VB, L.Colombo
Un SOC aziendale medio riceve 10.000 avvisi al giorno. Ognuno di essi richiede dai 20 ai 40 minuti per un’analisi approfondita, ma anche i team con personale al completo riescono a gestirne solo il 22%. Oltre il 60% dei team di sicurezza ha ammesso di aver ignorato avvisi che in seguito si sono rivelati critici.
Gestire un SOC efficiente non è mai stato così difficile, e ora il lavoro stesso sta cambiando. Le attività degli analisti di livello 1, come triage, arricchimento ed escalation, stanno diventando funzioni software e sempre più team SOC si affidano ad agenti di intelligenza artificiale supervisionati per gestire il volume di dati. Gli analisti umani stanno spostando le loro priorità per indagare, esaminare e prendere decisioni sui casi limite. I tempi di risposta si stanno riducendo.
Breaking the Memory Wall: The Infrastructure Required for Statefulness
Tuttavia, non integrare l’intuizione e la comprensione umana ha un costo elevato. Gartner prevede che oltre il 40% dei progetti di intelligenza artificiale (IA) agentica verrà annullato entro la fine del 2027, principalmente a causa di un valore aziendale poco chiaro e di una governance inadeguata. Gestire correttamente il cambiamento e assicurarsi che l’IA generativa non diventi un agente di caos nel SOC sono ancora più importanti.
Perché il modello SOC legacy deve cambiare
Il burnout è così grave in molti SOC oggi che gli analisti senior stanno valutando cambi di carriera . I SOC obsoleti, dotati di sistemi multipli che inviano avvisi contrastanti e di numerosi sistemi che non riescono a comunicare tra loro, stanno trasformando il lavoro in una ricetta per il burnout, e il flusso di talenti non può ricaricarsi più velocemente di quanto il burnout lo svuoti.
Il Global Threat Report 2025 di CrowdStrike documenta tempi di breakout rapidi fino a 51 secondi e ha rilevato che il 79% delle intrusioni è ora privo di malware. Gli aggressori si affidano invece all’abuso di identità , al furto di credenziali e a tecniche di “living-off-the-land”. Il triage manuale, concepito per cicli di risposta orari, non può competere.
Come ha dichiarato Matthew Sharp, CISO di Xactly, a CSO Online : “Gli avversari stanno già utilizzando l’intelligenza artificiale per attaccare alla velocità delle macchine. Le organizzazioni non possono difendersi dagli attacchi basati sull’intelligenza artificiale con risposte alla velocità umana”.
Come l’autonomia limitata comprime i tempi di risposta
Le implementazioni SOC che comprimono i tempi di risposta condividono un modello comune: l’autonomia limitata. Gli agenti di intelligenza artificiale gestiscono automaticamente il triage e l’arricchimento, ma gli esseri umani approvano le azioni di contenimento quando la gravità è elevata. Questa divisione del lavoro elabora il volume degli avvisi alla velocità delle macchine, mantenendo il giudizio umano sulle decisioni che comportano un rischio operativo.
Il rilevamento basato su grafici cambia il modo in cui i difensori vedono la rete. I SIEM tradizionali mostrano eventi isolati. I database grafici mostrano le relazioni tra questi eventi, consentendo agli agenti di intelligenza artificiale di tracciare i percorsi di attacco anziché classificare gli avvisi uno alla volta. Un accesso sospetto appare diverso quando il sistema capisce che l’account si trova a due hop dal controller di dominio.
I guadagni in termini di velocità sono misurabili. L’intelligenza artificiale riduce i tempi di indagine sulle minacce , aumentando al contempo l’accuratezza rispetto alle decisioni degli analisti senior. Implementazioni separate mostrano che il triage basato sull’intelligenza artificiale raggiunge oltre il 98% di concordanza con le decisioni degli esperti umani, riducendo al contempo i carichi di lavoro manuali di oltre 40 ore a settimana. La velocità non conta nulla se l’accuratezza diminuisce.
ServiceNow e Ivanti segnalano un passaggio più ampio alle operazioni IT agentiche
Gartner prevede che l’intelligenza artificiale multi-agente nel rilevamento delle minacce aumenterà dal 5% al ​​70% delle implementazioni entro il 2028. ServiceNow ha speso circa 12 miliardi di dollari in acquisizioni in ambito sicurezza solo nel 2025. Ivanti, che ha condensato una roadmap di rafforzamento del kernel di tre anni in 18 mesi, quando gli aggressori degli stati nazionali ne hanno convalidato l’urgenza, ha annunciato funzionalità di intelligenza artificiale agentica per la gestione dei servizi IT, portando il modello di autonomia limitata che sta rimodellando i SOC al service desk. L’anteprima per i clienti verrà lanciata nel primo trimestre, con disponibilità generale entro la fine del 2026.
I carichi di lavoro che stanno mettendo in crisi i SOC stanno mettendo in crisi anche i service desk. Robert Hanson, CIO di Grand Bank, si è trovato ad affrontare lo stesso vincolo che i responsabili della sicurezza conoscono bene. “Possiamo fornire supporto 24 ore su 24, 7 giorni su 7, liberando al contempo il nostro service desk per concentrarsi su sfide complesse”, ha affermato Hanson. Copertura continua senza un organico proporzionale. Questo risultato sta favorendo l’adozione nei settori dei servizi finanziari, sanitari e della pubblica amministrazione.
Tre confini di governance per un’autonomia limitata
L’autonomia limitata richiede limiti di governance espliciti. I team dovrebbero specificare tre aspetti: su quali categorie di allerta gli agenti possono agire in autonomia, quali richiedono la revisione umana indipendentemente dal punteggio di affidabilità e quali percorsi di escalation si applicano quando il livello di affidabilità scende al di sotto della soglia. Gli incidenti di elevata gravità richiedono l’approvazione umana prima del contenimento.
Avere una governance in atto prima di implementare l’IA nei SOC è fondamentale se un’organizzazione vuole ottenere i vantaggi in termini di tempo e contenimento che questa ultima generazione di strumenti ha da offrire. Quando gli avversari sfruttano l’IA come arma e sfruttano attivamente le vulnerabilità CVE più velocemente di quanto i difensori rispondano, il rilevamento autonomo diventa la nuova posta in gioco per rimanere resilienti in un mondo a fiducia zero.
La strada da seguire per i leader della sicurezza
I team dovrebbero iniziare con flussi di lavoro in cui l’errore è recuperabile. Tre flussi di lavoro consumano il 60% del tempo degli analisti, pur contribuendo in modo minimo alle indagini: triage del phishing (le escalation non riuscite possono essere individuate durante la revisione secondaria), automazione del ripristino della password (raggio di diffusione ridotto) e corrispondenza degli indicatori di errore noti (logica deterministica).
Automatizzare prima queste operazioni, quindi convalidare l’accuratezza rispetto alle decisioni umane per 30 giorni.