Каждый аналитик SOC уже слышал это: «ИИ заберет вашу работу».
Я слышу это в беседах с командами SOC. Я вижу это в нерешительности во время оценки. И все чаще я ощущаю это как источник сопротивления — особенно со стороны тех, кому ИИ призван помогать.
Но реальность обратная.
Вместо того чтобы устранять роль аналитика Уровня 1, ИИ выводит ее на новый уровень — из работы, определяемой повторяющимися задачами, в работу, определяемую суждением, надзором и принятием решений. Короче говоря, это делает их более могущественными в роли командиров SOC.
Работа никогда не была целью
Чтобы понять, что меняется, нужно честно взглянуть на историческую роль аналитиков Уровня 1.
В типичном SOC аналитик Уровня 1 может тратить 20–30 минут на расследование одного фишингового оповещения — переключаясь между логами электронной почты, данными конечных точек и инструментами Threat Intelligence, проверяя сигналы и документируя результаты. Это необходимая работа, но она также крайне повторяющаяся и отнимает много времени.
Современные операции безопасности генерируют больше данных, чем люди могут разумно обработать. Расследование одного оповещения часто требует переключения между системами идентификации, телеметрией конечных точек, облачными логами и источниками Threat Intelligence. Умножьте это на сотни или тысячи оповещений в день, и вы получите рабочую нагрузку, которая фундаментально не соответствует человеческим возможностям.
Что еще более важно, аналитики SOC слишком талантливы для такой нечеловеческой работы. Годами мы принимали это как издержки ведения бизнеса. ИИ меняет это уравнение.
От выполнения работы к управлению ею
Агентный ИИ привносит в SOC возможность делегирования.
Вместо того чтобы аналитики вручную собирали доказательства и связывали контекст, агенты ИИ теперь могут автономно выполнять шаги расследования: запрашивать данные систем, сопоставлять сигналы и строить цепочки доказательств в реальном времени. Это не исключает человека из процесса. Это поднимает его роль в нем.
Новая модель заключается в том, что аналитики управляют системой агентов — каждый из которых отвечает за часть расследования, — вместо того чтобы выполнять каждый шаг самостоятельно. Роль человека смещается от оператора к оркестратору.
Что я постоянно слышу от руководителей служб безопасности, так это не: «Мне нужно, чтобы мои аналитики работали быстрее». А: «Мне нужно, чтобы мои аналитики перестали собирать данные и начали принимать решения на их основе». Это фундаментально разные задачи. И именно в этом разрыве ИИ создает наибольшую ценность.
Рост «менеджера агентов»
Вот как эволюционирует роль Уровня 1 — она не исчезает.
В этой новой модели аналитики начального уровня фактически управляют роем агентов ИИ. Они отвечают за проверку расследований, подтверждение выводов и обеспечение соответствия действий контексту бизнеса и толерантности к риску.
Они не находятся «в цикле» при каждом шаге. Они «над циклом» — контролируют результаты, а не выполняют задачи.
Когда аналитики вынуждены оставаться в цикле — проверяя каждое обогащение, каждый запрос, каждый промежуточный шаг — они становятся узким местом. Когда они переходят над циклом, они могут работать в масштабе, просматривая десятки или сотни расследований с должным уровнем надзора.
Так строится доверие к ИИ: не путем требования от людей проверять все, а путем предоставления им возможности проверить что угодно.
Прозрачность становится плоскостью управления. Аналитики могут видеть, что именно сделал ИИ, как он пришел к выводу и где существует неопределенность. Со временем, по мере подтверждения точности, они естественным образом повышают уровень доверия — точно так же, как они поступали бы с новым коллегой, присоединившимся к команде.
Почему кибербезопасность отличается
Страх потери работы понятен. Во многих отраслях ИИ снижает потребность в должностях начального уровня. Кибербезопасность — одна из немногих областей, где ИИ не уменьшит объем работы. Он покажет, как много работы мы не могли выполнить.
Объем и сложность угроз растут быстрее, чем команды могут масштабироваться. Злоумышленники уже используют ИИ для автоматизации разведки, генерации кода и ускорения эксплуатации. У защитников нет возможности оставаться в стороне.
Поиск угроз (Threat hunting), разработка систем обнаружения (detection engineering) и оптимизация контроля исторически страдали от недостатка ресурсов, поскольку команды были поглощены сортировкой оповещений. Когда ИИ снимает это бремя, он создает столь необходимую возможность для аналитиков делать то, для чего они были обучены. Работа не сокращается. Наконец, выполняется правильная работа.
Новый базовый уровень для начинающих специалистов
Этот сдвиг также меняет наши ожидания от аналитиков начального уровня.
Исторически роли Уровня 1 создавались как места, где аналитики учились, выполняя повторяющиеся задачи. Эта модель больше не имеет смысла, когда эти задачи могут быть автоматизированы.
Базовый уровень смещается в сторону понимания того, как работают системы ИИ: интерпретации их результатов, постановки под сомнение их рассуждений и направления их поведения. Человеко-ориентированные навыки становятся более важными, а не менее. Любопытство, критическое мышление и способность связывать разрозненные сигналы в связный нарратив — вот что отличает в SOC, управляемом ИИ.
Мы уже видим, как организации переосмысливают подход к найму на эти должности. Меньше внимания уделяется учетным данным и больше — тому, как человек мыслит и решает проблемы. Когда ИИ берет на себя механику, суждение становится работой.
Построение прочного доверия
Если будущее так ясно, почему существует сопротивление? В большинстве случаев оно сводится к доверию — а доверие должно быть заслужено, а не предполагаться.
Развертывания, которые, по моим наблюдениям, проваливаются, имеют общую закономерность: организации рассматривают ИИ как бинарный переход от отсутствия автоматизации к полной автономии. Так не работают команды безопасности, и так их не следует просить работать.
Работает прогрессия. Начните с ограниченных вариантов использования с высокой степенью уверенности. Обеспечьте полную прозрачность того, как система приходит к своим выводам. Позвольте аналитикам подтверждать результаты перед расширением области применения. И, что критически важно, привлекайте практиков. Не консультантов по внедрению или менеджеров проектов, а людей, которые руководили сменами в SOC, обрабатывали тысячи оповещений и заслужили авторитет тяжелым путем.
Именно поэтому, когда мы внедряем решения, мы привлекаем бывших руководителей SOC, охотников за угрозами и инженеров по обнаружению для работы бок о бок с командами аналитиков. Они там не для настройки программного обеспечения. Они там, чтобы построить доверие к системе — потому что они уже заслужили доверие тех, кто ее использует. Когда аналитики видят, что люди, помогающие им внедрять эту технологию, прошли через тот же изнурительный труд, разговор меняется. Он перестает быть «заменит ли это меня» и становится «как мне использовать это хорошо».
Этот сдвиг в ориентации — от угрозы к инструменту — отличает успешное внедрение от того, которое замирает.
Разрыв в доверии — это не технологическая проблема. Это человеческая проблема. И он устраняется так же, как всегда устраняется доверие: через продемонстрированную компетентность, общий контекст и время.
Будущее SOC — под руководством человека
Конечная цель здесь — не автономный SOC без участия людей. Это SOC под руководством человека, усиленный ИИ.
Агенты ИИ берут на себя трудоемкие аспекты операций безопасности, связанные со сбором доказательств. Люди обеспечивают руководство, надзор и подотчетность. Вместе они работают со скоростью и в масштабе, которых они не могли бы достичь поодиночке. Это не теория — это то, что происходит в производственных средах сегодня.
Выведение на новый уровень, а не устранение
Повествование о том, что ИИ устранит аналитиков Уровня 1, упускает суть. Эта роль не исчезает. Она переопределяется.
Аналитики, которые добьются успеха в этой новой среде, будут теми, кто сможет управлять системами разведки, интерпретировать сложные результаты и принимать высококачественные решения в условиях неопределенности.
Их не заменят. Их повысят.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lior Div
