Estado de IA en SoC 2025

Los líderes de seguridad aceptan la IA para el triaje, la ingeniería de detección y la caza de amenazas como volúmenes de alerta y puntos de golpe de agotamiento.

Una encuesta completa de 282 líderes de seguridad de empresas de toda la industria revela la dura realidad que enfrenta los modernos centros de operaciones de seguridad. El volumen de alerta alcanza niveles insostenibles, dejando al equipo amenazas críticas no investigadas. Puede descargar el informe completo aquí. La investigación realizada principalmente entre las organizaciones estadounidenses muestra que la adopción de IA en las prácticas de seguridad ha cambiado de experimentos a los críticos mientras luchan por cumplir con el flujo cada vez mayor de alertas de seguridad.

Los hallazgos retratan a la industria en un punto de inflexión donde los modelos SOC tradicionales se abrochan bajo presión operativa y soluciones que impulsan la IA están emergiendo como el camino principal.

El volumen de alerta alcanza su punto de límite

Los equipos de seguridad poseen alertas, y las organizaciones manejan un promedio de 960 alertas por día. Las grandes empresas enfrentan una realidad aún más desafiante, procesando más de 3.000 alertas por día desde un promedio de 30 herramientas de seguridad de generación de alerta diferentes.

Este volumen crea una crisis operativa fundamental en la que los equipos de seguridad necesitan tomar decisiones difíciles de detección e investigación bajo presiones de tiempo extremo. La investigación revela que la fatiga alerta evoluciona más allá de la carga emocional y se convierte en un riesgo operativo medible.

La investigación es lenta y sigue siendo manual

Las matemáticas puras del procesamiento de alerta exponen la escala del problema. Los resultados revelaron que se necesitan un promedio de 70 minutos en investigar completamente una alerta, lo que significa que alguien puede encontrar tiempo para verlo. La investigación muestra que, en promedio, hay 56 minutos completos de pase antes de que todos actúen en alerta. Esta imposibilidad obliga a opciones difíciles sobre qué alertas atraerán la atención y cuáles serán ignoradas.

Los hallazgos demuestran claramente desafíos importantes y conocidos dentro del Centro de Operaciones de Seguridad (SOCS). La gran cantidad de alertas que ocurren todos los días superan con creces la capacidad de los analistas humanos para investigarlas a fondo. Si el problema empeora, las últimas pilas de seguridad y fuentes de datos continúan aumentando en número y complejidad, lo que resulta en tiempos de investigación más largos.

Para incidentes de alta prioridad que requieren atención inmediata, estos cuadros de tiempo representan retrasos inaceptables que podrían violar el nivel de gravedad. Según el último informe de amenaza cibernética de CrowdStrike, las amenazas cibernéticas como los compromisos de correo electrónico comercial solo tardan 48 minutos en promedio para conducir a incidentes.

Los costos ocultos de un SoC abrumador

Esta abrumadora afluencia crea un dilema imposible, lo que obliga a los equipos de SOC a tomar decisiones difíciles y a menudo peligrosas sobre qué alertas atraerán la atención y que inevitablemente serán ignoradas. La consecuencia de esta situación imposible es que el riesgo de perder una amenaza real en medio del ruido, finalmente socava la actitud de seguridad de la organización.

El 40% de las alertas de seguridad no están completamente invertidas debido al volumen y las limitaciones de recursos. Aún más problemático, el 61% de los equipos de seguridad admitieron ignorar las alertas que luego se demostró que era un incidente crítico de seguridad.

Estas estadísticas representan un desglose fundamental de las operaciones de seguridad. Los equipos diseñados para proteger a sus organizaciones no pueden examinar sistemáticamente casi la mitad de las posibles amenazas que detectan. La investigación reveló que esto no fue una negligencia, sino una adaptación forzada a las solicitudes de carga de trabajo imposibles.

Los equipos de SOC luchan con la operación 24/7

El estudio revela brechas clave en la cobertura de seguridad las 24 horas. Muchas organizaciones no tienen suficiente personal para mantener una operación SOC efectiva las 24 horas, los 7 días de la semana. Cree una ventana de vulnerabilidad fuera del horario comercial que maneje el mismo volumen de alerta que el equipo de esqueleto abruma los turnos de día completo.

El agotamiento del analista no es solo una preocupación de recursos humanos, sino que se ha convertido en un problema cuantificable. El equipo informa que la supresión de las reglas de detección se ha convertido en el mecanismo de afrontamiento predeterminado cuando los volúmenes de alerta se vuelven inmanejables. Este enfoque reduce las cargas de trabajo inmediatas, pero puede crear puntos ciegos en la cobertura de seguridad.

Los desafíos de personal se ven exacerbados por la naturaleza especial del trabajo de análisis de seguridad. Las organizaciones no pueden escalar fácilmente sus equipos para que crezcan a medida que crecen los volúmenes de alerta, especialmente dada la falta de expertos en ciberseguridad experimentados en el mercado laboral actual.

AI se mueve de experimentos a prioridades estratégicas

La IA de operaciones de seguridad ha aumentado rápidamente su escala prioritaria y ahora está clasificada como las tres iniciativas principales junto con programas de seguridad principales como la seguridad en la nube y la seguridad de los datos. Esto ilustra un cambio fundamental en la forma en que los líderes de seguridad los ven como facilitadores clave para el éxito operativo hoy.

Actualmente, el 55% de los equipos de seguridad ya han desplegado coplotos y asistentes de IA en producción, apoyando los flujos de trabajo de alertas de triaje e investigación.

La próxima ola de adopción viene rápidamente. Entre los equipos que aún no están utilizando IA, el 60% planea evaluar las soluciones SOC con AI dentro del año. La investigación muestra que el 60% de las futuras cargas de trabajo SOC serán procesadas por IA en los próximos tres años.

Las organizaciones buscan IA para tareas de investigación básicas

El equipo de seguridad está identificando dónde puede marcar la mayor diferencia. El triaje está 67%por encima de la lista, seguido de ajuste de detección (65%) y caza de amenazas (64%).

Estas prioridades reflejan el creciente deseo de aplicar la IA a las primeras etapas de la investigación y las alertas significativas de la superficie, al tiempo que proporcionan un análisis repetido del contexto temprano y la descarga. No se trata de automatizar el juicio humano, se trata de acelerar el flujo de trabajo y afilar el enfoque humano.

La barrera permanece, pero el impulso es claro

A pesar de la fuerte intención de reclutamiento, los líderes de seguridad identifican barreras significativas para la implementación de la IA. Las preocupaciones de privacidad de los datos, la complejidad de la integración y los requisitos de explicación están en la parte superior de la lista de vacilación de la organización.

Los futuros socs se convertirán en realidad

Los datos de la investigación revelan una trayectoria clara para las operaciones de seguridad híbridas donde la IA maneja las tareas analíticas cotidianas y los analistas humanos se centran en la investigación compleja y la toma de decisiones estratégicas. Esta evolución promete abordar los problemas de volumen y el agotamiento del analista al mismo tiempo.

Las métricas de éxito de esta conversión pueden centrarse en mejorar la eficiencia operativa. Además de las tasas de cierre de advertencia tradicionales, las organizaciones miden el progreso a través del tiempo promedio (MTTI) y el tiempo promedio (MTTR). Otras métricas de éxito significativas incluyen el uso de IA para criar y capacitar a nuevos analistas de SOC para acelerar dramáticamente los tiempos de aumento.

Asegurar una cobertura de alerta integral a través del aumento de IA permite a las organizaciones reducir la tolerancia al riesgo actualmente aplicada por las limitaciones de volumen. Future SOC investiga más alertas más a fondo, al tiempo que reduce el esfuerzo manual de los analistas humanos.

Cómo la seguridad del profeta ayuda a los clientes

La seguridad del profeta ayuda a las organizaciones a ir más allá de las investigaciones manuales, automatizar el triaje, acelerar las investigaciones y prestar atención a la fatiga con la plataforma Agent AI SOC, que asegura que todas las alertas llamen la atención que merecen. Al integrar las pilas existentes, Profet AI mejora la eficiencia del analista, reduce el tiempo de permanencia de los incidentes y proporciona resultados de seguridad más consistentes. Los líderes de seguridad usan el Profeta AI para maximizar el valor de las personas y las herramientas, fortalecer las actitudes de seguridad y convertir las operaciones diarias de SOC en resultados comerciales medibles. Acceda a la seguridad del Profeta para obtener más información o solicitar una demostración y vea cómo el Profeta AI puede mejorar sus operaciones de SOC.

¿Encontraste este artículo interesante? Este artículo es una donación de uno de nuestros preciosos socios. Síguenos en Google News, Twitter y LinkedIn para leer contenido exclusivo que publica.

Source link

What's Hot

“Chad: The Brainrot IDE” es un nuevo producto respaldado por Y Combinator que es tan salvaje que la gente pensó que era falso.

Lo que las startups quieren de OpenAI

Por qué los investigadores están desarrollando robots que parecen murciélagos y actúan como ellos

Google demanda a piratas informáticos con sede en China detrás de la plataforma de phishing Lighthouse de mil millones de dólares

Amazon descubre una falla de día cero en ataques que explotan Cisco ISE y Citrix NetScaler

(Seminario web) Descubra cómo los equipos de seguridad líderes utilizan DASR para reducir la exposición de la superficie de ataque