Il SOC aziendale medio riceve 10.000 avvisi al giorno. Ciascuno richiede Da 20 a 40 minuti per indagare adeguatamente, ma anche le squadre dotate di personale completo riescono a gestirne solo il 22%. Più di Il 60% dei team di sicurezza ha ammesso di ignorare gli avvisi che in seguito si rivelò fondamentale.
Gestire un SOC efficiente non è mai stato così difficile e ora il lavoro stesso sta cambiando. Le attività degli analisti di livello 1, come il triage, l’arricchimento e l’escalation, stanno diventando funzioni software program e sempre più crew SOC si rivolgono advert agenti IA supervisionati per gestire il quantity. Gli analisti umani stanno cambiando le loro priorità per indagare, rivedere e prendere decisioni sui casi limite. I tempi di risposta si stanno riducendo.
Tuttavia, la mancata integrazione della visione e dell’intuizione umana comporta un costo elevato. Gartner prevede oltre il 40% dei progetti di IA agentica verranno cancellati entro la high quality del 2027, i cui principali fattori saranno il valore aziendale poco chiaro e una governance inadeguata. Gestire correttamente la gestione del cambiamento e assicurarsi che l’intelligenza artificiale generativa non diventi un agente di caos nel SOC sono ancora più importanti.
Perché il modello SOC legacy deve cambiare
Oggi il burnout è così grave in molti SOC che gli analisti senior stanno valutando cambiamenti di carriera. I SOC legacy che dispongono di più sistemi che forniscono avvisi contrastanti e i numerosi sistemi che non riescono a comunicare tra loro stanno rendendo il lavoro una ricetta per il burnout e la pipeline dei talenti non può riempirsi più velocemente di quanto il burnout la svuoti.
Documenti del International Risk Report 2025 di CrowdStrike tempi di breakout rapidi fino a 51 secondi e ha scoperto che il 79% delle intrusioni sono ora prive di malware. Gli aggressori si affidano invece all’abuso di identità, al furto di credenziali e alle tecniche di vivere fuori terra. Il triage manuale costruito per cicli di risposta orari non può competere.
Come Matthew Sharp, CISO di Xactly, ha detto a CSO Online: “Gli avversari stanno già utilizzando l’intelligenza artificiale per attaccare alla velocità delle macchine. Le organizzazioni non possono difendersi dagli attacchi guidati dall’intelligenza artificiale con risposte alla velocità umana.”
Come l’autonomia limitata comprime i tempi di risposta
Le implementazioni SOC che comprimono i tempi di risposta condividono un modello comune: autonomia limitata. Gli agenti IA gestiscono automaticamente il triage e l’arricchimento, ma gli esseri umani approvano le azioni di contenimento quando la gravità è elevata. Questa divisione dei processi lavorativi avvisa il quantity alla velocità della macchina, mantenendo al contempo il giudizio umano sulle decisioni che comportano rischi operativi.
Il rilevamento basato su grafici modifica il modo in cui i difensori vedono la rete. I SIEM tradizionali mostrano eventi isolati. I database grafici mostrano le relazioni tra tali eventi, consentendo agli agenti di intelligenza artificiale di tracciare i percorsi di attacco invece di classificare gli avvisi uno alla volta. Un accesso sospetto appare diverso quando il sistema rileva che l’account si trova a due hop dal controller di dominio.
I guadagni di velocità sono misurabili. L’intelligenza artificiale comprime i tempi di indagine sulle minacce aumentando al tempo stesso la precisione rispetto alle decisioni degli analisti senior. Implementazioni separate mostrano che il triage basato sull’intelligenza artificiale raggiunge oltre il 98% di accordo con le decisioni degli esperti umani, riducendo al contempo i carichi di lavoro manuali di oltre 40 ore settimanali. La velocità non significa nulla se la precisione diminuisce.
ServiceNow e Ivanti segnalano un passaggio più ampio alle operazioni IT tramite agenti
Gartner prevede che l’intelligenza artificiale multi-agente nel rilevamento delle minacce aumenterà dal 5% al 70% di implementazioni entro il 2028. ServiceNow ha speso circa 12 miliardi di dollari in acquisizioni di sicurezza solo nel 2025. Ivanti, che ha compresso una roadmap di tre anni per il rafforzamento del kernel in 18 mesi dopo che gli aggressori a livello nazionale ne hanno convalidato l’urgenza, ha annunciato funzionalità di intelligenza artificiale per la gestione dei servizi IT, portando il modello di autonomia limitata che rimodella i SOC al service desk. L’anteprima per i clienti verrà lanciata nel primo trimestre, con disponibilità generale più avanti nel 2026.
I carichi di lavoro che danneggiano i SOC stanno danneggiando anche i service desk. Robert Hanson, CIO di Grand Financial institution, si è trovato advert affrontare gli stessi vincoli che i chief della sicurezza conoscono bene. “Siamo in grado di fornire supporto 24 ore su 24, 7 giorni su 7, consentendo al nostro service desk di concentrarsi su sfide complesse”, ha affermato Hanson. Copertura continua senza organico proporzionale. Questo risultato sta favorendo l’adozione da parte dei servizi finanziari, della sanità e del governo.
Tre confini di governance per un’autonomia limitata
L’autonomia limitata richiede confini di governance espliciti. I crew dovrebbero specificare tre cose: su quali categorie di avviso gli agenti possono agire in modo autonomo, quali richiedono la revisione umana indipendentemente dal punteggio di confidenza e quali percorsi di escalation si applicano quando la certezza scende al di sotto della soglia. Gli incidenti di elevata gravità richiedono l’approvazione umana prima del contenimento.
Avere una governance in atto prima di implementare l’intelligenza artificiale nei SOC è fondamentale se un’organizzazione vuole ottenere i vantaggi in termini di tempo e contenimento che questa ultima generazione di strumenti ha da offrire. Quando gli avversari utilizzano l’intelligenza artificiale come arma ed estraggono attivamente le vulnerabilità CVE più velocemente di quanto rispondono i difensori, il rilevamento autonomo diventa la nuova posta in gioco per rimanere resilienti in un mondo zero belief.
Il percorso da seguire per i chief della sicurezza
I crew dovrebbero iniziare con flussi di lavoro in cui l’errore è recuperabile. Tre flussi di lavoro consumano il 60% del tempo dell’analista fornendo al contempo un valore investigativo minimo: triage del phishing (le escalation perse possono essere rilevate nella revisione secondaria), automazione della reimpostazione della password (raggio di esplosione basso) e corrispondenza degli indicatori noti di problemi (logica deterministica).
Automatizzali prima, quindi convalida l’accuratezza rispetto alle decisioni umane per 30 giorni.
