Los líderes de seguridad están adoptando la IA para la clasificación, la ingeniería de detección y la búsqueda de amenazas, a medida que los volúmenes de alertas y el agotamiento llegan a su punto álgido.

UN encuesta exhaustiva La encuesta de 282 líderes de seguridad de empresas de todos los sectores revela la cruda realidad a la que se enfrentan los centros de operaciones de seguridad modernos: los volúmenes de alertas han alcanzado niveles insostenibles, lo que obliga a los equipos a dejar sin investigar las amenazas críticas. Puede descargar el informe completo aquí . La investigación, realizada principalmente entre organizaciones con sede en EE. UU., muestra que la adopción de la IA en las operaciones de seguridad ha pasado de ser experimental a ser esencial, ya que los equipos luchan por mantenerse al día con el flujo cada vez mayor de alertas de seguridad.

Los hallazgos muestran un panorama de una industria en un punto de inflexión, donde los modelos SOC tradicionales están cediendo ante la presión operativa y las soluciones impulsadas por la inteligencia artificial están emergiendo como el principal camino a seguir.

El volumen de alertas alcanza el punto de quiebre

Los equipos de seguridad se están ahogando en alertas, y las organizaciones procesan un promedio de 960 alertas por día. Las grandes empresas se enfrentan a una realidad aún más abrumadora, ya que gestionan más de 3000 alertas diarias procedentes de un promedio de 30 herramientas de seguridad diferentes que generan alertas.

Este volumen crea una crisis operativa fundamental en la que los equipos de seguridad deben tomar decisiones difíciles de detección e investigación bajo una presión de tiempo extrema. La encuesta revela que la fatiga provocada por las alertas ha pasado de ser una carga emocional a convertirse en un riesgo operativo mensurable.

Las investigaciones siguen siendo lentas y manuales

La mera matemática del procesamiento de alertas expone la magnitud del problema. Los resultados de la encuesta revelaron que se tarda una media de 70 minutos en investigar a fondo una alerta, es decir, si alguien puede encontrar tiempo para mirarla. Según la encuesta, pasan una media de 56 minutos antes de que alguien actúe en respuesta a una alerta. Esta imposibilidad obliga a tomar decisiones difíciles sobre qué alertas reciben atención y cuáles se ignoran.

Los resultados de la encuesta han demostrado de manera inequívoca un desafío crítico y bien conocido dentro de los centros de operaciones de seguridad (SOC): el enorme volumen de alertas que se generan a diario supera con creces la capacidad de los analistas humanos para investigarlas a fondo. Para agravar el problema, las fuentes de datos y los sistemas de seguridad modernos siguen aumentando en número y complejidad, lo que prolonga los tiempos de investigación.

En el caso de los incidentes de alta prioridad que requieren atención inmediata, estos plazos representan demoras inaceptables que pueden agravar la gravedad de las infracciones. Según el último informe de CrowdStrike Informe sobre ciberamenazas , una ciberamenaza como una amenaza cibernética solo tarda 48 minutos de media Compromiso de correo electrónico empresarial provocar un incidente.

El costo oculto de los SoC abrumados

Esta abrumadora afluencia crea un dilema imposible, lo que obliga a los equipos del SOC a tomar decisiones difíciles y a menudo arriesgadas sobre qué alertas reciben atención y cuáles, por necesidad, se ignoran. La consecuencia de esta situación imposible es un mayor riesgo de pasar por alto amenazas reales entre el ruido, lo que, en última instancia, compromete la postura de seguridad de la organización.

El 40% de las alertas de seguridad no se investigan en absoluto debido a las limitaciones de volumen y recursos. Lo que es aún más preocupante es que el 61% de los equipos de seguridad admitieron haber ignorado las alertas que, más tarde, resultaron ser incidentes de seguridad críticos.

Esta estadística representa un desglose fundamental de las operaciones de seguridad. Los equipos diseñados para proteger a las organizaciones no pueden examinar sistemáticamente casi la mitad de las posibles amenazas que detectan. La encuesta revela que no se trata de negligencia, sino de una adaptación forzada a exigencias imposibles de cargar de trabajo.

Los equipos de SOC luchan con las operaciones ininterrumpidas

La encuesta revela brechas críticas en la cobertura de seguridad las 24 horas del día. Muchas organizaciones carecen de personal suficiente para mantener un funcionamiento eficaz del SOC las 24 horas del día, los 7 días de la semana, lo que crea ventanas de vulnerabilidad fuera del horario laboral, cuando las cuadrillas mínimas gestionan los mismos volúmenes de alertas que agobian los turnos diurnos.

El agotamiento de los analistas se ha convertido en un problema cuantificable y no solo en una preocupación de recursos humanos. Los equipos informan de que la supresión de las reglas de detección se ha convertido en un mecanismo de respuesta predeterminado cuando los volúmenes de alertas se vuelven incontrolables. Este enfoque reduce la carga de trabajo inmediata, pero puede crear puntos ciegos en la cobertura de seguridad.

Los problemas de personal se ven agravados por la naturaleza especializada del trabajo de análisis de seguridad. Las organizaciones no pueden escalar fácilmente sus equipos para igualar el crecimiento del volumen de alertas, especialmente dada la escasez de profesionales con experiencia en ciberseguridad en el mercado laboral actual.

The Hacker News

La IA pasa del experimento a la prioridad estratégica

IA para operaciones de seguridad ha ascendido rápidamente en la escala de prioridades y ahora figura entre las tres principales iniciativas junto con los principales programas de seguridad, como la seguridad en la nube y la seguridad de los datos. Esto indica un cambio fundamental en la forma en que los líderes de seguridad ven la IA como un factor fundamental para el éxito operativo actual.

En la actualidad, el 55% de los equipos de seguridad ya implementan copilotos y asistentes de inteligencia artificial en producción para respaldar los flujos de trabajo de investigación y clasificación de alertas.

La próxima ola de adopción se acerca rápidamente. Entre los equipos que aún no utilizan la IA, el 60% tiene previsto evaluar las soluciones de SOC impulsadas por la IA en el transcurso de un año. Y de cara al futuro, según la encuesta, se espera que la IA gestione el 60% de todas las cargas de trabajo del SOC en los próximos tres años.

Las organizaciones buscan inteligencia artificial para las principales tareas de investigación

Los equipos de seguridad han identificado dónde la IA puede marcar la mayor diferencia inmediata. La clasificación encabeza la lista con un 67%, seguida de cerca por el ajuste de la detección (65%) y caza de amenazas (64%).

Estas prioridades reflejan un deseo creciente de aplicar la inteligencia artificial en las primeras etapas de la investigación y generar alertas significativas, al tiempo que se proporciona un contexto inicial y se descargan los análisis repetitivos. No se trata de automatizar el juicio humano, sino de acelerar los flujos de trabajo y mejorar la concentración humana.

Siguen existiendo barreras, pero el impulso es claro

A pesar de las firmes intenciones de adopción, los líderes de seguridad identifican barreras significativas para la implementación de la IA. Los problemas de privacidad de los datos, la complejidad de la integración y los requisitos de explicabilidad encabezan la lista de dudas de las organizaciones.

El futuro SOC toma forma

Los datos de la encuesta revelan una trayectoria clara hacia las operaciones de seguridad híbridas en las que la IA se encarga de las tareas de análisis rutinarias y los analistas humanos se centran en investigaciones complejas y en la toma de decisiones estratégicas. Esta evolución promete abordar simultáneamente el problema del volumen y el agotamiento de los analistas.

Es probable que las métricas de éxito de esta transformación se centren en las mejoras de la eficiencia operativa. Las organizaciones medirán el progreso reduciendo el tiempo medio de investigación (MTTI) y Tiempo medio de respuesta (MTTR) además de las tasas de cierre de alertas tradicionales. Otras métricas de éxito significativas incluyen el uso IA para mejorar las habilidades y capacitar a nuevos analistas de SOC y aceleran drásticamente el tiempo de puesta en marcha.

Al garantizar una cobertura integral de alertas mediante el aumento de la IA, las organizaciones pueden reducir la tolerancia al riesgo que actualmente imponen las restricciones de volumen. El futuro SOC investigará más alertas de manera más exhaustiva y, al mismo tiempo, requerirá menos esfuerzo manual por parte de los analistas humanos.

Cómo ayuda Prophet Security a los clientes

Prophet Security ayuda a las organizaciones a superar las investigaciones manuales y la fatiga de las alertas con una plataforma SOC de IA agencial que automatiza la clasificación, acelera las investigaciones y garantiza que cada alerta reciba la atención que merece. Al integrarse en todo el sistema existente, Prophet AI mejora la eficiencia de los analistas, reduce el tiempo de permanencia de los incidentes y ofrece resultados de seguridad más consistentes. Los líderes de seguridad utilizan Prophet AI para maximizar el valor de su personal y sus herramientas, reforzar su postura de seguridad y convertir las operaciones diarias de SOC en resultados empresariales mensurables. Visite Prophet Security para obtener más información o solicitar una demostración y descubra cómo Prophet AI puede mejorar sus operaciones de SOC.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.