By Pete Shoard, VP analyst at Gartner
Monitoring the wide range of security issues thrown at organisations continues to create scaling headaches for many security operations teams. The more issues that need to be monitored, the more data, people, technology and operations are required. The sheer number of alerts, and the work required to handle them, causes many security operations to stall.
Automation offers the opportunity to solve some of these challenges, but it isn’t necessarily a cure-all by itself. Organisations can’t simply “deploy automation” in their security operations centres (SOCs) and solve the scale problem. While new threats evolve and technologies emerge, the requirements for manual intervention will change, but never be completely removed.
Achieving complete automation is impossible because it would require flawless accuracy, which is unobtainable. The fast pace of change means that by the time teams have managed to automate something, 10 new problems will have arisen. The notion that the human contribution to SOC responsibilities can be replaced entirely isn’t realistic.
Using AI along with automation within the SOC is inevitable, as the vast areas of log data, complex investigational methods, difficult to spot patterns and wide-ranging skills requirements continue to get harder to manage.
While AI and automation are unlikely to deliver full autonomy, they will create much-needed scalability, particularly to augment roles within the SOC, and to adapt to future requirements without necessitating significant overhauls.
Realising more impactful results
Automation and AI are already changing executive perceptions around what is plausible or practical within security operations teams. However, avoid making them the focus of the strategy.
Instead, develop strategies that focus on achieving hyperscale in security operations processes, improving the efficiency of the team through various projects and implementing both AI and automation. Gartner predicts 25% of common SOC tasks will become 50% more cost efficient by 2027 due to automation enhancements and hyperscaling strategies.
SOC initiatives that focus on task and workflow optimisation, as opposed to end-to-end automation, realise more impactful results. It’s more realistic to aim to scale SOC roles, such as incident investigator in areas like alert contextualisation, rather than replace the entire workflow or role.
The potential for budget allocation shifts from operational security tools to automation-driven solutions and those that promote the use of AI is high. So expand budgets to include AI capabilities, or seek vendors that can do both automation and AI within a singular solution.
The rise of GenAI
Security operations teams have been inundated with the promises of GenAI, particularly how it will help close gaps like manning shortfalls and detection and response capabilities. However, Gartner predicts that 30% of SOC leaders will have failed in their efforts to integrate GenAI into production processes by 2027 due to inaccuracies and hallucinations in outputs.
Very few organisations have factored in the use of GenAI when building new procedures to process alerts and incidents generated by security operations tools. This lack of planning means there are inadequate compensations for validating outputs and actions taken that may be influenced by GenAI’s inaccuracies.
There is also a lack of focus on measuring the value and impact of GenAI in SOC processes. This means organisations can’t justify the effective spend on GenAI capabilities, leading to significant time spent retroactively analysing the value provided.
It’s important to measure existing SOC processes, staffing and technology costs, before embarking on an AI SOC initiative. Understanding the potential savings will be useful in any business case and provide a benchmark to compare future value gained by using AI.
Build versus buy AI
Security operations teams have seen lacklustre results from mature AI-based technologies like user and entity behaviour analytics. This has led organisations to either abandon these products or build specific detection capabilities to suit their needs.
Gartner predicts 45% of SOCs will reevaluate their build-versus-buy decisions for AI detection technology by 2027, with an emphasis on enhancing security analyst capabilities.
Integration of custom-built AI detection technology with pre-existing security tools and systems can substantially enhance an organisation’s overall security posture. When AI systems are fully compatible with current tools and platforms, they can operate synergistically, leveraging the strengths of traditional and advanced technologies.
Evaluating the financial, operational and strategic implications of building versus buying AI-driven technology is essential, so too is having the requisite skill sets for the undertaking.
Erosion of security skills
Business leaders pushing for more automation and AI within security operations to reduce cost and gain efficiencies, will lead to the decline of foundational security analysis skills. As a result, Gartner predicts 75% of SOC teams will experience erosion in these skills by 2030.
Security learning, development and certification programs will also shift away from on-the-job training to offer more data entry and automation process development. In addition, human threat and incident analysis expertise will be concentrated at vendors and outsourced providers.
Organisations must engage with their security analysts now to determine what they want their role to be if AI and automation security solutions are implemented. Discuss the real possibility of skill erosion due to AI, identify where human-led SOC functions persist and how to transition SOC analysts to roles that require more human-in-the-loop decision making.
In addition, a business case should be prepared for maintaining an insourced SOC to counter pressure from business leadership, whereby humans retain an advantage over machines regarding organisational knowledge, intangible office dynamics and intuitive decision making.
เขียนโดย Pete Shoard รองประธานนักวิเคราะห์ของการ์ทเนอร์
ภัยคุกคามไซเบอร์ที่พัฒนาอย่างรวดเร็ว กำลังสร้างแรงกดดันอย่างหนักให้กับทีมปฏิบัติการด้านความปลอดภัย เนื่องจากการขยายขนาดการทำงานเพื่อรับมือกับภัยคุกคามรูปแบบใหม่ ๆ ต้องใช้ทรัพยากรมหาศาลทั้งบุคลากร เทคโนโลยี และงบประมาณ หากปรับตัวได้ไม่ทันกับการแจ้งเตือนปริมาณมหาศาล และสิ่งที่ต้องทำเพื่อจัดการกับปัญหาเหล่านั้น องค์กรอาจต้องเผชิญกับความเสี่ยงด้านความปลอดภัยที่สูงขึ้น และอาจส่งผลให้ปฏิบัติการด้านความปลอดภัยจำนวนมากหยุดชะงัก
ระบบอัตโนมัติ (Automation) มอบโอกาสในการเพิ่มประสิทธิภาพให้กับทีมงานเพื่อรับมือกับความท้าทายได้จริง แต่ไม่ใช่คำตอบสุดท้ายทั้งหมด องค์กรไม่สามารถแก้ไขปัญหาหรือปรับขนาดการป้องกันได้เพียง “ติดตั้งระบบอัตโนมัติ” ในศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) เท่านั้น เพราะภัยคุกคามและเทคโนโลยีนั้นเปลี่ยนแปลงอยู่เสมอ ทำให้ข้อกำหนดในการทำงานของมนุษย์เปลี่ยนตามไปด้วย และยังไม่สามารถลดบทบาทของมนุษย์ออกไปได้อย่างสิ้นเชิง
ระบบอัตโนมัติที่ทำงานสมบูรณ์แบบนั้นเป็นไปไม่ได้ เพราะจะต้องมีความแม่นยำอย่างไร้ที่ติ ซึ่งเป็นสิ่งที่ทำไม่ได้ โดยการเปลี่ยนแปลงที่เป็นไปอย่างรวดเร็วนั้นหมายความถึงว่าเมื่อทีมจัดการทำให้บางอย่างให้เป็นอัตโนมัติแล้ว ปัญหาใหม่ ๆ อีกเป็น 10 อย่างจะเกิดขึ้นตามมา ฉะนั้นแนวคิดที่มองว่าการมีส่วนร่วมของมนุษย์ในความรับผิดชอบของศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) จะสามารถถูกแทนที่ได้อย่างสมบูรณ์นั้นไม่เป็นความจริง
การใช้ AI ทำงานร่วมกับระบบอัตโนมัติภายใน SOC เป็นสิ่งที่หลีกเลี่ยงไม่ได้ เนื่องจากมีข้อมูลบันทึก (Log Data) ขนาดใหญ่ วิธีการสืบสวนที่ซับซ้อน จับรูปแบบได้ยาก และข้อกำหนดด้านทักษะที่หลากหลายยังคงจัดการได้ยากขึ้นเรื่อย ๆ
แม้ว่า AI และระบบอัตโนมัติไม่สามารถมอบความเป็นอิสระได้อย่างเต็มที่ แต่จะสร้างความสามารถในการขยายขนาดที่จำเป็นอย่างมาก โดยเฉพาะอย่างยิ่งเพื่อเสริมบทบาทภายใน SOC และปรับตัวให้เข้ากับข้อกำหนดในอนาคตโดยไม่จำเป็นต้องปรับปรุงครั้งใหญ่
การบรรลุผลลัพธ์ที่มีผลกระทบมากขึ้น
ระบบอัตโนมัติและ AI กำลังเปลี่ยนแปลงการรับรู้ของผู้บริหารเกี่ยวกับสิ่งที่เป็นไปได้หรือปฏิบัติได้จริงภายในทีมปฏิบัติการด้านความปลอดภัย อย่างไรก็ตามควรหลีกเลี่ยงการทำให้สิ่งเหล่านี้เป็นศูนย์กลางกลยุทธ์
ในทางกลับกันการพัฒนากลยุทธ์ที่มุ่งเน้นไปยังการขยายศักยภาพการทำงานอย่างก้าวกระโดดในกระบวนการปฏิบัติการด้านความปลอดภัย การปรับปรุงประสิทธิภาพของทีมผ่านโครงการต่าง ๆ และเสริมด้วยการใช้ทั้ง AI และระบบอัตโนมัติ การ์ทเนอร์คาดการณ์ว่า 25% ของงาน SOC พื้นฐานจะประหยัดต้นทุนได้มากขึ้น 50% ภายในปี 2027 เนื่องจากการปรับปรุงระบบอัตโนมัติและกลยุทธ์ด้าน Hyperscaling
ความคิดริเริ่มของ SOC ที่มุ่งเน้นการเพิ่มประสิทธิภาพงานและขั้นตอนการทำงาน แทนที่จะเป็นระบบอัตโนมัติแบบ End-to-End จะได้ผลลัพธ์ที่มีผลกระทบสำคัญมากขึ้น จากการตั้งเป้าหมายในการขยายบทบาทของ SOC อาทิ การสืบสวนเหตุการณ์ต่าง ๆ เช่น การให้บริบทการแจ้งเตือนแทนการให้ข้อมูลเป็นขั้นตอนการทำงานหรือบทบาททั้งหมด
ศักยภาพในการเปลี่ยนแปลงการจัดสรรงบประมาณจากเครื่องมือรักษาความปลอดภัยในการปฏิบัติงานไปสู่โซลูชันที่ขับเคลื่อนด้วยระบบอัตโนมัติและโซลูชันที่ส่งเสริมการใช้ AI นั้นมีสูง ดังนั้นควรขยายงบประมาณเพื่อรวมความสามารถของ AI หรือมองหาผู้ขายที่สามารถทำได้ทั้งระบบอัตโนมัติและ AI ภายในโซลูชันเดียวได้
การก้าวขึ้นมาของ GenAI
GenAI ให้คำมั่นสัญญามากมายกับทีมปฏิบัติการด้านความปลอดภัยโดยเฉพาะอย่างยิ่งการจะช่วยปิดช่องว่างต่าง ๆ เช่น การขาดแคลนกำลังคนและความสามารถในการตรวจจับและตอบสนอง อย่างไรก็ตาม การ์ทเนอร์คาดการณ์ว่า 30% ของผู้นำ SOC จะล้มเหลวในความพยายามที่จะรวม GenAI เข้ากับกระบวนการผลิตภายในปี 2027 เนื่องมาจากความไม่ถูกต้องและภาพลวงตา (Hallucinations) จากผลลัพธ์ที่ได้
มีองค์กรไม่กี่แห่งที่พิจารณานำ GenAI มาใช้สร้างขั้นตอนใหม่ในการประมวลผลการแจ้งเตือนและเหตุการณ์ที่สร้างโดยเครื่องมือปฏิบัติการด้านความปลอดภัย ซึ่งการขาดการวางแผนนี้หมายความว่าการชดเชยที่ไม่เพียงพอสำหรับการตรวจสอบผลลัพธ์และการดำเนินการที่อาจได้รับอิทธิพลจากความไม่ถูกต้องของ GenAI
ยังขาดการให้ความสำคัญกับการวัดมูลค่าและผลกระทบของ GenAI ในกระบวนการต่าง ๆ ของ SOC ซึ่งหมายความว่าองค์กรไม่สามารถพิสูจน์ประสิทธิภาพการใช้จ่ายไปกับความสามารถของ GenAI ได้ ซึ่งนำไปสู่การใช้เวลาอย่างมากเพื่อย้อนกลับไปวิเคราะห์มูลค่าที่ได้รับ
กระบวนการของ SOC ที่มีอยู่เดิม ต้นทุนด้านบุคลากรและเทคโนโลยี ถือเป็นสิ่งสำคัญ ก่อนการเริ่มคิดถึงโครงการ AI SOC โดยการทำความเข้าใจถึงศักยภาพของการประหยัดนั้นจะเป็นประโยชน์กับกรณีทางธุรกิจใด ๆ และสามารถใช้เป็นเกณฑ์มาตรฐานเพื่อเปรียบเทียบมูลค่าที่ได้รับจากการใช้ AI ในอนาคต
เปรียบเทียบระหว่างการสร้างกับการซื้อ AI
ทีมงานปฏิบัติการด้านความปลอดภัยได้เห็นผลลัพธ์ที่ไม่ดีนักจากเทคโนโลยี AI ที่พัฒนาไปจนสุดแล้ว เช่น การวิเคราะห์พฤติกรรมผู้ใช้และระบบภายในองค์กร (User and Entity Behavior Analytics) สิ่งนี้ทำให้องค์กรละทิ้งผลิตภัณฑ์เหล่านี้หรือสร้างความสามารถในการตรวจจับเฉพาะเพื่อให้เหมาะกับความต้องการของตนเอง
การ์ทเนอร์คาดการณ์ว่า 45% ของ SOC จะประเมินการตัดสินใจระหว่างการพัฒนาเทียบกับการซื้อเทคโนโลยีการตรวจจับ AI ใหม่ภายในปี 2027 โดยเน้นที่การปรับปรุงความสามารถของการวิเคราะห์ความปลอดภัย
การหลอมรวมเทคโนโลยีการตรวจจับ AI ที่สร้างขึ้นเอง เข้ากับเครื่องมือและระบบรักษาความปลอดภัยที่มีอยู่เดิมสามารถปรับปรุงกระบวนการด้านความปลอดภัยโดยรวมขององค์กรได้อย่างมาก เมื่อระบบ AI เข้ากันได้อย่างสมบูรณ์กับเครื่องมือและแพลตฟอร์มปัจจุบัน ระบบเหล่านี้จะสามารถทำงานร่วมกันได้โดยใช้ประโยชน์จากจุดแข็งของเทคโนโลยีแบบดั้งเดิมและเทคโนโลยีขั้นสูง
การประเมินผลกระทบทางการเงิน การปฏิบัติงานและกลยุทธ์ที่มีความสัมพันธ์กันของการสร้างเทียบกับการซื้อเทคโนโลยีที่ขับเคลื่อนด้วย AI เป็นสิ่งสำคัญ เช่นเดียวกับการมีชุดทักษะที่จำเป็นสำหรับการดำเนินการ
ทักษะด้านความปลอดภัยที่กร่อนหายไป
ผู้นำธุรกิจที่ผลักดันให้มีระบบอัตโนมัติและ AI มากขึ้น ภายในปฏิบัติการด้านความปลอดภัยเพื่อลดต้นทุนและเพิ่มประสิทธิภาพ จะนำไปสู่การลดลงของทักษะการวิเคราะห์ความปลอดภัยขั้นพื้นฐาน ด้วยเหตุนี้ การ์ทเนอร์จึงคาดการณ์ว่า 75% ของทีมงาน SOC จะประสบกับการกร่อนหายไปของทักษะเหล่านี้ ภายในปี 2030
โปรแกรมการเรียนรู้ การพัฒนา และการรับรองด้านความปลอดภัยจะเปลี่ยนจากการฝึกอบรมระหว่างปฏิบัติงานไปสู่การนำเสนอแนวทางการป้อนข้อมูลและการพัฒนากระบวนการอัตโนมัติมากขึ้น นอกจากนี้ ความเชี่ยวชาญด้านการวิเคราะห์ภัยคุกคามและเหตุการณ์ที่เกิดจากมนุษย์จะกระจุกตัวอยู่ที่ผู้ขายและผู้ให้บริการภายนอกเท่านั้น
องค์กรต้องมีส่วนร่วมกับนักวิเคราะห์ความปลอดภัยของตนในตอนนี้เพื่อกำหนดบทบาทความต้องการให้กับพวกเขาอย่างชัดเจน หากมีการใช้โซลูชันความปลอดภัยของ AI และระบบอัตโนมัติ โดยการหารือถึงความเป็นไปได้ที่แท้จริงของการกัดกร่อนทักษะอันเนื่องมาจาก AI พร้อมระบุว่าฟังก์ชัน SOC ที่นำโดยมนุษย์ยังคงมีอยู่ในจุดไหน รวมถึงวิธีเปลี่ยนบทบาทนักวิเคราะห์ SOC ไปสู่งานที่ต้องใช้การตัดสินใจของมนุษย์ตามแนวทาง Human-in-the-Loop มากขึ้น
นอกจากนี้ ควรจัดทำกรณีทางธุรกิจเพื่อบำรุงรักษาศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) จากภายใน เพื่อตอบโต้แรงกดดันจากผู้นำธุรกิจ ซึ่งมนุษย์ยังคงได้เปรียบเหนือเครื่องจักรในด้านความรู้ขององค์กร พลวัตสำนักงานที่จับต้องไม่ได้และการตัดสินใจโดยสัญชาตญาณ
