Почему специалисты тратят по два часа в день на ложные тревоги?
Недавнее исследование компании Vectra AI выявило недовольство SOC-команд текущими инструментами киберзащиты. Эксперты отмечают, что большое количество разрозненных решений и недостаток точных индикаторов компрометации затрудняют эффективное обнаружение и приоритизацию реальных угроз.
Специалисты центров безопасности указывают на растущее недоверие к поставщикам ИБ-решений. Они считают, что используемые инструменты скорее мешают, чем помогают обнаруживать атаки. Несмотря на укрепление уверенности в собственных навыках и рост оптимизма относительно применения искусственного интеллекта, многие команды по-прежнему сталкиваются с проблемами при анализе киберугроз.
Более того, увеличение числа гибридных атак и применение новых инструментов на базе генеративного ИИ значительно усложнили работу SOC-командам. Генеративный ИИ открывает дополнительные возможности для злоумышленников, а специалистам по кибербезопасности приходится справляться с избытком ложных тревог и шумом от оповещений. Несмотря на повышение уверенности в своих защитных механизмах, значительная часть SOC-экспертов всё ещё считает, что не имеет нужных инструментов для эффективного обнаружения угроз.
Согласно исследованию, 71% SOC-специалистов опасаются, что пропустят настоящую атаку из-за потока оповещений, а 51% признают, что не успевают реагировать на растущее число угроз. Более того, 47% специалистов не доверяют функциональности своих инструментов, а 54% уверены, что они увеличивают нагрузку на SOC, а не снижают её.
Одной из основных проблем является избыточное количество используемых инструментов: 73% команд внедрили более 10 решений, а 45% — более 20. Многие SOC-команды рассматривают возможность внедрения расширенных систем обнаружения и реагирования (XDR) в качестве альтернативы.
Недовольство инструментами киберзащиты нарастает: более 60% экспертов считают, что поставщики предлагают решения, которые создают слишком много шума и оповещений. При этом 71% считают, что вендоры должны брать на себя больше ответственности за неудачные попытки предотвратить взломы.
SOC-специалисты тратят более двух часов в день на обработку и классификацию событий, и лишь 50% считают, что их инструменты действительно помогают в обнаружении реальных атак. Реалистично они могут обрабатывать только 38% оповещений, при этом лишь 16% из них классифицируются как настоящие угрозы.
Искусственный интеллект становится всё более востребованным в SOC для повышения эффективности обнаружения и реагирования на киберугрозы. По мнению 85% экспертов, инвестиции в ИИ выросли за последний год, а 67% уверены, что ИИ положительно повлиял на выявление угроз. 89% планируют расширить использование ИИ в будущем для замены устаревших инструментов. Однако для полного принятия ИИ вендорам необходимо усилить доверие, показывая реальную ценность без дополнительного усложнения работы команд SOC.
Таким образом, кризис доверия в кибербезопасности подчёркивает необходимость переосмысления подходов к защите. Вместо гонки за количеством инструментов и генерации бесконечных оповещений, индустрии следует сфокусироваться на создании интеллектуальных, интегрированных решений, способных эффективно выявлять реальные угрозы. Только сбалансированное сочетание передовых технологий и человеческой экспертизы сможет обеспечить надёжную защиту в постоянно эволюционирующем ландшафте киберугроз.
Гравитация научных фактов сильнее, чем вы думаете