Il volume di avvisi e alert relativi alla sicurezza informatica che ogni giorno giungono agli analisti di cybersecurity nei SOC (Security Operations Center) supera ormai il livello che gli addetti possono umanamente gestire. Laddove l’expertise umana, le pratiche e gli strumenti tradizionali dedicati alla sicurezza cyber sono in grave affanno, sempre più viene in soccorso l’AI, che si afferma come uno strumento prezioso a supporto delle attività di rilevamento e monitoraggio delle minacce informatiche.
A rimarcare il ricorso sempre più importante alle tecniche di AI nel monitoraggio delle infrastrutture IT delle aziende è in particolare una ricerca effettuata da Prophet, dal titolo State of AI in Security Operations, che ha coinvolto 282 responsabili della sicurezza in organizzazioni afferenti a vari settori industriali. Lo studio evidenzia che l’elevata pressione operativa sui SOC sta mettendo in difficoltà i modelli tradizionali di gestione. Di conseguenza, gli analisti senior di cybersecurity sono spesso costretti a tralasciare l’indagine su molte minacce, dovendo selezionare solo quelle ritenute prioritarie, con il rischio di non accorgersi di segnali di allarme critici. Poiché è molto difficile aumentare le capacità operative dei SOC, sia per la natura altamente specializzata delle competenze richieste agli analisti di sicurezza, sia per la carenza di professionisti qualificati nel mercato del lavoro, l’unica reale via d’uscita da questo grave collo di bottiglia sembra essere l’impiego dell’intelligenza artificiale.
Lo studio spiega infatti come l’adozione della AI a supporto delle operazioni nei SOC abbia già superato la fase di sperimentazione, e sia divenuta di fatto uno strumento essenziale per tenere il passo con il flusso in crescita esorbitante degli allarmi di sicurezza. Scendendo nel dettaglio, il report parla di una media di 960 allarmi che le organizzazioni devono processare ogni giorno, numero che sale a 3.000 se si prendono in considerazione le grandi organizzazioni. Ciò mette in forte difficoltà i team di sicurezza, costretti a prendere decisioni difficili e a lavorare in stato di forte stress. Lo studio stima quindi che i tempi medi necessari a completare l’investigazione di un allarme siano pari a circa 70 minuti. Altri 56 minuti trascorrono però dal momento in cui l’allarme giunge alla sua presa in carico da parte di qualcuno. Queste tempistiche obbligano alla ardua decisione di dover trascurare e ignorare alcuni allarmi in favore di altri, proprio per mancanza di tempo e di risorse.
Inoltre, questo periodo finestra rappresenta un ritardo intollerabile e pericoloso nel caso di incidenti ad alta priorità, che richiederebbero invece immediata attenzione, con il rischio di aumentare la severità dell’intrusione conseguente. Questa pressione a cui sono sottoposti oggi i SOC aumenta pertanto il rischio di trascurare gli allarmi più seri, persi nel rumore generato dalla grande quantità di segnalazioni e compromettendo gravemente la postura di sicurezza cyber di un’organizzazione. Si stima che il 40% degli allarmi di sicurezza resti infatti ignorato e non investigato, a causa della mancanza di risorse e della quantità di eventi da gestire. Ancora più preoccupante è però il fatto che il 61% dei team di sicurezza riporta di aver dovuto ignorare allarmi che in seguito hanno portato a incidenti critici di sicurezza. Anche per gli analisti di primo livello di un SOC la richiesta di competenze tecniche avanzate sta crescendo rapidamente, poiché è sempre più necessario intervenire con tempestività e saper analizzare in modo rapido e accurato gli eventi di sicurezza, facendo leva su esperienza e capacità consolidate.
Si aggiunga che la maggior parte delle aziende non dispone del personale sufficiente a mantenere operazioni di monitoraggio e investigazione 24 ore su 24 per 7 giorni su 7 del presidio SOC, aprendo finestre di vulnerabilità importanti nelle fasce orarie non sufficientemente coperte.
Un tema strettamente collegato è quello del burnout degli analisti: molti team SOC segnalano che è ormai pratica comune disattivare — anche solo temporaneamente — alcune regole di rilevamento, una misura a cui i professionisti della cybersecurity ricorrono per far fronte all’eccessiva quantità di eventi da gestire. Questa soluzione, però, apre pericolosi punti ciechi nella copertura di sicurezza delle aziende.
In questo quadro, la AI per le operazioni di sicurezza informatica è salita al terzo posto delle iniziative più intraprese tra le aziende, subito dopo i programmi che impiegano la sicurezza cloud e la sicurezza dei dati. Spinti anche dal bisogno di trasformare le difficoltà in opportunità, i responsabili della sicurezza mostrano un evidente cambiamento nella percezione dell’AI, oggi sempre più considerata un abilitatore fondamentale per il successo delle operazioni: infatti, il report indica che il 55% dei team di sicurezza impiega già assistenti AI e copilot a supporto delle attività di triage e per gestire i carichi di lavoro di investigazione. Tra chi invece non ne fa ancora uso, il 60% dichiara l’intenzione di valutare soluzioni SOC potenziate dalla AI entro il prossimo anno. Nel complesso risulta che, dalle rilevazioni, in media il 60% di tutto il volume di lavoro in carico al SOC sarà gestito dalla AI nei prossimi tre anni.
I responsabili dei SOC dichiarano in particolare che la AI potrà fare la differenza in primo luogo nella fase di triage, per il 67%, seguita dalla fase di ottimizzazione del rilevamento (65%), e dalla caccia alle minacce (64%). Tre priorità che mostrano una forte propensione all’impiego della AI nelle fasi preliminari del lavoro di investigazione e per individuare gli allarmi più significativi, riducendo il carico di attività per le operazioni di tipo più ripetitivo. Importante quindi sottolineare come la ricerca evidenzi che, nell’implementare tecniche di AI nelle attività dei SOC, non si tratta di sostituire il fattore umano, né tantomeno di automatizzare il giudizio e la presa di decisioni, ma di accelerare i tempi di risposta e alleggerire il carico di lavoro per meglio indirizzare le capacità dei responsabili della sicurezza.
Nonostante la forte disposizione alla adozione della AI, i security leader rilevano tuttavia anche importanti barriere alla implementazione, a partire da preoccupazioni relative alla privacy dei dati e in termini di compliance con le normative; a ciò si aggiunge la complessità del processo di integrazione con gli strumenti e le infrastrutture già in uso in azienda, la preoccupazione comunque presente che la AI possa sostituire il lavoro umano, il costo dei tool di AI e la necessità e la difficoltà di garantire trasparenza e comprensibilità delle decisioni suggerite dalla AI.
In conclusione, lo studio mostra dunque una chiara tendenza verso un futuro con operazioni di sicurezza ibride, dove la AI gestirà il carico di compiti di analisi più di routine, mentre gli analisti si potranno concentrare su investigazioni più complesse e sulla presa di decisioni più strategiche. Un’evoluzione che diviene sempre più un’esigenza sentita all’interno delle organizzazioni, alla ricerca di soluzioni per risolvere i due principali problemi rappresentati dall’eccessivo volume degli allarmi di cybersecurity e dal burnout dei professionisti di sicurezza informatica.