Come evolvere il SOC da modello reattivo a ecosistema AI-Augmented, scalabile e governato
Il SOC oggi: più pressione, meno controllo
Uno dei perni della cyber defense, il Security Operations Center, si trova oggi sotto una pressione crescente. L’aumento esponenziale degli alert, l’espansione delle superfici di attacco e la crescente complessità delle minacce stanno mettendo in crisi un modello operativo progettato per un contesto molto meno complesso. Gli analisti devono gestire volumi elevati di eventi, spesso con molti falsi positivi, riducendo la capacità di individuare rapidamente le minacce reali.
A questo si aggiungono processi ancora fortemente manuali. Attività come l’analisi iniziale degli alert (triage), l’arricchimento delle informazioni (enrichment) e la correlazione degli eventi richiedono tempo e generano carico operativo, rallentando le operazioni e aumentando il rischio di errore. Le metriche chiave che misurano le prestazioni del SOC, come MTTD (Mean Time To Detect, tempo medio di rilevamento) e MTTR (Mean Time To Remediate, tempo medio di risoluzione), restano elevate proprio a causa di queste inefficienze.
Il risultato è un modello prevalentemente reattivo, che fatica a stare al passo con la velocità degli attacchi e la complessità degli ambienti IT.
Aggiungere strumenti non basta
Di fronte a queste criticità, molte organizzazioni hanno risposto introducendo nuove tecnologie, processi e procedure operative. Nella maggior parte dei casi, però, questo ha portato a un aumento della complessità operativa.
I SOC moderni si basano su numerosi strumenti (SIEM, EDR, NDR, piattaforme cloud e soluzioni di threat intelligence), che non sempre sono realmente integrati. Questo genera silos informativi, duplicazioni di attività e difficoltà nella correlazione degli eventi. Gli analisti si trovano così a operare su più piattaforme per ricostruire il contesto di un incidente, con un impatto diretto su tempi ed efficienza.
In questo scenario, aggiungere tecnologia senza ripensare il modello operativo rischia di amplificare i problemi esistenti. La vera sfida non è introdurre nuovi strumenti, ma progettare (o riprogettare) un SOC capace di integrarli, orchestrare i flussi e supportare decisioni più rapide e consapevoli.
Il cambiamento a cui è chiamato il SOC non è solo tecnologico, ma soprattutto architetturale e operativo.
Dal SOAR agli AI Agent: come si è evoluto il SOC
Negli ultimi anni, il SOC ha vissuto una profonda evoluzione, che è passata attraverso fasi successive, ciascuna pensata per rispondere ai limiti del modello precedente.
Un primo stadio importante è stato l’introduzione di meccanismi di automazione, principalmente tramite piattaforme SOAR (Security Orchestration, Automation, and Response), che sono in grado di eseguire “playbook”, tramite i quali ridurre il carico manuale e velocizzare processi ripetitivi, come il triage o l’esecuzione di azioni di risposta. Tuttavia questo approccio, basato su logiche e algoritmi di tipo statico, funziona bene in scenari prevedibili, ma mostra rapidamente i suoi limiti quando il contesto cambia, o quando gli attacchi diventano più sofisticati.
Il passo successivo è stato l’introduzione dell’AI (Artificial Intelligence), impiegata per analizzare grandi volumi di dati, correlare eventi provenienti da fonti diverse e arricchire gli alert con contesto aggiuntivo, come informazioni su asset, utenti, storico degli eventi e pattern di attacco noti. In questa modalità, l’AI supporta la comprensione di ciò che sta accadendo, ma non partecipa realmente al processo in quanto è sempre l’analista a dover prendere in carico l’alert, investigare in maniera approfondita e assumere delle decisioni.
Oggi siamo entrati in una nuova fase, quella degli AI Agent. Gli agenti non si limitano a supportare l’analisi, ma operano direttamente nel processo. Correlano eventi, li contestualizzano, conducono investigazioni multi-step e, in scenari ad alta confidenza, possono anche attivare azioni di risposta. Gli AI Agent non solo aiutano a capire cosa succede, ma contribuiscono attivamente alla gestione dell’incidente. Questo cambia radicalmente il ruolo del SOC. Il focus di un analista è ora su ciò che richiede esperienza, competenze, contesto e giudizio, mentre le attività a basso valore vengono delegate agli agenti.
Autonomous vs Augmented: dove si gioca la vera scelta per i SOC
Di fronte a questa evoluzione, la vera domanda non è se usare l’AI, ma come farlo. E le strade sono principalmente due.
La prima è rappresentata dal modello AI-Autonomous, in cui gli AI Agent gestiscono in piena autonomia il ciclo di vita degli incidenti, dalla detection alla risposta. Questo approccio promette massima velocità, ma l’assenza di supervisione e controllo umani richiede l’introduzione di meccanismi avanzati di governance, in grado di garantire trasparenza e affidabilità: in scenari complessi, errori di valutazione possono avere impatti rilevanti sul business.
La seconda strada, su cui NTT DATA orienta il proprio approccio, è il modello AI-Augmented. Qui gli AI Agent operano attivamente all’interno del processo e preparano il contesto decisionale, ma, a differenza del modello AI-Autonomous, le decisioni critiche e le azioni ad alto impatto restano sotto il controllo umano.
Questo approccio consente di ottenere i benefici dell’AI senza rinunciare a elementi fondamentali come supervisione, trasparenza e gestione del rischio.
I benefici concreti di un SOC AI-Augmented
L’adozione di un modello AI-Augmented genera benefici chiari e misurabili sull’operatività del SOC.
Delegando agli AI Agent le fasi iniziali di analisi, il ciclo di gestione degli incidenti si velocizza sensibilmente, con un miglioramento diretto delle principali metriche del SOC, come MTTD e MTTR.
Allo stesso tempo, l’automazione delle attività ripetitive riduce il carico sugli analisti, che possono concentrarsi su attività a maggior valore, migliorando la qualità e l’accuratezza delle analisi.
L’AI contribuisce anche a una migliore qualità della detection, filtrando una parte significativa dei falsi positivi e arricchendo gli alert con il necessario contesto. Il risultato è un processo decisionale più rapido e informato.
Infine, un aspetto chiave è la scalabilità: un SOC AI-Augmented è in grado di gestire volumi crescenti di alert senza aumentare proporzionalmente le risorse, rendendo il modello sostenibile nel tempo.
Il futuro del SOC è una scelta di controllo
L’aumento della complessità, la velocità degli attacchi e la pressione operativa rendono evidente che il modello tradizionale del SOC non è più sostenibile, e che l’adozione degli AI Agent rappresenta un’evoluzione sempre più necessaria.
Ma la vera differenza non sarà tra chi adotta l’AI e chi no, ma tra chi la adotta in modo consapevole e chi la subisce.
Affidarsi completamente a modelli autonomi può sembrare la strada più veloce, ma espone alla perdita di controllo. Il modello AI-Augmented offre una direzione diversa, perché non elimina il ruolo umano, ma lo ridefinisce. Non rinuncia all’automazione, ma la governa.
Qui si gioca il futuro del SOC: non nella scelta tra umano e macchina, ma nella capacità di farli lavorare insieme nel modo giusto.