Usare l’IA nei SOC per ridurre il carico di lavoro del team

Con l’aumento costante delle minacce, i team di sicurezza devono affrontare un carico di lavoro molto elevato; il rischio è di non riuscire a rilevare correttamente i cyberattacchi e proteggere quindi la propria organizzazione. I team hanno a che fare in particolare con un gran numero di falsi positivi: secondo il report di analisi MDR di Kaspersky, nel 2023 il team SOC della compagnia ha esaminato 431.512 avvisi di sicurezza, ma solo 32.294 sono stati identificati come risultato di 14.160 incidenti segnalati ai clienti.

Per ridurre il carico di lavoro del team di cybersecurity e migliorare il rilevamento di incidenti, Kaspersky sottolinea l’importanza di affidarsi a soluzioni automatizzate di intelligenza artificiale. In particolare, il modello Autoanalyst basato su IA usato nell’MDR ha esaminato in media quasi il 30% dei falsi positivi nel 2023, riducendo il carico del team SOC di circa il 25%.

Pixabay

L’applicazione più comune dell’IA nella cybersecurity, in particolare del machine learning, è il rilevamento degli attacchi, dove possono essere usati sia l’apprendimento supervisionato che non supervisionato. Nel primo caso, il modello viene addestrato sui dati relativi all’attività degli attaccanti con l’obiettivo di identificare comportamenti dannosi simili; nel secondo caso, il modello profila il comportamento legittimo dei sistemi e servizi per rilevare eventuali anomalie.

“Conoscendo bene l’aspetto degli attacchi moderni e sapendo che il loro rilevamento spesso si traduce in un grande volume di avvisi, i SOC stanno studiando come ridurre il carico di lavoro degli analisti con l’aiuto del ML, come migliorare l’efficienza del triage, filtrando i falsi positivi nel flusso di avvisi generato e spostando le operazioni di automazione dal semplice rilevamento degli attacchi al filtraggio delle attività legittime” ha dichiarato Sergey Soldatov, Head of Security Operation Center di Kaspersky. “La soluzione al problema del filtraggio dei falsi positivi è Autoanalyst basato sull’IA. Questo modello di machine learning supervisionato impara dagli avvisi elaborati dal team SOC e cerca quindi di replicarne il comportamento in modo indipendente“.

Grazie all’IA, Autoanalyst permette di ridurre di almeno un quarto il numero di avvisi che richiedono un’indagine da parte del SOC e gestisce gli alert più comuni e di routine, preservando le risorse del team e consentendogli di concentrarsi sui casi più interessanti.

IA per i SOC: i vantaggi per la tecnologia MDR

Per ridurre al minimo il numero di incidenti non rilevati i team SOC creano un numero crescente di regole di detection, comprese quelle basate su IA. Questo approccio però genera un numero elevato di avvisi che chiedono l’attenzione degli esperti, causa un maggior numero di falsi positivi e riduce la capacità di reazione del sistema di rilevamento.

La sfida è bilanciare la qualità del rilevamento con la trasformazione della logica di rilevamento: da una parte, se si cerca di rilevare tutto, si rischia di essere sommersi dai falsi positivi; dall’altra, con meno falsi positivi, si rischia di perdere alcuni attacchi.

Pixabay

“In generale, è possibile trovare un equilibrio tra questi estremi, ottenendo un rilevamento di alta qualità degli attacchi nascosti e riducendo contemporaneamente il numero di falsi positivi. Uno strumento per ottenere questo “interruttore” è Autoanalyst. Quando aumenta il livello di filtraggio, con una conseguente riduzione del carico di lavoro per il team SOC, cresce la probabilità di errore di classificazione” ha spiegato Soldatov.

Kaspersky evidenzia che, utilizzando Autoanalyst, il margine di errore (ovvero il tasso di falsi positivi) non supera il 2%; ciò significa una riduzione del volume di avvisi, ma non della qualità dei controlli. Nel caso il margine di errore superi il 2% a causa di un “sovraccarico”, il modello viene riqualificato per ridurre nuovamente il tasso di falsi positivi.