Ciertamente es difícil convertirse en analista de SOC.
Todos los días, se espera que resuelvan problemas de alta sensibilidad con la mitad de los datos y el doble de presión. Los analistas están abrumados. Está abrumado no solo por amenazas sino también por sistemas y procesos que lo ayudan a responder. Las giras están fragmentadas. El flujo de trabajo es pesado. El contexto vive en cinco ubicaciones, y las alertas nunca se ralentizan. Para muchos analistas, lo que comenzó como un papel de ritmo rápido e impactante se ha convertido en un bucle recurrente de triaje de alerta y relanzamiento de datos que ofrece poco espacio para la estrategia o el crecimiento.
La mayoría de los equipos de SOC también corren inclinados. El año pasado, una encuesta anual de SANS SOC encontró que la mayoría de los SOC consistían en solo 2-10 analistas a tiempo completo, y que no habían cambiado desde que la encuesta comenzó a rastrear en 2017. Mientras tanto, el área de cobertura explotó. Se ha complicado a gran escala, lo que lleva a un agotamiento sistemático en todo el entorno SOC. Este es un riesgo comercial legítimo que dificulta la capacidad de la organización para protegerse.
Abordar este problema no es simplemente aumentar el personal. Cuanto más tratemos el agotamiento como un problema para las personas, más ignoramos lo que en realidad es un problema dentro del SOC. Los desafíos en cuestión requieren un cambio en la forma en que se diseña y ejecuta el trabajo en SOC, y cómo los analistas se posicionan para el éxito.
Ingrese su AI (AI). Las grandes implementaciones de IA ofrecen una ruta práctica aquí al optimizar algunos de los trabajos que dirigen a los analistas hacia la puerta: pasos repetitivos, sobrecarga cognitiva, falta de progreso visible. Desde racionalizar los flujos de trabajo ineficientes y el desarrollo del desarrollo de habilidades hasta la promoción de una supervisión más impactante en todo el equipo, la IA puede allanar el camino más amplio para hacer que SOC funcione más sostenible.
Reduzca la fatiga de la alerta y las cargas repetitivas con automatización más inteligente
Un flujo constante de alertas de bajo contexto es una de las formas más rápidas de expulsar a los equipos de SOC. La encuesta SANS SOC informó que el 38% de las organizaciones consumieron todos los datos disponibles en SIEM. Podría expandir la visibilidad, pero está inundado de ruido de bajo costo para los analistas. Y sin una fuerte lógica de correlación e integración multiplataforma, los analistas aún necesitan ensamblar el panorama general. Dejan las métricas de seguimiento en todo el sistema desarticulado, uniendo contextos juntos manualmente para determinar si se requiere una escalada. Es ineficiente, agotador e insostenible.
Los equipos de SOC han estado automatizando tareas durante años, y la mayor parte de esa automatización se basa en una lógica frágil como libros de jugadas rígidos y flujos de aumento estático que se rompen tan pronto como el escenario se desvía de las expectativas. Ai cambiará eso. La automatización impulsada por la IA puede aliviar esa presión al actuar como un agregador de contexto y asistente de investigación único y poderoso. Cuando se combina con características como las habilitadas por el nuevo Protocolo de contexto del modelo (MCP), el modelo de lenguaje puede consolidar la telemetría, la inteligencia de amenazas, los metadatos de activos y el historial de usuarios en una sola visión, adaptándola a cada situación única que enfrentan los analistas. Esto le brinda una gran cantidad de resumen específico de caso enriquecido en lugar de eventos sin procesar. La transparencia reemplaza las conjeturas. Las decisiones de respuesta ocurren más rápido y con mayor confianza. Puede reducir directamente el agotamiento.
La clave aquí es que, a diferencia de SOAR, AI permite la automatización adaptativa y facilita el acceso a través de la interfaz LLM. Con los agentes de IA y los nuevos estándares como MCP y Agent2Agent Protocols, hay un futuro en el que los analistas pueden explicar lo que se necesita en los idiomas simples, lo que permite a los sistemas construir dinámicamente la automatización y decidir qué tareas necesitan realizar y la mejor manera de completarlos. La IA puede ajustar en tiempo real, basado en el contexto, ya sea capturar datos, correlacionar señales o ajustar las respuestas. Esa flexibilidad es importante, especialmente cuando la ruta de investigación no siempre está clara.
Construya la confianza del analista con comentarios más inteligentes
El agotamiento no es solo por mucho tiempo. A veces puede ser causado por el estancamiento. Esto significa hacer el mismo trabajo sin crecer o recibir comentarios significativos. Si los analistas no ven el progreso, la frustración se está arraigando rápidamente. Esta es el área donde la IA puede proporcionar un apoyo real. Los analistas pueden mejorar su propio trabajo sobre la marcha. Ajuste la lógica de detección, solucione los falsos positivos y genere mejores consultas con sugerencias rápidas y específicas. Si bien este tipo de retroalimentación en tiempo real es especialmente valioso para los nuevos analistas, incluso los miembros experimentados del equipo se benefician de la capacidad de probar su enfoque sin esperar la revisión por pares.
Estas interacciones respaldan lo que los investigadores llaman práctica intencional. La repetición enfocada se combina con comentarios inmediatos y prácticos. Vale la pena su peso en oro cuando se trata de sostenerse. Según una encuesta realizada por SANS SOC, el «significado trabajo» y el «avance profesional» se clasificaron como los dos factores principales en la retención de analistas. Los equipos que incrustan el crecimiento en sus flujos de trabajo diarios tienen más probabilidades de mantener a las personas despiertas. La IA no puede reemplazar la instrucción humana, pero puede ayudar a replicar algunos de los efectos más significativos en una gran escala.
Ayudar a los líderes del SOC a administrar y fortalecer sus equipos
Los líderes SOC tienen un impacto directo en la reducción del agotamiento. Sin embargo, la falta de tiempo y visión es a menudo el mayor obstáculo para tener un impacto positivo. Los datos de rendimiento, como el número de casos, la calidad de las notas, la profundidad de la encuesta y los tiempos de respuesta se encuentran dispersos en la plataforma y la encuesta. Sin una forma de integrarlo, los gerentes adivinan quién está luchando y por qué.
AI permite ese análisis. El acceso a la gestión de casos y los datos del flujo de trabajo permite a los modelos representar las tendencias de rendimiento. Los analistas manejan ciertos tipos de amenazas de manera consistente y bueno. Si el error se agrupa o si la calidad comienza a deteriorarse. Esa información permite a los gerentes entrenar y asignar trabajo de manera más efectiva en función de la disponibilidad y la funcionalidad. También le da la oportunidad de intervenir antes. Burnout no se anuncia a sí mismo. Lentamente se vuelve invisible en muchos casos. Sin embargo, si hay una señal adecuada (es decir, sobrecarga de bandera, brechas de habilidad y caídas en calidad), el líder puede tomar medidas antes de que surja el problema.
Con el tiempo, tal cultura del equipo de reconstrucción de apoyo de apoyo. El rendimiento mejora, mantiene y estabiliza, y los analistas tienen más probabilidades de crecer, permanecer en roles que sienten que se ven, apoyan y establecen para tener éxito.
Continúe la conversación con SANS Network Security 2025
Los agotamientos de SOC rara vez aparecen a la vez. Está construido con repetidos, desaprendiendo, sin progreso y sin esfuerzo de impacto. La IA no elimina todos los factores estresantes en SOC, pero puede ayudar a reducir la fricción cuando más importa.
Si este tema resuena, únase a Sans Network Security 2025 en Las Vegas este septiembre. Lideraré sesiones para construir SOC más saludables y efectivos, incluida cómo reducir el agotamiento, agilizar los flujos de trabajo y aplicar la IA para apoyar el crecimiento de los analistas en entornos del mundo real.
Regístrese para SANS Network Security 2025 (22-27 de septiembre de 2025).
Nota: Este artículo fue escrito hábilmente y contribuido por el instructor senior de SANS John Hubbard. Obtenga más información sobre sus antecedentes y curso aquí.
Nota: Este artículo fue escrito y contribuido por John Hubbard, instructor senior en Sans Institute.
Source link
