あるCISOのAIプレイブック

アラートを調査するための総コストを計算する。
それは、調査時間や賃金だけでなく、ストレージ、ツール、労働を含む総コストを意味します。ほとんどのチームは、ツールが生成するアラートのごく一部しか調査しません。私たちは、レビューする時間がない大量のテレメトリを取り込み、保存するために支払っていました。データが入ってきて、行動を起こさずにそのデータの保存に支払っているとき、あなたはお金を無駄にするだけでなく、見えないリスクを生み出しています。

本当のボトルネックを特定する：人間の注意力。
ほとんどの人は、各新しいセンサーがより多くのノイズを追加することで、スタックが問題だと考えます。実際の制約はアナリストの時間と注意力です。Eliyahu Goldrattの制約理論は明らかにしています：システムはその最も狭いポイントの速さでしか動きません。 セキュリティオペレーションセンター (SOC)では、それはツールやノイズではなく、注意力です。

ボトルネックを解消するために、人数ではなくスループットをモデル化する。
AIをアナリストがより多くのアラートをより明確に、疲労を少なくして処理するためのツールと考え、アナリストの代替とは考えないでください。私たちはProphet SecurityのAI SOCソリューションを試験導入し、チームと並行して運用しました。33日間で約3,200件のアラートを調査し、わずか6件をエスカレーションしました。平均調査時間はアラート1件あたり約30分から5分に減少しました。スタッフを減らすのではなく、スタッフが処理できる上限を引き上げました。

透明性とコース修正の能力を要求する。
新しい脅威は 毎日出現します。インテリジェンスは急速に変化します。コンテキストとリスク許容度は会社、業界、事業ラインによって異なります。私たちがテストしたAIは、その推論を明確に示し、コンテキストフィードバックのたびに改善しました。ある不可能な移動アラートでは、デバイステレメトリ、アイデンティティ、行動を結びつけ、サインインが正当である理由を詳細に説明しました。結論がどのように導かれたかが見えない場合、またはシステムを環境の独自性に合わせて調整できない場合、AIへの信頼とともに採用が停滞します。

節約されたドルと同じくらい、取り戻された時間とスキルの向上を重視する。
トリアージから予防へのアナリストの時間の再配分は、純粋なコスト削減ではできない方法で複利効果を生み出します。シニアアナリストを反復的なトリアージループから外すことで、彼らに判断力、創造性、好奇心をより難しい問題に適用する余地を与えます。私たちは皆、長年の サイバーセキュリティの人材不足について聞いたことがあります。現実には、労働力ではなく、スキルの不足があります。最近、私たちはインターンとして働いていた大学卒業生を採用しました。AIがリアルタイムで推論するのを見て、彼女は調査思考のマスタークラスを受け、立ち上がりまでの時間を数ヶ月から数週間に圧縮しました。

すべてをビジネスの基本に結びつける。
取締役会は自律的な調査やエンリッチメントパイプラインの微妙な違いには関心がありません。彼らが関心を持つのは、リスク露出の削減、支出の管理、そして何よりも利益を維持することです。私たちのセキュリティ情報とイベント管理（SIEM）の請求額は、AIが保存されたイベントをクエリする代わりにネイティブシステムからデータを直接取得したため、6桁から5桁に減少しました。これは最高財務責任者に報告できる成果です。すべての会社はビジネスを続けるために存在しており、あなたのセキュリティプログラムはそれをより可能にするものであるべきであり、より高価にするものではありません。