Η αγορά για Αντιπρόσωπος SOCή οι πράκτορες AI SOC όπως τους αποκαλεί η Gartner, κινείται γρήγορα. Δεκάδες startups έχουν εισέλθει στο χώρο τους τελευταίους 18 μήνες, η καθεμία υπόσχεται να μεταμορφώσει τον τρόπο με τον οποίο οι ομάδες επιχειρήσεων ασφαλείας χειρίζονται τη διαλογή, την έρευνα και την απόκριση προειδοποιήσεων.
Το βήμα είναι συνήθως κάποια εκδοχή του ίδιου πράγματος: αναπτύξτε έναν πράκτορα AI, μειώστε το υπόλοιπο των ειδοποιήσεων και αφήστε τους αναλυτές σας να επικεντρωθούν σε εργασίες υψηλότερης αξίας.
Κάποια από αυτή την υπόσχεση είναι αληθινή. Ωστόσο, η τελευταία έρευνα της Gartner σχετικά με την κατηγορία δείχνει ότι οι περισσότεροι οργανισμοί που αξιολογούν αυτά τα εργαλεία κάνουν λάθος ερωτήσεις ή δεν κάνουν αρκετές από αυτές.
Σε πρόσφατη έκθεση της Gartner με τίτλο Επικυρώστε τις υποσχέσεις των πρακτόρων AI SOC με αυτές τις βασικές ερωτήσειςοι αναλυτές Craig Lawson και Andrew Davies παρουσιάζουν ένα δομημένο πλαίσιο αξιολόγησης για τους ηγέτες της κυβερνοασφάλειας που εξετάζουν την ανάπτυξη πρακτόρων AI SOC.
Το κεντρικό τους εύρημα είναι αποθαρρυντικό: ενώ το 70% των μεγάλων SOC αναμένεται να πιλοτάρουν πράκτορες τεχνητής νοημοσύνης για τις λειτουργίες Tier 1 και Tier 2 έως το 2028, μόνο το 15% θα επιτύχει μετρήσιμες βελτιώσεις χωρίς δομημένη αξιολόγηση. Μπορείτε να κατεβάσετε ένα συμπληρωματικό αντίγραφο του πλήρης αναφορά εδώ.
Αυτό το χάσμα μεταξύ της υιοθεσίας και των αποτελεσμάτων είναι τεράστιο, αν και εμπιστοσύνη. Υποδηλώνει ότι το πρόβλημα που αντιμετωπίζουν οι περισσότερες ομάδες ασφαλείας είναι λιγότερο σχετικά με το αν θα υιοθετήσουν την τεχνητή νοημοσύνη στο SOC και περισσότερο σχετικά με τον τρόπο διαχωρισμού της πραγματικής λειτουργικής βελτίωσης από τον θόρυβο του μάρκετινγκ.
Εδώ είναι οι βασικοί τομείς που συνιστά η Gartner να αξιολογηθούν και γιατί καθένας από αυτούς είναι κρίσιμος για την επιτυχία.
1. Μειώνει πραγματικά τη δουλειά που κάνει η ομάδα σας σήμερα;
Αυτό ακούγεται προφανές, αλλά η Gartner το πλαισιώνει προσεκτικά. Η πρώτη ερώτηση δεν είναι “τι μπορεί να κάνει αυτό το εργαλείο;” αλλά μάλλον “ποιες λειτουργίες SOC χειρίζεται σήμερα ο οργανισμός σας που είναι επαναλαμβανόμενες χρονικές καταβόθρες περιορισμένης αξίας για τη βελτίωση της ανίχνευσης, της έρευνας και της απόκρισης απειλών;”
Ένα εργαλείο μπορεί να επιδεικνύει εντυπωσιακές δυνατότητες σε ένα περιβάλλον επίδειξης, ενώ αντιμετωπίζει ροές εργασίας που έχει ήδη επιλύσει η ομάδα σας με άλλα μέσα. Η αξιολόγηση πρέπει να ξεκινά με τα λειτουργικά σας σημεία συμφόρησης και όχι από τη λίστα χαρακτηριστικών του προμηθευτή.
Η Gartner συνιστά επίσης να ρωτήσετε ποιες συγκεκριμένες εργασίες είναι οι καταλληλότερες για αύξηση και εάν η λύση έχει σχεδιαστεί ειδικά για συγκεκριμένους ρόλους SOC. Μια πλατφόρμα που έχει σχεδιαστεί γύρω από τη διαλογή ειδοποιήσεων και τη διερεύνηση θα προσεγγίσει το πρόβλημα διαφορετικά από μια πλατφόρμα που έχει σχεδιαστεί για τη δημιουργία κανόνων ροής εργασιών if/then.
Η κατανόηση αυτού του εύρους εκ των προτέρων αποτρέπει τις λανθασμένες προσδοκίες αργότερα.
Αυτή η έκθεση Gartner παρέχει στους ηγέτες της κυβερνοασφάλειας βασικά ερωτήματα και έναν ρεαλιστικό τρόπο αξιολόγησης των λύσεων AI SOC, διασφαλίζοντας ότι βελτιώνουν πραγματικά την αποτελεσματικότητα και τα λειτουργικά αποτελέσματα του προγράμματος Ανίχνευσης, Έρευνας και Απόκρισης απειλών (TDIR).
2. Πώς μετράτε τα αποτελέσματα πέρα από την “επεξεργασία ειδοποιήσεων”;
Οι μετρήσεις όγκου μπορεί να είναι παραπλανητικές. Η επεξεργασία 10.000 ειδοποιήσεων το μήνα σημαίνει πολύ λίγα εάν η ποιότητα της έρευνας υποβαθμιστεί ή εάν τα αληθινά θετικά στοιχεία ξεφύγουν.
Η Gartner τονίζει ότι η αξιολόγηση πρέπει να επικεντρώνεται στις βελτιώσεις Μετρήσεις TDIR και αποτελέσματα: μέσος χρόνος ανίχνευσης, μέσος χρόνος απόκρισης και ψευδώς θετική μείωση. Αλλά η έκθεση προχωρά παραπέρα, σημειώνοντας ότι τα ποιοτικά αποτελέσματα έχουν επίσης σημασία.
Το εργαλείο βελτιώνει την ικανοποίηση των αναλυτών; Οδηγεί σε καλύτερη εκτέλεση, όχι απλώς σε ταχύτερη εκτέλεση;
Η έκθεση τονίζει επίσης ότι ο μέσος χρόνος για περιορισμό (MTTC) θα πρέπει να είναι ο γενικός τελικός στόχος, καθώς ο περιορισμός είναι εκεί όπου ο κίνδυνος στην πραγματικότητα μειώνεται. Οποιαδήποτε συνομιλία προμηθευτή που σταματά με ταχύτητα διαλογής χωρίς να εξετάζει την ποιότητα της έρευνας και τα χρονοδιαγράμματα περιορισμού μεταγενέστερης ροής, αφήνει έξω το μέρος που έχει μεγαλύτερη σημασία.
Ζητήστε δείκτες αξιολόγησης πραγματικού κόσμου από περιβάλλοντα παρόμοια με τα δικά σας. Και ρωτήστε εάν αυτά τα σημεία αναφοράς συλλέχθηκαν κατά τη διάρκεια μιας απόδειξης της ιδέας ή σε συνεχή χρήση παραγωγής, επειδή αυτοί είναι συχνά πολύ διαφορετικοί αριθμοί.
3. Ο πωλητής θα είναι κοντά σε δύο χρόνια;
Αυτή η κατηγορία είναι πρώιμου σταδίου. Η έκθεση της Gartner περιγράφει μια αγορά με μεγάλο αριθμό νεοφυών επιχειρήσεων που χρησιμοποιούν διαφορετικές προσεγγίσεις και αρχές σχεδιασμού. Αυτή η ποικιλομορφία είναι υγιής για την καινοτομία, αλλά εισάγει τον κίνδυνο πωλητή που οι ηγέτες της κυβερνοασφάλειας πρέπει να αξιολογήσουν με ειλικρίνεια.
Η έκθεση συνιστά να ρωτήσετε πότε έγινε γενικά διαθέσιμη για πρώτη φορά η λύση ενός προμηθευτή, πώς είναι η τρέχουσα πελατειακή του βάση και ποια είναι η χρηματοδότηση και οι οικονομικές προοπτικές τους. Η Gartner προτείνει επίσης να αποδεχθούμε ότι οι εξαγορές σε αυτόν τον χώρο είναι πολύ πιθανές και να αντιμετωπίζουμε αυτή την πραγματικότητα ως κίνδυνο διαχείρισης τρίτου προμηθευτή παρά ως παράγοντα αποκλεισμού.
Τα μοντέλα τιμολόγησης αξίζουν επίσης έλεγχο. Ορισμένοι πράκτορες AI SOC τιμολογούν με βάση τον όγκο ειδοποιήσεων, άλλοι με βάση τον όγκο δεδομένων ή τη χρήση διακριτικών.
Το κόστος επεξεργασίας μεγάλου όγκου ειδοποιήσεων μέσω ενός συστήματος που υποστηρίζεται από LLM μπορεί να κλιμακωθεί με απροσδόκητους τρόπους και η Gartner προειδοποιεί συγκεκριμένα τους αγοραστές να κατανοήσουν πώς συμπεριφέρονται τα κόστη υπό φόρτωση.
4. Κάνει τους αναλυτές σας καλύτερους ή απλώς πιο απασχολημένους με διαφορετικό τρόπο;
Ένα από τα πιο διαφοροποιημένα τμήματα του πλαισίου της Gartner εστιάζει στην αύξηση και την αναβάθμιση των δεξιοτήτων των αναλυτών. Το ερώτημα δεν είναι μόνο αν η τεχνητή νοημοσύνη χειρίζεται ταχύτερα τη διαλογή. Η ταχύτητα δεν αμφισβητήθηκε ποτέ με το AI. Είναι αν η τεχνολογία ενισχύει την ανθρώπινη τεχνογνωσία με την πάροδο του χρόνου.
Η Gartner συνιστά να ρωτήσετε ποιοι πόροι εκπαίδευσης και ενεργοποίησης συνοδεύουν το εργαλείο, εάν η τεχνητή νοημοσύνη μπορεί να δημιουργήσει ευκαιρίες μάθησης για αναλυτές (όπως να προτείνει κυνήγι απειλών ή να προτείνει βέλτιστες πρακτικές) και εάν βοηθά στην εργασία μηχανικής ανίχνευσης.
Αυτό δημιουργεί μια ένταση στην αγορά AI SOC που δεν συζητείται αρκετά. Εάν η τεχνητή νοημοσύνη χειρίζεται όλο το ερευνητικό legwork, οι κατώτεροι αναλυτές αναπτύσσουν ποτέ τις δεξιότητες για να γίνουν ανώτεροι αναλυτές;
Οι καλύτερες υλοποιήσεις περνούν αυτή τη βελόνα παρουσιάζοντας τη συλλογιστική τους με τρόπο που διδάσκει ενώ διαλέγεται, δίνοντας στους αναλυτές μια διαφανή έρευνα για επανεξέταση και όχι μια δυαδική ετυμηγορία για αποδοχή.
Προφήτης Ασφάλεια, για παράδειγμα, δομεί τις έρευνές του για να δείξει κάθε ερώτημα, πηγή δεδομένων και αναλυτικό βήμα που έκανε η τεχνητή νοημοσύνη για να καταλήξει σε ένα συμπέρασμα. Αυτό δίνει στους κατώτερους αναλυτές ένα μοντέλο για τον τρόπο με τον οποίο οι έμπειροι ερευνητές προσεγγίζουν μια ειδοποίηση, και όχι απλώς μια απάντηση ναι-ή-όχι σε μια απλή απάντηση.
5. Ποια είναι τα όρια της αυτονομίας της τεχνητής νοημοσύνης;
Η Gartner κάνει μια χρήσιμη διάκριση μεταξύ των μοντέλων “human in the loop” και “human on the loop”. Το πρώτο απαιτεί ανθρώπινη έγκριση για κάθε ενέργεια. Το τελευταίο δίνει στην τεχνητή νοημοσύνη ευρύτερο περιθώριο δράσης, με ανθρώπινη εποπτεία σε στρατηγικό και όχι τακτικό επίπεδο.
Κανένα μοντέλο δεν είναι εγγενώς σωστό. Η σωστή απάντηση εξαρτάται από τη διάθεση του οργανισμού σας για κινδύνους, τις ρυθμιστικές απαιτήσεις και την ωριμότητα του εν λόγω συστήματος AI.
Αλλά το πλαίσιο της Gartner ωθεί τους αγοραστές να κάνουν συγκεκριμένες ερωτήσεις: Ποιες ενέργειες μπορεί να εκτελέσει ο πράκτορας αυτόνομα και ποιες απαιτούν ανθρώπινη έγκριση; Πώς επιβάλλετε προστατευτικά κιγκλιδώματα για αποφάσεις υψηλού αντίκτυπου όπως η απενεργοποίηση λογαριασμού ή η απομόνωση δικτύου; Μπορούν τα επίπεδα αυτονομίας να προσαρμοστούν με βάση τον τύπο εργασίας ή το επίπεδο κινδύνου;
Η έκθεση υπογραμμίζει επίσης τη σημασία των μηχανισμών ασφαλών αστοχιών. Όταν ένας πράκτορας τεχνητής νοημοσύνης αντιμετωπίζει ασάφεια ή αντικρουόμενα σήματα, θα πρέπει να προεπιλέγει κλιμάκωση αντί για δράση. Αυτή η φιλοσοφία σχεδιασμού έχει μεγαλύτερη σημασία από οποιοδήποτε μεμονωμένο χαρακτηριστικό, επειδή αντικατοπτρίζει τον τρόπο συμπεριφοράς του συστήματος στις άκρες, όπου μπορεί να προκληθεί πραγματική ζημιά.
6. Θα λειτουργήσει πραγματικά με την υπάρχουσα στοίβα σας;
Οι ισχυρισμοί ενσωμάτωσης είναι εύκολο να γίνουν και δύσκολο να επικυρωθούν. Το πλαίσιο της Gartner ζητά από τους αγοραστές να αξιολογήσουν το βάθος της εγγενούς ενσωμάτωσης σε πλατφόρμες SIEM, EDR, SOAR και ταυτότητας αντί να αποδέχονται έναν τοίχο λογότυπου στην ονομαστική τους αξία.
Η αναφορά εγείρει ένα ερώτημα που συχνά παραβλέπεται: η λύση απαιτεί συγκέντρωση δεδομένων ή μπορεί να λειτουργήσει σε οποιοδήποτε περιβάλλον ως λύση plug-and-play;
Για οργανισμούς με σύνθετες ή υβριδικές αρχιτεκτονικές, η διαφορά μεταξύ ενός εργαλείου που χρειάζεται όλα τα δεδομένα σας σε ένα μέρος και ενός εργαλείου που μπορεί να υποβάλει ερωτήματα σε πολλές πηγές δεδομένων ασφαλείας είναι επιχειρησιακά σημαντική.
7. Μπορείτε να δείτε πραγματικά τι κάνει;
Η διαφάνεια μπορεί να είναι το πιο σημαντικό κριτήριο αξιολόγησης σε ολόκληρο το πλαίσιο. Η Gartner ρωτά: Πώς η λύση παρέχει εξηγήσεις για αποφάσεις και ενέργειες που λαμβάνονται από τον πράκτορα AI; Προσφέρετε αναγνώσιμες από τον άνθρωπο μονοπάτια ελέγχου για κάθε αυτοματοποιημένη ενέργεια; Πώς χειρίζεστε ευαίσθητα δεδομένα και ποια στοιχεία ελέγχου αποτρέπουν την κακή χρήση του μοντέλου ή τη διαρροή δεδομένων;
Για τις ρυθμιζόμενες βιομηχανίες, αυτές δεν είναι καλές. Είναι απαιτήσεις. Αλλά ακόμη και οι οργανισμοί χωρίς αυστηρές εντολές συμμόρφωσης θα πρέπει να ενδιαφέρονται για την επεξήγηση, επειδή επηρεάζει άμεσα το αν οι αναλυτές εμπιστεύονται το εργαλείο αρκετά για να το υιοθετήσουν.
Ένας πράκτορας τεχνητής νοημοσύνης που βγάζει μια ετυμηγορία χωρίς να δείχνει τη δουλειά του, φέρνει τον αναλυτή σε μια άβολη θέση. Είτε αποδέχονται το συμπέρασμα για την πίστη, που είναι ριψοκίνδυνο, είτε επαναλαμβάνουν οι ίδιοι την έρευνα, κάτι που ανατρέπει τον σκοπό.
Αυτός είναι ο λόγος για τον οποίο ορισμένοι πωλητές στον χώρο έχουν υιοθετήσει αυτό που ισοδυναμεί με μια προσέγγιση “γυάλινου κουτιού”: τεκμηρίωση κάθε ερωτήματος που εκτελείται με βάση τις πηγές δεδομένων, τα συγκεκριμένα δεδομένα που ανακτώνται και τη λογική που χρησιμοποιείται για την επίτευξη ενός προσδιορισμού.
Ο Προφήτης Ασφάλεια το ονομάζει αυτό το χρονοδιάγραμμα της έρευνάς τους, όπου οι αναλυτές μπορούν να εντοπίζουν κάθε συμπέρασμα πίσω στα υποκείμενα στοιχεία αντί να εμπιστεύονται μια βαθμολογία εμπιστοσύνης.
Η έκθεση τονίζει ότι οι αγοραστές θα πρέπει να αναζητήσουν αυτού του είδους τη σαφή επεξήγηση, τον ασφαλή χειρισμό ευαίσθητων δεδομένων και τους μηχανισμούς ανθρώπινης ανατροφοδότησης που επηρεάζουν πραγματικά τη μελλοντική συμπεριφορά του συστήματος.
Η μεγαλύτερη εικόνα
Το πλαίσιο της Gartner είναι πολύτιμο ακριβώς επειδή αντιστέκεται στην παρόρμηση να ανακηρυχθούν νικητές σε μια κατηγορία που εξακολουθεί να διαμορφώνεται. Η ενότητα προειδοποιήσεων της έκθεσης προειδοποιεί για την υπερβολική εξάρτηση από ισχυρισμούς μάρκετινγκ, σημειώνει ότι η πλήρης αυτονομία δεν είναι βιώσιμη σήμερα και επισημαίνει το κρυφό κόστος γύρω από τα μοντέλα τιμολόγησης και την πολυπλοκότητα της ενσωμάτωσης.
Για τους ηγέτες ασφαλείας που αξιολογούν πράκτορες AI SOC, η λύση είναι απλή: η τεχνολογία έχει πραγματικές δυνατότητες να μειώσει τον φόρτο της έρευνας, να βελτιώσει τους χρόνους απόκρισης και να επεκτείνει την κάλυψη σε όγκους ειδοποίησης που οι ανθρώπινες ομάδες απλά δεν μπορούν να επεξεργαστούν χειροκίνητα. Αλλά η συνειδητοποίηση αυτού του δυναμικού απαιτεί το είδος της δομημένης αξιολόγησης με γνώμονα τα αποτελέσματα που παρακάμπτουν οι περισσότερες διαδικασίες αγοράς.
Ο Προφήτης Ασφάλεια το έχτισε agent AI SOC πλατφόρμα γύρω από πολλές από τις ίδιες αρχές που περιγράφει η Gartner σε αυτήν την έκθεση: διαφανείς έρευνες που δείχνουν κάθε βήμα της συλλογιστικής της AI, ενσωμάτωση σε εργαλεία SIEM, EDR, ταυτότητας και cloud χωρίς να απαιτείται συγκέντρωση δεδομένων και ένα μοντέλο ανθρώπου-on-the-loop όπου οι αναλυτές εξετάζουν τις ολοκληρωμένες έρευνες αντί για τις πρωτογενείς ειδοποιήσεις.
Η πλατφόρμα έχει σχεδιαστεί για να αυξάνει τις υπάρχουσες ομάδες, όχι να τις αντικαθιστά, ολοκληρώνοντας τις έρευνες μέσα σε λίγα λεπτά, ενώ παρέχει στους αναλυτές τα στοιχεία και το πλαίσιο που χρειάζονται για να λάβουν σίγουρες αποφάσεις.
Για οργανισμούς που επιθυμούν να εφαρμόσουν το πλαίσιο αξιολόγησης της Gartner στη δική τους διαδικασία αγοράς, η πλήρης έκθεση, Επικυρώστε τις υποσχέσεις των πρακτόρων AI SOC με αυτές τις βασικές ερωτήσειςείναι διαθέσιμο για λήψη.
Λάβετε την αναφορά εδώ για πρόσβαση και στις επτά κατηγορίες αξιολόγησης, συμπεριλαμβανομένης λεπτομερούς καθοδήγησης σχετικά με το τι πρέπει να αναζητήσετε στις απαντήσεις των προμηθευτών.
Χορηγός και γραμμένος από Προφήτης Ασφάλεια.
VIA: bleepingcomputer.com
