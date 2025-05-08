L'intelligenza artificiale (AI) può replicare i processi decisionali umani. Questa tecnologia può facilitare un cambiamento trasformativo nelle operazioni di cybersecurity, in particolare nelle operazioni di sicurezza di routine.

Il rilevamento delle minacce utilizza già funzionalità di AI come il machine learning (ML). Diverse tecnologie SOC lo utilizzano per attività che vanno dall'identificazione delle minacce alla categorizzazione degli avvisi, grazie all'Integrazione dei principali fornitori di software. Tuttavia, l'automazione delle operazioni di sicurezza è soggetta a determinati vincoli.

La maggior parte dei team di operazioni di sicurezza ha regole di coinvolgimento, che richiedono un certo grado di certezza prima dell'esecuzione. Questa certezza spiega perché l'automazione è comune in sistemi chiusi come i sistemi di rilevamento e risposta degli endpoint (EDR). Sia il software endpoint che la console conoscono tutte le variabili rilevanti e possono automatizzare efficacemente le risposte.

Un esperto di sicurezza presso un importante hyperscaler fornisce un esempio pratico. La loro azienda richiede un coinvolgimento minimo dei SOC grazie alla sua profonda conoscenza di ogni tecnologia e asset nel loro stack. La loro configurazione funziona essenzialmente come un sistema chiuso, consentendo un'ampia automazione.

Per le organizzazioni prive di tali sistemi chiusi, in particolare quelle che si occupano di sistemi di gestione degli eventi e delle informazioni sulla sicurezza (SIEM), lo scenario è diverso. Qui, un playbook di Security Orchestration, Automation and Response (SOAR) gestisce l'automazione.

Ad esempio, un playbook di risposta automatica può essere programmato per mettere in quarantena un host se non è un server e sta eseguendo attività dannose comprovate. Tuttavia, questa automazione non può attivarsi a meno che non sia nota l'identità dell'asset, ad esempio se si tratta di un server critico o di una workstation.

Il contesto è fondamentale nell'automazione delle funzioni di sicurezza, ed è qui che gli analisti SOC umani brillano. Attraverso la raccolta manuale dei dati, la valutazione e l'analisi, forniscono il contesto necessario affinché l'automazione funzioni efficacemente nei sistemi aperti. Queste operazioni manuali ripetitive devono fare spazio al nuovo paradigma delle operazioni autonome multi-agentiche.