Splunk ha pubblicato il proprio report globale “State of Security 2025”, evidenziando le crescenti sfide affrontate dai Security Operations Center (SOC). Il report rivela i punti critici che ostacolano le organizzazioni e esponendole alle minacce: il 46% degli intervistati ha dichiarato di dedicare più tempo alla manutenzione dei tool piuttosto che alla difesa dell’organizzazione, mentre solo l’11% si affida completamente dell’intelligenza artificiale per le attività mission-critical. Inoltre, il 66% ha subito una violazione dei dati nell’ultimo anno, tipologia di incidente più comune.
Con il sorgere di nuove minacce, come gli attacchi basati sull’intelligenza artificiale, le organizzazioni devono essere pienamente preparate per essere in grado di proteggere sé stesse e i propri clienti. Per fronteggiare questi rischi occorre costruire un SOC unificato che combini le competenze umane con i progressi dell’intelligenza artificiale.
“Le organizzazioni si affidano sempre più all’intelligenza artificiale per la ricerca e il rilevamento delle minacce e per altre attività mission-critical, ma non prevediamo che l’intelligenza artificiale assumerà la completa supervisione del SOC, per una buona ragione”, afferma Michael Fanning, CISO di Splunk. “La supervisione umana resta cruciale per un’efficace sicurezza informatica mentre l’intelligenza artificiale integra le capacità umane fornendo supporto dove serve: ossia nel difendere l’organizzazione”.
“Con l’aumento del volume e del livello di sofisticazione delle minacce informatiche, i team addetti alla sicurezza sono costantemente sotto pressione”, ha dichiarato Nate Lesser, CISO del Children’s National Hospital. “Secondo il report State of Security di Splunk, si assiste all’aumento dei carichi di lavoro, del fenomeno dell’alert fatigue e della carenza di talenti qualificati. L’integrazione dell’intelligenza artificiale e dell’automazione ci aiuta ad affrontare questi rischi e fornisce ai nostri team strumenti più intelligenti per garantire che l’organizzazione rimanga resiliente”.
Team di sicurezza ostacolati da inefficienze tecnologiche mentre aumentano le minacce esterne
Quando i flussi di lavoro del SOC (Security Operation Center) non funzionano al massimo dell’efficienza, si creano ostacoli significativi per un rilevamento e una risposta efficace alle minacce. Il report evidenzia aree di inefficienza che aumentano il livello di rischio per le organizzazioni:
- Il 59% indica la manutenzione degli strumenti come principale fonte di inefficienza
- Il 78% segnala che i tool di sicurezza sono dispersi e scollegati
- Il 69% afferma che la disconnessione e dispersione degli strumenti rappresenta una sfida da moderata a significativa
La manutenzione dei tool, i silos informativi e l’alert fatigue rallentano i team SOC. Questi ostacoli quotidiani sottraggono tempo prezioso e compromettono la capacità degli analisti di rispondere in modo rapido e deciso. Il report ha rivelato:
- Il 57% perde tempo prezioso nelle indagini a causa di lacune nella gestione dei dati
- Il 59% riceve un numero eccessivo di allarmi
- Il 55% deve gestire un numero eccessivo di falsi positivi
Analisti SOC sovraccarichi e organici insufficienti
Oltre agli ostacoli operativi, il report fa luce sull’enorme pressione a cui sono sottoposti gli analisti SOC. Livelli di stress elevati, carenza cronica di personale e burnout stanno mettendo a dura prova la retention dei talenti e la stabilità a lungo termine dei team. I dati raccolti mostrano che:
- Il 52% afferma che il proprio team è oberato di lavoro
- Il 52% dichiara che lo stress sul lavoro li ha portati a considerare l’idea di lasciare il settore della sicurezza informatica
- Il 43% lamenta aspettative irrealistiche da parte della leadership
L’adozione della GenAI nel SOC sta generando benefici a lungo termine
Le organizzazioni stanno riconoscendo come l’intelligenza artificiale generativa possa alleviare i problemi legati alle inefficienze operative e alla carenza di personale. Il 59% ha migliorato in modo moderato o significativo l’efficienza grazie all’uso dell’intelligenza artificiale. Oltre la metà (56%) ha dato priorità all’integrazione dell’intelligenza artificiale nei flussi di lavoro di sicurezza quest’anno, mentre 1 su 3 (33%) intende colmare il gap di competenze con l’intelligenza artificiale e l’automazione.
Rispetto agli strumenti disponibili, il 63% degli intervistati da Splunk concorda sul fatto che l’intelligenza artificiale specifica per il dominio della sicurezza migliora in modo significativo o molto significativo le attività. Tuttavia, l’intelligenza artificiale non opera in totale autonomia, poiché le organizzazioni mantengono l’intervento umano per garantire risultati affidabili. Le tre principali attività a cui la GenAI sta contribuendo nei SOC sono:
- Analisi dell’intelligence sulle minacce (33%)
- Interrogazione dei dati di sicurezza (31%)
- Stesura o modifica delle policy di sicurezza (29%)
Un approccio unificato accelera le operazioni
Ridurre al minimo la manutenzione degli strumenti è solo il primo passo: un approccio e una piattaforma di sicurezza unificati per il rilevamento e la risposta alle minacce consentono una collaborazione più stretta, e conferiscono più precisione e rapidità alle indagini. La condivisione di informazioni tra sicurezza e observability è ancora poco diffusa, ma coloro che hanno intrapreso questo percorso hanno conseguito vantaggi significativi. In particolare, il 78% degli intervistati ha registrato più velocità nella rilevazione degli incidenti e il 66% ha riscontrato tempi di risposta più brevi, con benefici da moderati a trasformativi.
