ภัยคุกคามไซเบอร์ที่พัฒนาอย่างรวดเร็ว กำลังสร้างแรงกดดันอย่างหนักให้กับทีมปฏิบัติการด้านความปลอดภัย เนื่องจากการขยายขนาดการทำงานเพื่อรับมือกับภัยคุกคามรูปแบบใหม่ ๆ ต้องใช้ทรัพยากรมหาศาลทั้งบุคลากร เทคโนโลยี และงบประมาณ หากปรับตัวได้ไม่ทันกับการแจ้งเตือนปริมาณมหาศาล และสิ่งที่ต้องทำเพื่อจัดการกับปัญหาเหล่านั้น องค์กรอาจต้องเผชิญกับความเสี่ยงด้านความปลอดภัยที่สูงขึ้น และอาจส่งผลให้ปฏิบัติการด้านความปลอดภัยจำนวนมากหยุดชะงัก
ระบบอัตโนมัติ (Automation) มอบโอกาสในการเพิ่มประสิทธิภาพให้กับทีมงานเพื่อรับมือกับความท้าทายได้จริง แต่ไม่ใช่คำตอบสุดท้ายทั้งหมด องค์กรไม่สามารถแก้ไขปัญหาหรือปรับขนาดการป้องกันได้เพียง “ติดตั้งระบบอัตโนมัติ” ในศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) เท่านั้น เพราะภัยคุกคามและเทคโนโลยีนั้นเปลี่ยนแปลงอยู่เสมอ ทำให้ข้อกำหนดในการทำงานของมนุษย์เปลี่ยนตามไปด้วย และยังไม่สามารถลดบทบาทของมนุษย์ออกไปได้อย่างสิ้นเชิง
ระบบอัตโนมัติที่ทำงานสมบูรณ์แบบนั้นเป็นไปไม่ได้ เพราะจะต้องมีความแม่นยำอย่างไร้ที่ติ ซึ่งเป็นสิ่งที่ทำไม่ได้ โดยการเปลี่ยนแปลงที่เป็นไปอย่างรวดเร็วนั้นหมายความถึงว่าเมื่อทีมจัดการทำให้บางอย่างให้เป็นอัตโนมัติแล้ว ปัญหาใหม่ ๆ อีกเป็น 10 อย่างจะเกิดขึ้นตามมา ฉะนั้นแนวคิดที่มองว่าการมีส่วนร่วมของมนุษย์ในความรับผิดชอบของศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) จะสามารถถูกแทนที่ได้อย่างสมบูรณ์นั้นไม่เป็นความจริง
การใช้ AI ทำงานร่วมกับระบบอัตโนมัติภายใน SOC เป็นสิ่งที่หลีกเลี่ยงไม่ได้ เนื่องจากมีข้อมูลบันทึก (Log Data) ขนาดใหญ่ วิธีการสืบสวนที่ซับซ้อน จับรูปแบบได้ยาก และข้อกำหนดด้านทักษะที่หลากหลายยังคงจัดการได้ยากขึ้นเรื่อย ๆ
แม้ว่า AI และระบบอัตโนมัติไม่สามารถมอบความเป็นอิสระได้อย่างเต็มที่ แต่จะสร้างความสามารถในการขยายขนาดที่จำเป็นอย่างมาก โดยเฉพาะอย่างยิ่งเพื่อเสริมบทบาทภายใน SOC และปรับตัวให้เข้ากับข้อกำหนดในอนาคตโดยไม่จำเป็นต้องปรับปรุงครั้งใหญ่
การบรรลุผลลัพธ์ที่มีผลกระทบมากขึ้น
ระบบอัตโนมัติและ AI กำลังเปลี่ยนแปลงการรับรู้ของผู้บริหารเกี่ยวกับสิ่งที่เป็นไปได้หรือปฏิบัติได้จริงภายในทีมปฏิบัติการด้านความปลอดภัย อย่างไรก็ตามควรหลีกเลี่ยงการทำให้สิ่งเหล่านี้เป็นศูนย์กลางกลยุทธ์
ในทางกลับกันการพัฒนากลยุทธ์ที่มุ่งเน้นไปยังการขยายศักยภาพการทำงานอย่างก้าวกระโดดในกระบวนการปฏิบัติการด้านความปลอดภัย การปรับปรุงประสิทธิภาพของทีมผ่านโครงการต่าง ๆ และเสริมด้วยการใช้ทั้ง AI และระบบอัตโนมัติ การ์ทเนอร์คาดการณ์ว่า 25% ของงาน SOC พื้นฐานจะประหยัดต้นทุนได้มากขึ้น 50% ภายในปี 2027 เนื่องจากการปรับปรุงระบบอัตโนมัติและกลยุทธ์ด้านHyperscaling
ความคิดริเริ่มของ SOC ที่มุ่งเน้นการเพิ่มประสิทธิภาพงานและขั้นตอนการทำงาน แทนที่จะเป็นระบบอัตโนมัติแบบ End-to-End จะได้ผลลัพธ์ที่มีผลกระทบสำคัญมากขึ้น จากการตั้งเป้าหมายในการขยายบทบาทของ SOC อาทิ การสืบสวนเหตุการณ์ต่าง ๆ เช่น การให้บริบทการแจ้งเตือนแทนการให้ข้อมูลเป็นขั้นตอนการทำงานหรือบทบาททั้งหมด
ศักยภาพในการเปลี่ยนแปลงการจัดสรรงบประมาณจากเครื่องมือรักษาความปลอดภัยในการปฏิบัติงานไปสู่โซลูชันที่ขับเคลื่อนด้วยระบบอัตโนมัติและโซลูชันที่ส่งเสริมการใช้ AI นั้นมีสูง ดังนั้นควรขยายงบประมาณเพื่อรวมความสามารถของ AI หรือมองหาผู้ขายที่สามารถทำได้ทั้งระบบอัตโนมัติและ AI ภายในโซลูชันเดียวได้
การก้าวขึ้นมาของ GenAI
GenAI ให้คำมั่นสัญญามากมายกับทีมปฏิบัติการด้านความปลอดภัยโดยเฉพาะอย่างยิ่งการจะช่วยปิดช่องว่างต่าง ๆ เช่น การขาดแคลนกำลังคนและความสามารถในการตรวจจับและตอบสนอง อย่างไรก็ตาม การ์ทเนอร์คาดการณ์ว่า 30% ของผู้นำ SOC จะล้มเหลวในความพยายามที่จะรวม GenAI เข้ากับกระบวนการผลิตภายในปี 2027 เนื่องมาจากความไม่ถูกต้องและภาพลวงตา (Hallucinations) จากผลลัพธ์ที่ได้
มีองค์กรไม่กี่แห่งที่พิจารณานำ GenAI มาใช้สร้างขั้นตอนใหม่ในการประมวลผลการแจ้งเตือนและเหตุการณ์ที่สร้างโดยเครื่องมือปฏิบัติการด้านความปลอดภัย ซึ่งการขาดการวางแผนนี้หมายความว่าการชดเชยที่ไม่เพียงพอสำหรับการตรวจสอบผลลัพธ์และการดำเนินการที่อาจได้รับอิทธิพลจากความไม่ถูกต้องของ GenAI
ยังขาดการให้ความสำคัญกับการวัดมูลค่าและผลกระทบของ GenAI ในกระบวนการต่าง ๆ ของ SOC ซึ่งหมายความว่าองค์กรไม่สามารถพิสูจน์ประสิทธิภาพการใช้จ่ายไปกับความสามารถของ GenAI ได้ ซึ่งนำไปสู่การใช้เวลาอย่างมากเพื่อย้อนกลับไปวิเคราะห์มูลค่าที่ได้รับ
กระบวนการของ SOC ที่มีอยู่เดิม ต้นทุนด้านบุคลากรและเทคโนโลยี ถือเป็นสิ่งสำคัญ ก่อนการเริ่มคิดถึงโครงการ AI SOC โดยการทำความเข้าใจถึงศักยภาพของการประหยัดนั้นจะเป็นประโยชน์กับกรณีทางธุรกิจใด ๆ และสามารถใช้เป็นเกณฑ์มาตรฐานเพื่อเปรียบเทียบมูลค่าที่ได้รับจากการใช้ AI ในอนาคต
เปรียบเทียบระหว่างการสร้างกับการซื้อ AI
ทีมงานปฏิบัติการด้านความปลอดภัยได้เห็นผลลัพธ์ที่ไม่ดีนักจากเทคโนโลยี AI ที่พัฒนาไปจนสุดแล้ว เช่น การวิเคราะห์พฤติกรรมผู้ใช้และระบบภายในองค์กร (User and Entity Behavior Analytics) สิ่งนี้ทำให้องค์กรละทิ้งผลิตภัณฑ์เหล่านี้หรือสร้างความสามารถในการตรวจจับเฉพาะเพื่อให้เหมาะกับความต้องการของตนเอง
การ์ทเนอร์คาดการณ์ว่า 45% ของ SOC จะประเมินการตัดสินใจระหว่างการพัฒนาเทียบกับการซื้อเทคโนโลยีการตรวจจับ AI ใหม่ภายในปี 2027 โดยเน้นที่การปรับปรุงความสามารถของการวิเคราะห์ความปลอดภัย
การหลอมรวมเทคโนโลยีการตรวจจับ AI ที่สร้างขึ้นเอง เข้ากับเครื่องมือและระบบรักษาความปลอดภัยที่มีอยู่เดิมสามารถปรับปรุงกระบวนการด้านความปลอดภัยโดยรวมขององค์กรได้อย่างมาก เมื่อระบบ AI เข้ากันได้อย่างสมบูรณ์กับเครื่องมือและแพลตฟอร์มปัจจุบัน ระบบเหล่านี้จะสามารถทำงานร่วมกันได้โดยใช้ประโยชน์จากจุดแข็งของเทคโนโลยีแบบดั้งเดิมและเทคโนโลยีขั้นสูง
การประเมินผลกระทบทางการเงิน การปฏิบัติงานและกลยุทธ์ที่มีความสัมพันธ์กันของการสร้างเทียบกับการซื้อเทคโนโลยีที่ขับเคลื่อนด้วย AI เป็นสิ่งสำคัญ เช่นเดียวกับการมีชุดทักษะที่จำเป็นสำหรับการดำเนินการ
ทักษะด้านความปลอดภัยที่กร่อนหายไป
ผู้นำธุรกิจที่ผลักดันให้มีระบบอัตโนมัติและ AI มากขึ้น ภายในปฏิบัติการด้านความปลอดภัยเพื่อลดต้นทุนและเพิ่มประสิทธิภาพ จะนำไปสู่การลดลงของทักษะการวิเคราะห์ความปลอดภัยขั้นพื้นฐาน ด้วยเหตุนี้ การ์ทเนอร์จึงคาดการณ์ว่า 75% ของทีมงาน SOC จะประสบกับการกร่อนหายไปของทักษะเหล่านี้ ภายในปี 2030
โปรแกรมการเรียนรู้ การพัฒนา และการรับรองด้านความปลอดภัยจะเปลี่ยนจากการฝึกอบรมระหว่างปฏิบัติงานไปสู่การนำเสนอแนวทางการป้อนข้อมูลและการพัฒนากระบวนการอัตโนมัติมากขึ้น นอกจากนี้ ความเชี่ยวชาญด้านการวิเคราะห์ภัยคุกคามและเหตุการณ์ที่เกิดจากมนุษย์จะกระจุกตัวอยู่ที่ผู้ขายและผู้ให้บริการภายนอกเท่านั้น
องค์กรต้องมีส่วนร่วมกับนักวิเคราะห์ความปลอดภัยของตนในตอนนี้ เพื่อกำหนดบทบาทความต้องการให้กับพวกเขาอย่างชัดเจน หากมีการใช้โซลูชันความปลอดภัยของ AI และระบบอัตโนมัติ โดยการหารือถึงความเป็นไปได้ที่แท้จริงของการกัดกร่อนทักษะอันเนื่องมาจากAI พร้อมระบุว่าฟังก์ชัน SOC ที่นำโดยมนุษย์ยังคงมีอยู่ในจุดไหน รวมถึงวิธีเปลี่ยนบทบาทนักวิเคราะห์ SOC ไปสู่งานที่ต้องใช้การตัดสินใจของมนุษย์ตามแนวทาง Human-in-the-Loop มากขึ้น
นอกจากนี้ ควรจัดทำกรณีทางธุรกิจเพื่อบำรุงรักษาศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) จากภายใน เพื่อตอบโต้แรงกดดันจากผู้นำธุรกิจ ซึ่งมนุษย์ยังคงได้เปรียบเหนือเครื่องจักรในด้านความรู้ขององค์กร พลวัตสำนักงานที่จับต้องไม่ได้และการตัดสินใจโดยสัญชาตญาณ
บทความโดย : Pete Shoard รองประธานนักวิเคราะห์ของการ์ทเนอร์
