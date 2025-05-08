I centri operativi di sicurezza (SOC) hanno affrontato per anni sfide continue per il rilevamento e la risposta alle minacce. Queste sfide includono la distinzione di segnali di sicurezza autentici da elementi quali rumore di fondo, un contesto inadeguato per l'indagine sugli avvisi, la mancanza di automazione end-to-end, i colli di bottiglia nei workflow e lo stress da avvisi.
Per anni si è detto che le operazioni di sicurezza, o la gestione delle minacce informatiche in qualsiasi forma, devono subire un cambiamento importante come quello delle compagnie aeree commerciali a metà del XX secolo: le macchine pilotano aerei commerciali e i piloti intervengono in situazioni limitate. Allo stesso modo, il nuovo SOC gestirebbe operazioni autonome con un coinvolgimento umano minimo.
Gli analisti SOC diventerebbero quindi piloti SOC, scegliendo dove e quando essere coinvolti, mentre la macchina virtuale gestisce le operazioni standard.
La cybersecurity è l'unica a confrontarsi con l'enigmatico fenomeno dello "0-day": nuove vulnerabilità nel software o nell'hardware, precedentemente non rilevate dalla comunità della sicurezza. Questo concetto racchiude l'imprevedibilità che circonda l'emergere della prossima minaccia, inclusi fonte, tempistica e metodologia.
Quando si materializzano situazioni di incertezza, i piloti SOC (analisti umani) assumono il comando, utilizzando la loro competenza per contrastare e neutralizzare queste nuove minacce.
Allora perché non disponiamo già di SOC in grado di funzionare con un intervento umano minimo? Per anni, i fornitori di software di sicurezza hanno introdotto automazioni nei loro prodotti. I team SOC hanno spinto i confini dell'automazione, sviluppando talvolta soluzioni sofisticate e autoctone per accelerare e aumentare l'efficacia del rilevamento e della risposta alle minacce. Ma i SOC hanno bisogno di più dell'automazione. Hanno bisogno di autonomia digitale.
L'intelligenza artificiale (AI) può replicare i processi decisionali umani. Questa tecnologia può facilitare un cambiamento trasformativo nelle operazioni di cybersecurity, in particolare nelle operazioni di sicurezza di routine.
Il rilevamento delle minacce utilizza già funzionalità di AI come il machine learning (ML). Diverse tecnologie SOC lo utilizzano per attività che vanno dall'identificazione delle minacce alla categorizzazione degli avvisi, grazie all'Integrazione dei principali fornitori di software. Tuttavia, l'automazione delle operazioni di sicurezza è soggetta a determinati vincoli.
La maggior parte dei team di operazioni di sicurezza ha regole di coinvolgimento, che richiedono un certo grado di certezza prima dell'esecuzione. Questa certezza spiega perché l'automazione è comune in sistemi chiusi come i sistemi di rilevamento e risposta degli endpoint (EDR). Sia il software endpoint che la console conoscono tutte le variabili rilevanti e possono automatizzare efficacemente le risposte.
Un esperto di sicurezza presso un importante hyperscaler fornisce un esempio pratico. La loro azienda richiede un coinvolgimento minimo dei SOC grazie alla sua profonda conoscenza di ogni tecnologia e asset nel loro stack. La loro configurazione funziona essenzialmente come un sistema chiuso, consentendo un'ampia automazione.
Per le organizzazioni prive di tali sistemi chiusi, in particolare quelle che si occupano di sistemi di gestione degli eventi e delle informazioni sulla sicurezza (SIEM), lo scenario è diverso. Qui, un playbook di Security Orchestration, Automation and Response (SOAR) gestisce l'automazione.
Ad esempio, un playbook di risposta automatica può essere programmato per mettere in quarantena un host se non è un server e sta eseguendo attività dannose comprovate. Tuttavia, questa automazione non può attivarsi a meno che non sia nota l'identità dell'asset, ad esempio se si tratta di un server critico o di una workstation.
Il contesto è fondamentale nell'automazione delle funzioni di sicurezza, ed è qui che gli analisti SOC umani brillano. Attraverso la raccolta manuale dei dati, la valutazione e l'analisi, forniscono il contesto necessario affinché l'automazione funzioni efficacemente nei sistemi aperti. Queste operazioni manuali ripetitive devono fare spazio al nuovo paradigma delle operazioni autonome multi-agentiche.
Passa al framework autonomo e multiagente. I servizi di cybersecurity di IBM utilizzano l'AI per comprendere la necessità di un contesto, raccogliere il contesto, decidere e consentire all'automazione di completare o gestire completamente l'automazione, anche aggirando la SOAR.
Il nostro orchestratore di lavoro digitale, l'Autonomous Threat Operations Machine (ATOM), sviluppa un elenco di attività per l'indagine su un avviso. Se l'ATOM determina che il contesto dell'asset è inadeguato, utilizza altri agenti AI per raccogliere le informazioni mancanti.
Quando l'ATOM rileva un contesto di asset mancante, si attiva e interagisce proattivamente con agenti associati alla gestione delle vulnerabilità, alla gestione dell'esposizione, ai database di gestione della configurazione (CMDB) e ai sistemi EDR o di rilevamento e risposta estesa (XDR) per raccogliere quel contesto.
L'ATOM determina quindi che un asset specifico, in base al suo nome host e alla sua posizione di rete, è in linea con i modelli tipici delle workstation e conclude che si tratta effettivamente di una workstation. Questo ragionamento è lo stesso tipo di logica che applicherebbe un analista umano.
Dopo aver preso la decisione contestuale, l'ATOM formula una risposta univoca a quello specifico avviso. Ad esempio, può determinare se una chiamata application programming interface (API) a una console di rilevamento e risposta degli endpoint (EDR) è la soluzione migliore o se un workflow deve tornare al sistema SOAR.
Non è ancora chiaro se l'AI consentirà al personale SOC di assumere il ruolo di pilota SOC. Tuttavia, le funzionalità di lavoro digitale multi-agente orchestrato sono più vicine a ciò che serve per le operazioni autonome di SOC rispetto a qualsiasi tecnologia con cui IBM abbia mai lavorato in precedenza. Sebbene la transizione completa verso la SOC completamente autonoma debba ancora essere raggiunta, il percorso verso questo modello SOC efficiente e con interventi minimi umani è avanzato notevolmente con l'avvento dell'agentic AI.
Questo importante cambiamento promette di rivoluzionare la gestione delle minacce permettendo ai team di sicurezza di dare priorità alle iniziative strategiche invece di essere appesantiti da compiti ripetitivi. Man mano che l'AI continua a evolversi, guardiamo avanti a un futuro in cui i nostri SOC non saranno solo automatizzati, ma veramente autonomi, pronti a decollare e lasciare le attività banali alle macchine.
