Los líderes de seguridad están adoptando la IA para el triaje, la ingeniería de detección y la caza de amenazas como volúmenes de alerta y los puntos de ruptura del agotamiento.
A encuesta completa De 282 líderes de seguridad en empresas de todas las industrias revela una realidad clara que enfrenta los centros modernos de operaciones de seguridad: los volúmenes de alerta han alcanzado niveles insostenibles, lo que obliga a los equipos a dejar amenazas críticas no investigadas. Puede descargar el informe completo aquí. La investigación, realizada principalmente entre las organizaciones estadounidenses, muestra que la adopción de IA en las operaciones de seguridad ha cambiado de experimental a esencial a medida que los equipos luchan por mantener el ritmo de un flujo cada vez mayor de alertas de seguridad.
Los hallazgos pintan una imagen de una industria en un punto de inflexión, donde los modelos SOC tradicionales se abrochan bajo presión operativa y las soluciones con AI están surgiendo como el camino principal hacia adelante.
El volumen de alerta alcanza el punto de ruptura
Los equipos de seguridad se están ahogando en alertas, y las organizaciones procesan un promedio de 960 alertas por día. Las grandes empresas enfrentan una realidad aún más desalentadora, manejando más de 3.000 alertas diarias de un promedio de 30 herramientas de seguridad generadoras de alerta diferentes.
Este volumen crea una crisis operativa fundamental donde los equipos de seguridad deben tomar decisiones de detección e investigación difíciles bajo presión de tiempo extremo. La encuesta revela que la fatiga alerta ha evolucionado más allá de una carga emocional para convertirse en un riesgo operativo medible.
Las investigaciones permanecen lentas y manuales
La gran matemática del procesamiento de alerta expone la escala del problema. Los resultados de la encuesta revelaron que se necesitan un promedio de 70 minutos en investigar completamente una alerta, es decir, si alguien puede encontrar el tiempo para mirarlo. Según la encuesta, pasan 56 minutos completos en promedio antes de que alguien actúe en alerta. Esta imposibilidad obliga a opciones difíciles sobre qué alertas reciben atención y cuáles son ignoradas.
Los resultados de la encuesta han demostrado inequívocamente un desafío crítico y conocido dentro de los Centros de Operaciones de Seguridad (SOC): el gran volumen de alertas generadas diariamente excede con creces la capacidad de los analistas humanos para investigarlas a fondo. Comprobar el problema, las pilas de seguridad modernas y las fuentes de datos continúan creciendo en número y complejidad, lo que lleva a tiempos de investigación más largos.
Para incidentes de alta prioridad que requieren atención inmediata, estos plazos representan retrasos inaceptables que pueden agravar la gravedad de la violación. Según el último crowdstrike Informe de amenaza cibernéticasolo toma 48 minutos en promedio para una amenaza cibernética como un Compromiso de correo electrónico comercial para dar lugar a un incidente.
El costo oculto de los SOC abrumados
Esta abrumadora afluencia crea un dilema imposible, lo que obliga a los equipos de SOC a tomar decisiones difíciles y a menudo arriesgadas sobre qué alertas reciben atención y cuáles son, por necesidad, ignoradas. La consecuencia de esta situación imposible es un mayor riesgo de faltar amenazas genuinas en medio del ruido, comprometiendo la postura de seguridad de una organización.
El 40% de las alertas de seguridad no se investigan por completo debido al volumen y las limitaciones de recursos. Aún más preocupante, el 61% de los equipos de seguridad admitieron haber ignorado las alertas que luego demostraron ser incidentes críticos de seguridad.
Esta estadística representa un desglose fundamental en las operaciones de seguridad. Los equipos diseñados para proteger a las organizaciones no pueden examinar casi la mitad de las posibles amenazas que detectan. La encuesta revela que esto no es negligencia, sino una adaptación forzada a las demandas imposibles de la carga de trabajo.
Los equipos de SOC luchan con operaciones 24/7
La encuesta expone brechas críticas en la cobertura de seguridad las 24 horas. Muchas organizaciones carecen de personal suficiente para mantener operaciones efectivas de SOC las 24 horas, los 7 días de la semana, creando ventanas de vulnerabilidad durante las horas fuera de los horarios cuando los equipos de esqueleto manejan los mismos volúmenes de alerta que abruman los turnos de día de fuerza completa.
El agotamiento del analista se ha convertido en un problema cuantificable en lugar de solo una preocupación de recursos humanos. Los equipos informan que la supresión de las reglas de detección se ha convertido en un mecanismo de afrontamiento predeterminado cuando los volúmenes de alerta se vuelven inmanejables. Este enfoque reduce la carga de trabajo inmediata, pero potencialmente crea puntos ciegos en la cobertura de seguridad.
Los desafíos de personal se ven agravados por la naturaleza especializada del trabajo de análisis de seguridad. Las organizaciones no pueden escalar fácilmente a sus equipos para que coincidan con el crecimiento del volumen de alerta, particularmente dada la escasez de profesionales experimentados de ciberseguridad en el mercado laboral actual.
AI Transiciones del experimento a la prioridad estratégica
IA para operaciones de seguridad ha subido rápidamente la escala prioritaria, ahora clasificada como una iniciativa entre los tres primeros junto con los programas de seguridad principales como la seguridad en la nube y la seguridad de los datos. Esto señala un cambio fundamental en cómo los líderes de seguridad ven la IA como un facilitador crítico para el éxito operativo hoy.
Actualmente, el 55% de los equipos de seguridad ya implementan copilotos de IA y asistentes en producción para apoyar los flujos de trabajo de triaje de alertas e investigación.
La próxima ola de adopción está llegando rápido. Entre los equipos que aún no usan IA, el 60% planea evaluar las soluciones SOC con AI dentro del año. Y mirando hacia el futuro, se espera que el 60% de todas las cargas de trabajo de SOC sean manejadas por IA en los próximos tres años, según la encuesta.
Las organizaciones buscan IA para tareas de investigación básicas
Los equipos de seguridad han identificado dónde puede marcar la mayor diferencia inmediata. Triage encabeza la lista al 67%, seguido de cerca mediante la sintonización de detección (65%) y caza de amenazas (64%).
Estas prioridades reflejan un creciente deseo de aplicar la IA a las primeras etapas de la investigación y la superficie de alertas significativas mientras proporciona un contexto inicial y la descarga de análisis repetitivo. No se trata de automatizar el juicio humano, sino de acelerar los flujos de trabajo y afilar el enfoque humano.
Las barreras permanecen pero el impulso es claro
A pesar de las fuertes intenciones de adopción, los líderes de seguridad identifican barreras significativas para la implementación de la IA. Las preocupaciones de privacidad de los datos, la complejidad de la integración y los requisitos de explicabilidad encabezan la lista de dudas organizacionales.
El futuro SoC toma forma
Los datos de la encuesta revelan una trayectoria clara hacia las operaciones de seguridad híbridas donde la IA maneja las tareas de análisis de rutina y los analistas humanos se centran en investigaciones complejas y la toma de decisiones estratégicas. Esta evolución promete abordar tanto el problema de volumen como el agotamiento del analista simultáneamente.
Las métricas de éxito para esta transformación probablemente se centrarán en las mejoras de eficiencia operativa. Las organizaciones medirán el progreso a través del tiempo medio reducido a la investigación (MTTI) y Tiempo medio de respuesta (MTTR) Además de las tasas de cierre de alerta tradicionales. Otras métricas de éxito significativas incluyen usar AI a Upskill y capacitar a un nuevo analista de SOC y acelerar dramáticamente el tiempo de aumento.
Al garantizar una cobertura de alerta integral a través del aumento de IA, las organizaciones pueden reducir la tolerancia al riesgo actualmente forzada por las limitaciones de volumen. El SOC futuro investigará más alertas más a fondo al tiempo que requerirá menos esfuerzo manual de analistas humanos.
Cómo la seguridad del profeta ayuda a los clientes
Seguridad del profeta Ayuda a las organizaciones a ir más allá de las investigaciones manuales y alertar la fatiga con una plataforma de AI SOC de agente que automatiza el triaje, acelera las investigaciones y asegura que cada alerta recibe la atención que merece. Al integrarse a través de la pila existente, el Profeta AI mejora la eficiencia del analista, reduce el tiempo de permanencia de los incidentes y ofrece resultados de seguridad más consistentes. Los líderes de seguridad usan el Profeta AI para maximizar el valor de sus personas y herramientas, fortalecer su postura de seguridad y convertir las operaciones diarias de SOC en resultados comerciales medibles. Visita Seguridad del profeta para aprender más o solicitar una demostración Y vea cómo el Profeta AI puede elevar sus operaciones de SOC.