guidate da questa tecnologia e si concentrano su indagini complesse e sulla caccia alle minacce che l’AI non può automatizzare completamente.

stanno diventando esperti di sistemi di AI, comprendendone il funzionamento interno e i limiti relativi. Stanno sviluppando competenze di programmazione avanzate per personalizzare e ottimizzare gli strumenti di AI, gestiscono iniziative guidate da questa tecnologia e si concentrano su indagini complesse e sulla caccia alle minacce che l’AI non può automatizzare completamente. I SOC manager stanno acquisendo una profonda comprensione delle capacità dell’AI per prendere decisioni strategiche informate. Stanno sviluppando competenze per tradurre gli insight in azioni rilevanti per il business e promuovono una cultura di apprendimento continuo e adattamento ai progressi dell’AI. Inoltre, stanno promuovendo l’integrazione di questa tecnologia, comunicandone il valore ai team esecutivi.

Di Michele Lamartina, Regional Vice President Italia, Grecia, Cipro & Malta di Palo Alto Networks