Từ quá tải đến hiệu quả - cách AI biến đổi hoạt động của SOC

Viện SANS đã bình luận rằng, do hệ quả của vấn đề này: Chúng tôi liên tục thấy các tổ chức vật lộn với việc tuyển dụng và giữ chân nhân viên, vì nhiều chuyên gia phân tích SOC phải làm việc quá sức, họ thường tìm cách nhảy việc hoặc rời bỏ hoàn toàn lĩnh vực này.

Và một báo cáo năm 2024 của Osterman Research cho thấy, các Trung tâm điều hành bảo mật (SOC) đang phải đối mặt với số lượng cảnh báo mỗi ngày một gia tăng. 97% tổ chức nhận thấy số lượng cảnh báo được tạo ra tăng lên so với cùng kỳ năm ngoái.

Tình trạng kiệt sức của đội ngũ SOC đang trở thành một vấn đề bảo mật nghiêm trọng, nhưng với sự trợ giúp là trí tuệ nhân tạo (AI), bằng cách tự động hóa các tác vụ thông thường, lọc ra các kết quả cảnh báo nhầm... có thể giảm tình trạng kiệt sức và nâng hiệu quả tổng thể của các nhóm SOC.

Tại sao xảy ra tình trạng kiệt sức của đội ngũ SOC?

Sự gia tăng các cảnh báo hàng ngày - theo báo cáo của Osterman Research - là quá sức đối với các chuyên gia phân tích chịu trách nhiệm phân loại và điều tra. Điều này càng trở nên trầm trọng hơn do tồn đọng các cảnh báo và sự cố chưa được giải quyết ngày càng tăng.

Ví dụ: Báo cáo cho thấy 89,6% tổ chức đang gặp phải công việc bảo mật tồn đọng ngày càng gia tăng và khi số lượng cảnh báo tăng lên, áp lực đối với các nhóm SOC trong việc quản lý cũng tăng theo.

Tuy nhiên, chỉ với 19% cảnh báo thường được giải quyết, khối lượng công việc trở thành một vòng luẩn quẩn, dẫn đến áp lực không ngừng đặt lên các chuyên gia phân tích liên quan.

Không có gì ngạc nhiên khi Viện SANS nói rằng: Vòng lặp không ngừng này đối với các chuyên gia bảo mật dẫn đến một vấn đề nghiêm trọng khác. Khi có sự thay đổi nhân viên liên tục sẽ làm gián đoạn quy trình làm việc của SOC và cuối cùng là hiệu quả của SOC, có khả năng khiến tổ chức gặp rủi ro gia tăng.

Nếu đội ngũ SOC của bạn không thể thoát khỏi sự gián đoạn này tội phạm mạng lọt qua kẽ hở. Đó là một vòng lặp mà chúng ta dường như khó mà thoát ra. Nhưng chúng ta phải thoát ra chắc chắn là như vậy.

Câu hỏi đặt ra là, bạn có thể làm gì trong điều kiện thực tế để giảm bớt những loại vấn đề này?

Giảm tình trạng kiệt sức và nâng cao hiệu quả của SOC, Vladislav Tushkanov, Quản lý nhóm tại Trung tâm nghiên cứu công nghệ AI của Kaspersky cho biết: Một cách rõ ràng để giảm tình trạng kiệt sức SOC là giúp các chuyên gia phân tích SOC của bạn bằng cách tự động hóa các tác vụ thông thường như phân loại cảnh báo và điều tra.

Quá nhiều chuyên gia phân tích dành quá nhiều thời gian cho các tác vụ có tính chất lặp lại, có thể dễ dàng tự động hóa. Điều này có thể gây tình trạng "chán nản" cũng như kiệt sức, khiến các tác vụ quan trọng hơn bị bỏ sót hoặc chưa hoàn thành và làm tăng nguy cơ của các mối đe dọa nguy hiểm gây hại cho tổ chức của bạn.

Như KPMG lưu ý

AI cho phép tự động hóa hiệu quả nhiều tác vụ thủ công hiện đang do con người thực hiện, dẫn đến giảm thời gian dành cho các tác vụ này và sử dụng nguồn nhân lực hiệu quả hơn. Việc sử dụng các thuật toán máy học (ML) giúp máy tính tìm ra mẫu và phát hiện sự bất thường nhanh hơn con người, đồng nghĩa với tỷ lệ phát hiện hoạt động độc hại và các mối đe dọa cao hơn đối với cơ sở hạ tầng mạng hoặc quyền riêng tư dữ liệu của doanh nghiệp bạn.

AI cũng cho phép các tổ chức ứng phó hiệu quả hơn với các mối đe dọa, giảm thiểu gián đoạn của hoạt động kinh doanh, đồng thời giúp bảo vệ tài sản giá trị không bị tin tặc xâm nhập hoặc các tác nhân độc hại khác đang tìm kiếm thông tin nhạy cảm như số thẻ tín dụng hoặc số an sinh xã hội.

Tushkanov bổ sung

Nhiều trung tâm SOC đang tìm cách giảm khối lượng công việc của chuyên gia phân tích với sự trợ giúp của ML bằng cách nâng cao hiệu quả phân loại và phát triển tự động hóa tác vụ bằng cách lọc ra các kết quả dương tính giả từ luồng cảnh báo kết quả.

Một cách hiệu quả để đạt được điều này là thông qua "chuyên gia phân tích tự động" dựa trên AI một mô hình ML được giám sát, học hỏi từ các cảnh báo do nhóm SOC xử lý, sau đó cố gắng sao chép hành vi của họ một cách độc lập.

Việc giảm số lượng cảnh báo đòi hỏi sự điều tra của các chuyên gia phân tích thuộc SOC không chỉ tiết kiệm tài nguyên nhóm mà còn xử lý các cảnh báo thông thường, điển hình nhất, cho phép các chuyên gia phân tích SOC tập trung vào các trường hợp thú vị nhất, đòi hỏi các chuyên gia con người điều tra sâu hơn.

Cách Kaspersky có thể trợ giúp

AI và ML được sử dụng rộng rãi trong các giải pháp bảo mật mạng của Kaspersky, với sự phát triển liên tục của các công nghệ này được thúc đẩy bởi Trung tâm nghiên cứu công nghệ AI của Kaspersky, chuyên phụ trách nhiệm vụ này.

Tushkanov giải thích: Kaspersky AI Technology Research tập trung vào các giải pháp và phát hiện mối đe dọa dựa trên AI, bảo mật mạng AI và nghiên cứu GenAI.

Giải pháp này bao gồm: Áp dụng khoa học dữ liệu và thuật toán AI để phát hiện các mối đe dọa mạng như phần mềm độc hại, thư rác, lừa đảo và các cuộc tấn công có chủ đích đến chấm điểm rủi ro AI, giúp làm nổi bật hành vi máy chủ đáng ngờ dựa trên dữ liệu tương quan trong các sản phẩm như XDR và SIEM.

Chúng tôi cũng tham gia vào nhiều hoạt động phát triển như nghiên cứu các phương pháp ứng dụng GenAI để phát triển các công cụ dựa trên LLM cho hoạt động bảo mật; tạo công cụ phân tích hành vi và phát hiện bất thường dựa trên Al cho môi trường công nghiệp CNTT- CNVH và xây dựng cách tiếp cận, phương pháp và giải pháp AI an toàn, tất cả đều mang lại lợi ích cho đối tác và khách hàng của chúng tôi./.

PV