Rozwój agentów AI w SOC

Organizacja Cloud Security Alliance opublikowała raport „Beyond the Hype: A Benchmark Study of AI Agents in the SOC” (Poza szumem medialnym: badanie porównawcze agentów AI w SOC). W badaniu oceniono wyniki pracy analityków SOC wspomaganych przez sztuczną inteligencję w porównaniu z tradycyjnymi, ręcznymi zespołami dochodzeniowymi.

Najważniejsze wnioski

W badaniu wzięło udział 148 uczestników o różnym poziomie doświadczenia w zakresie SOC i reagowania na incydenty, podzielonych na dwie grupy:

➡️ Analitycy wspomagani przez sztuczną inteligencję, korzystający z Dropzone AI.

➡️ Analitycy ręczni, korzystający ze standardowych narzędzi (AWS GuardDuty i Microsoft Sentinel).

Foto: https://pl.freepik.com/

Każdy uczestnik zajmował się dwoma symulowanymi incydentami bezpieczeństwa:

➡️ Próba przejęcia zasobów z zasobnika AWS S3.

➡️ Scenariusz nieudanego logowania metodą brute force w Microsoft Entra.

Wyniki pokazują, że rozwiązania wspomagane sztuczną inteligencją:

✅są o 23,9% dokładniejsze w identyfikowaniu prawidłowych działań niż analitycy pracujący ręcznie,

✅ są o 45–61% szybsze w przeprowadzaniu dochodzeń w różnych scenariuszach.

✅Większą spójność i mniejsze zmęczenie — mniej spadków kompletności i szczegółowości raportów w różnych zadaniach.

✅94% analityków zgłosiło bardziej pozytywne nastawienie do sztucznej inteligencji po praktycznym doświadczeniu.

Szybkość dochodzenia:

➡️ Analitycy wspomagani sztuczną inteligencją wykonali zadania w ciągu 30–58 minut, w porównaniu z 1–1,5 godziny w przypadku pracy ręcznej — czyli nawet o 61% szybciej.

➡️ Agenci wspomagani przez sztuczną inteligencję pomogli analitykom w podejmowaniu bardziej trafnych decyzji i zachowaniu dokładności.

➡️ Wydajność analityków pracujących ręcznie spadła o 29%, podczas gdy zespoły wspomagane przez sztuczną inteligencję odnotowały spadek tylko o 16%, wykazując odporność na zmęczenie poznawcze.

➡️ Raporty sporządzane wyłącznie przez ludzi straciły 20–27% swojej długości i szczegółowości przy drugim zadaniu, podczas gdy analitycy wspomagani przez sztuczną inteligencję utrzymywali lub poprawiali szczegółowość swojej dokumentacji.

➡️ 94% stwierdziło, że narzędzia AI przyspieszyły ich pracę, a 100% opisało agenta AI SOC jako wydajnego.

Zawsze byłem zdecydowanym zwolennikiem automatyzacji w dziedzinie cyberbezpieczeństwa, ale zawsze z zachowaniem ostrożności — zwłaszcza dbając o to, aby w procesie nadal uczestniczył człowiek.

W niniejszym raporcie szczególnie interesujące jest to, że agenci AI mogą stanowić praktyczną pomoc dla ludzi. Ludzie nadal byli nieco szybsi pod względem średniego czasu dochodzenia, ale AI dorównywała im lub przewyższała ich pod względem dokładności wymaganych działań, obsługi scenariuszy i kompletności dokumentacji. Pokazuje to ogromne możliwości modernizacji SOC. W środowisku, w którym mamy do czynienia z:

➡️ rosnącą liczbą ataków,

➡️ ograniczoną liczbą pracowników zajmujących się cyberbezpieczeństwem,

➡️ oraz rosnącą złożonością systemów,

➡️ asystenci SOC oparci na sztucznej inteligencji mogą stać się nieodzowni.

➡️ badanie dowodzi również, że sztuczna inteligencja może poprawić morale i postrzeganie analityków — 94% uczestników po przeprowadzeniu testów w rzeczywistych warunkach miało bardziej pozytywne nastawienie do sztucznej inteligencji.

Link

Autor: Sebastian Burgemejster