Miért kell elfelejteni a régi SOC-modelleket?
A kiégés sok SOC-ban olyan szintre jutott, hogy a tehetséges szakemberek gyakorlatilag folyamatosan cserélődnek, a toborzás pedig nem tud lépést tartani ezzel az ütemmel. A helyzetet súlyosbítják a párhuzamos, egymással nem kommunikáló rendszerekből származó ellentmondásos riasztások.
A CrowdStrike 2025-ös jelentése szerint az incidensek 79%-a már nem is tartalmaz kártékony szoftvert; a támadók inkább az identitáslopásra és az adatszivárgásra támaszkodnak. A manuális triázs nem tudja tartani a lépést ezekkel a módszerekkel.
Hogyan gyorsítja fel a korlátok közé szorított autonómia a reagálást?
A leghatékonyabb SOC-ok közös jellemzője az ún. korlátok közé szorított autonómia (bounded autonomy) — az MI automatikusan kezeli az alapvető triázs-feladatokat, de komoly incidenseknél az emberi jóváhagyás elengedhetetlen. Így a gépi sebességű riasztáskezelés mellett az emberi döntés felel a kockázatos lépésekért.
Az új hálózatelemző eszközök (pl. gráfalapú detektálás) lehetővé teszik a kapcsolatok felismerését az egyes események között, így az MI képes teljes támadási láncokat felderíteni, nemcsak különálló riasztásokat vizsgálni. Ez azonnali sebesség- és pontosságnövekedést jelent: a vizsgálatok több mint 98%-os egyezést mutatnak a vezető elemzői döntésekkel, miközben heti 40 órával csökken a kézi munka.
Átterjed az MI-ügynöki működés az IT-ra is
A ServiceNow például 2025-ben több mint 366 milliárd forintot költött biztonságtechnológiai felvásárlásokra, az Ivanti pedig ügynöki MI-t vezet be az IT-szolgáltatás-menedzsmentbe is. Az önkiszolgáló ügyfélszolgálatoknak is egyre nagyobb szüksége van ilyen támogatásra — így 24/7-es lefedettséget és rugalmasabb emberi beavatkozást nyújtanak egyre több iparágban.
Három alapszabály az átgondolt automatizációhoz
A megoldás azonban közelebb van, mint hinnénk. Az MI-ügynökök csak pontos szabályozási keretek között működhetnek: rögzíteni kell, mely riasztáskategóriákat kezelhetnek önállóan, melyeket csak ember bírálhat el, és milyen eszkaláció szükséges alacsony bizonyosság esetén.
Kezdésként érdemes azokat a folyamatokat automatizálni, ahol a hibák még orvosolhatók, ilyen például az adathalász-gyanús esetek triázsa, a jelszó-visszaállítás és az ismert rosszindulatú indikátorok szűrése. Az automatizált döntéseket mindenképpen össze kell vetni az emberi szakértők döntéseivel legalább egy hónapon át, hogy mindenki biztos lehessen abban, hogy jó az irány.
