Oleh Rich Perkins, Insinyur Penjualan Utama, Keamanan Nabi
Pengeluaran keamanan Anda kira-kira dua kali lipat dalam enam tahun. Waktu Anda untuk menyelidiki dan merespons belum berubah. CFO Anda bertanya mengapa jumlah personel keamanan terus bertambah sementara metrik yang penting bagi bisnis tidak.
Arsitektur di bawah SOC Anda adalah alasannya. Bukan tim Anda. Bukan investasi perkakas Anda. Bukan saluran perekrutan Anda. Model operasi yang diwarisi program Anda diasumsikan digerakkan oleh manusia triase kewaspadaan pada volume yang diproduksi bisnis tersebut lima tahun yang lalu, dan bisnis tersebut sudah lama berhenti mengeluarkan peringatan pada volume tersebut.
Ini adalah bagian tentang mengapa mempekerjakan lebih banyak analis tidak akan menutup kesenjangan, perubahan apa yang terjadi ketika Anda memperbaiki model, dan batasan spesifik serta pertanyaan yang harus membentuk perubahan apa pun. Evaluasi AI SOC. Ini mencakup diagnostik empat pertanyaan yang dapat Anda jalankan di program Anda sendiri dalam waktu yang diperlukan untuk menyelesaikan kopi.
Perhitungan yang tidak mau diakui oleh industri
Google Mandiant terbaru M-Tren pelaporan menempatkan waktu tunggu median global pada 14 hari. Laporan yang sama menemukan bahwa pada tahun 2025, rentang waktu “serah terima” antara akses awal dan transfer selanjutnya ke kelompok ancaman sekunder menyusut menjadi hanya 22 detik, turun 95% dari 8 jam pada tahun 2022. Laporan Ancaman Global tahun 2026 dari Crowdstrike mengungkap tren serupa, dengan waktu breakout rata-rata turun menjadi 29 menit, dari akses awal hingga eksfiltrasi.
IBM yang terbaru Kerugian Akibat Pelanggaran Data penelitian menyebutkan waktu rata-rata untuk mengidentifikasi dan mengatasi pelanggaran pada tahun 2025 adalah 241 hari, dengan biaya rata-rata sebesar $4,88 juta. Jumlah tersebut turun 16% dibandingkan tahun 2020, ketika waktu untuk mengidentifikasi dan mengatasi pelanggaran mencapai 281 hari. Angka-angka tersebut belum meningkat sesuai dengan kecepatan yang diharapkan dari belanja keamanan, meskipun belanja tersebut meningkat sekitar dua kali lipat dalam lima tahun, dan juga tidak mengikuti periode “breakout” atau “hand-off” yang lebih pendek.
Hal ini tidak dirancang untuk menakut-nakuti para pembela HAM agar mengejar sensasi berikutnya. Ini adalah kenyataan operasional. Uang masuk, kompleksitas masuk, namun kurva mulai dari deteksi hingga investigasi dan pembendungan nyaris tidak berubah.
Tim SOC telah melakukan langkah efisiensi yang nyata. Mereka tingkatkan tingkat keparahannya. Mereka secara otomatis menutup kelas peringatan yang diketahui jinak. Mereka menekan aturan deteksi kebisingan. Mereka menyetel. Mereka mengarahkan. Bukan itu masalahnya.
Masalahnya adalah bahkan setelah semua upaya tersebut dilakukan, volume yang dapat diperoleh manusia untuk penyelidikan sebenarnya masih melebihi jumlah yang dapat diselidiki manusia pada kedalaman yang diperlukan. Kami telah menulis seluruh ebook tentang bagaimana antrian SOC dilanggar, dan Anda bisa melakukannya unduh di sini.
Dalam penerapan yang pernah saya kerjakan, volume pasca-tiering yang mengenai triase manusia biasanya mencapai kisaran 120 hingga 150 peringatan per hari. Dengan durasi 20 menit per investigasi termasuk dokumentasi, itu berarti 40 hingga 50 jam analis setiap hari. Tim SOC yang terdiri dari 5 hingga 10 analis dapat menangani rentang teratas tersebut selama jam kerja, meninggalkan sisa antrean untuk shift berikutnya, hari berikutnya, atau tidak sama sekali.
Itulah kesenjangan yang tidak bisa ditutup dengan jumlah karyawan yang lebih banyak. Anda tidak dapat mempekerjakan cukup banyak analis untuk menyelidiki 100% volume pasca-tiering pada kedalaman yang dibutuhkan pekerjaan. Anda dapat mencari cara untuk mendapatkan cakupan margin yang lebih baik. Anda tidak dapat mencari jalan menuju perubahan model.
Diagnostik yang dapat Anda jalankan di SOC Anda sendiri
Sebelum melangkah lebih jauh, jalankan empat pertanyaan berikut pada program Anda. Sejujurnya. Jawabannya memetakan Anda kapasitas SOC titik buta lebih dapat diandalkan daripada penawaran vendor mana pun.
1. Berapa persentase peringatan di atas ambang batas investigasi yang Anda tentukan yang benar-benar diselidiki oleh tim Anda pada kuartal terakhir? Jika kurang dari 90%, Anda memiliki kesenjangan cakupan yang menyembunyikan risiko sebenarnya. Kesenjangan ini terjadi karena cara kerja mengalir, bukan karena siapa pun yang menjatuhkan bola. Jumlah karyawan yang lebih banyak tidak akan menutupnya.
2. Berapa banyak aturan deteksi yang ditekan oleh tim Anda dalam 12 bulan terakhir tanpa tiket teknis untuk menggantikan cakupannya? Menekan peraturan yang bising adalah penyesuaian yang sehat. Menekan mereka tanpa rekayasa lanjutan untuk menggantikan apa yang mereka tonton adalah utang. Setiap penindasan yang tidak terdokumentasi adalah permukaan serangan yang sudah tidak lagi Anda pantau, dan ancaman yang dirancang untuk ditangkap oleh aturan tersebut tidak hilang karena Anda menonaktifkannya.
3. Berapa pergantian analis senior Anda tahun lalu, dan berapa lama waktu yang dibutuhkan setiap penggantian untuk mencapai kontribusi produktif? Jika turnover melebihi 15% atau ramp melebihi 6 bulan, bangku cadangan Anda rapuh. Anda tinggal satu lagi pengunduran diri dari dampak operasional. Pengetahuan suku yang hilang merupakan salah satu titik kegagalan yang tidak direncanakan oleh sebagian besar program untuk diperbaiki.
4. Jika volume peringatan meningkat dua kali lipat besok, hal pertama apa yang akan dihentikan oleh tim Anda? Jawaban yang jujur adalah bagian dari program Anda yang sudah terendam air. Apapun yang Anda potong pertama kali adalah apa yang saat ini ditahan oleh seutas benang. Di situlah fokus pembicaraan model operasi.
Jika tiga atau lebih dari jawaban ini mengkhawatirkan Anda, percakapan produktif beralih dari perekrutan ke pertanyaan lain: apakah arsitektur di bawah tim Anda dapat menjalankan program yang benar-benar ingin Anda jalankan.
Apa yang berubah ketika model diperbaiki
Tim yang membuat kemajuan nyata bukanlah tim yang mempekerjakan lebih banyak analis. Merekalah yang mengubah pekerjaan yang harus dilakukan manusia.
JB Poindexter & Co, produsen terdiversifikasi dengan 8.500 karyawan, menerapkan Nabi AI pada tahun 2025. Dalam 60 hari pertama, mereka menjalankan 4.407 investigasi melalui platform dengan waktu investigasi kurang dari 4 menit.
Itu berarti 73 investigasi per hari secara mendalam, dibandingkan dengan median waktu tunggu industri Mandiant yang diukur dalam hari. Penerapan ini menghasilkan sekitar 1.469 jam waktu analis bagi tim mereka, setara dengan kapasitas investigasi 6,3 tahun analis pada tahunanisasi penuh.
CISO mereka, John Barrow, menggambarkan hasilnya sebagai “lebih cepat, lebih fokus, dan mampu berkembang tanpa menambah jumlah karyawan secara langsung.”
Pergeseran model operasi dalam kalimat itu adalah yang penting. Bukan “kami mempekerjakan lebih banyak orang”. Bukan “kami bekerja lebih keras pada karyawan kami yang ada”. Pekerjaan itu tidak lagi memerlukan jumlah orang yang sama.
Pekerjaan kabinet berjalan 3.200 peringatan melalui Nabi AI dalam 33 hari. Enam meningkat menjadi manusia. Hasil yang tidak terduga adalah pengurangan biaya SIEM sebesar 90%, terutama karena tidak perlu lagi menyerap dan menyimpan EDR mentah dan telemetri identitas yang telah dimasukkan ke dalam SIEM semata-mata untuk kueri pivot analis.
Ketika AI menangani pivot tersebut secara langsung terhadap sistem sumber, tingkat penyerapan tersebut menjadi opsional. Item baris yang dipotong bukanlah item yang jelas, dan sebagian besar tim tidak membuat model penghematan sekunder tersebut ketika mereka mengevaluasi alat AI SOC. Mereka harus melakukannya. Untuk program yang menjalankan kontrak SIEM perusahaan dalam kisaran tujuh digit, penghematan sekunder seringkali melebihi biaya platform AI itu sendiri.
Hasil kedua yang perlu diperhatikan: ketika antrean selesai, tim tidak lagi harus mengabaikan peringatan tingkat keparahan rendah dan sedang. Kebanyakan SOC diam-diam berhenti menyelidiki kelas-kelas tersebut di bawah tekanan kapasitas, bahkan ketika pimpinan keamanan mereka mengetahui bahwa kesenjangan cakupan itu penting. Peringatan tingkat keparahan sedang tidak berisiko karena tingkat keparahannya sedang.
Ini berisiko karena di situlah penyerang sebenarnya bersembunyi sementara tim Anda terkubur dalam kebisingan yang sangat parah. Membawa kembali tingkat menengah dan rendah ke dalam cakupan investigasi adalah perubahan cakupan yang diinginkan sebagian besar tim dan sangat sedikit yang dapat memanfaatkannya.
Setiap penerapan memerlukan penyesuaian terfokus selama dua hingga empat minggu sebelum mencapai kondisi stabil.
Bagaimana CISO mendanai hal ini
Bagian yang ditulis secara mental oleh CISO sambil membaca konten vendor adalah permintaan anggaran. Dari mana uang ini berasal?
Tiga pola yang saya lihat berhasil, berdasarkan tingkat kesulitan politik CISO.
Jalur pertama: Anggaran jumlah pegawai tidak disetujui. Jalur pendanaan terbersih. Tim telah menyetujui atau menunggu jumlah karyawan yang belum diisi oleh program, dan platform AI menggantikan kebutuhan untuk mempekerjakan peran tersebut. Biaya penuh untuk analis Tingkat 2 biasanya mencapai $180K hingga $300K tergantung pada pasar dan senioritas, yang menentukan dasar apa yang perlu digantikan oleh platform AI agar perhitungannya berhasil.
Pola JB Poindexter cocok di sini. Kerangka kerja “penskalaan tanpa menambahkan jumlah karyawan langsung” adalah bahasa pengadaan untuk “inilah yang kami lakukan alih-alih menyetujui perekrutan berikutnya.”
Jalur kedua: pengurangan biaya SIEM. Jika tim Anda menggunakan SIEM sebagai ruang kerja pivot investigasi (telemetri EDR mentah, log identitas, data jaringan), dan platform AI mengambil alih pivot tersebut, tingkat penyerapan dan penyimpanan SIEM menjadi opsional.
Pola Kabinet. Penghematan penyerapan SIEM sangat bergantung pada volume tetapi biasanya mencapai 30 hingga 60 persen dari total pengeluaran SIEM ketika telemetri investigasi adalah pendorong utamanya.
Untuk program yang menjalankan kontrak SIEM dengan nilai pertengahan enam digit atau tujuh digit, jalur pendanaan ini dapat sepenuhnya menutupi platform AI dengan sisa tabungan. Dapatkan tanggal siklus perpanjangan SIEM Anda sebelum memulai evaluasi, karena waktunya penting.
Jalur ketiga: Perpindahan alat. Pertarungan politik yang paling sulit. Mengganti SOAR yang sudah ada, alur kerja manajemen kasus yang sudah ada, atau layanan terkelola yang sudah ada. Penghematan yang diperoleh terlalu bervariasi untuk digeneralisasikan, namun perpindahan tersebut menimbulkan pertentangan internal dari siapa pun pemilik alat yang dipindahkan tersebut. Rencanakan hal ini sebagai proyek manajemen perubahan yang berdurasi 6 bulan, bukan keputusan pengadaan.
Sebagian besar program mendapatkan pendanaan melalui kombinasi jalur satu dan dua. Jalur ketiga adalah percakapan tahun kedua, bukan percakapan tahun pertama.
Dimana manusia masih perlu memimpin
Saya pro AI SOC. Saya bekerja untuk satu hal. Jadi ketika saya memberi tahu Anda bahwa ini bukan alat yang tepat, tanggapilah dengan serius. Tiga kategori yang saya sarankan agar manusia tetap memimpin.
Investigasi ancaman orang dalam yang sinyalnya berada dalam konteks manusia, bukan log. AI bekerja dengan baik pada ancaman orang dalam berbentuk DLP yang sinyalnya ada dalam telemetri: pergerakan file yang tidak biasa, exfil ke cloud pribadi, penarikan repo sensitif di luar jam kerja. Kesulitannya adalah subset yang lebih sulit di mana sinyal penentu tidak ada dalam log apa pun.
PIP yang dimulai Senin. Percakapan seorang manajer dua minggu lalu. Kontraktor yang kontraknya berakhir pada hari Jumat. AI tidak memiliki konteks itu. Manusia Anda melakukannya.
Desain yang tepat membagi pekerjaan dengan rapi: AI menangani lapisan telemetri, tim Anda menangani lapisan konteks manusia. Meminta satu alat untuk melakukan keduanya akan membuat investigasi ini gagal.
TTP baru tanpa analog dalam data pelatihan. Investigasi AI pada dasarnya adalah pencocokan pola atas contoh-contoh sejarah. Menurut definisinya, ini adalah serangan terlemah yang tidak terlihat seperti apa pun yang pernah Anda lihat. Pemburu ancaman senior Anda mendapatkan peringatan yang tidak cocok dengan apa pun di katalog. Jangan melakukan outsourcing pekerjaan itu.
Lingkungan dengan regulasi ketat yang mana aturan residensi data menentukan di mana telemetri peringatan dapat diterapkan. Jika postur kepatuhan Anda tidak memungkinkan metadata meninggalkan cloud atau negara tertentu, sebagian besar platform AI SOC (termasuk Nabi AI) memerlukan pekerjaan arsitektur nyata agar sesuai. Beberapa tidak muat sama sekali. Jangan biarkan vendor mana pun mengabaikan kekhawatiran itu begitu saja.
Jika Anda mengevaluasi alat AI SOC, tanyakan kepada vendor di mana tepatnya alat mereka gagal. Jika mereka tidak mempunyai jawaban yang siap, itulah jawabannya.
Tiga pertanyaan yang selalu ditanyakan pembeli
Tiga pertanyaan muncul di hampir setiap evaluasi, dan pertanyaan-pertanyaan tersebut layak mendapatkan jawaban langsung.
Apa yang terjadi jika AI melakukan kesalahan? Nabi AI mendokumentasikan setiap langkah dari setiap penyelidikan. Setiap pertanyaan yang diajukan, setiap pertanyaan yang diajukan, setiap bukti yang ditarik, alasan yang mengarah pada putusan. Ketika suatu keputusan salah, rangkaian penalaran menunjukkan dengan tepat letak kesalahannya, dan tim Anda dapat mengkodekan koreksi tersebut kembali ke dalam Panduan sehingga kesalahan yang sama tidak terulang kembali.
Ini adalah jejak audit yang berbeda dari catatan kasus tiga kalimat yang ditulis sebagian besar analis saat ini di bawah tekanan antrean, dan ini lebih penting daripada yang biasanya diakui oleh konten vendor.
Regulator mulai mempertanyakan keputusan keamanan berbasis AI. Dewan menanyakan tentang dokumentasi yang dapat dipertahankan tentang apa yang diselidiki SOC dan alasannya. Tinjauan pasca-insiden akan lebih mudah dilakukan jika rantai buktinya selaras selesai secara default. Jejak audit bukanlah sebuah fitur. Begitulah cara Anda tetap duduk di meja ketika auditor atau dewan datang bertanya.
Apa yang terjadi dengan rekayasa deteksi? Ini adalah pertanyaan pertama yang ditanyakan oleh praktisi senior, dan ini adalah pertanyaan yang tepat. Anda mungkin khawatir jika AI menangani penyelidikan, tim Anda kehilangan umpan balik alami tempat analis menangkap dan menyesuaikan deteksi gangguan. Jawaban jujurnya: pekerjaan itu bergerak secara eksplisit ke hulu.
Daripada mengandalkan triase manual untuk mengenali kebisingan, mendeteksi rekayasa sekarang menggunakan AI data investigasi yang komprehensif sebagai umpan balik yang besar, mengalihkan fokus dari menekan peringatan menjadi melengkapi AI dengan konteks yang lebih baik.
Untuk mewujudkan pekerjaan hulu tersebut, rekayasa pendeteksian beralih dari aktivitas darurat yang dilakukan di antara peringatan ke disiplin terjadwal yang dimiliki oleh analis senior yang waktu triasenya telah dikosongkan oleh AI. Tim yang gagal mengoperasionalkan perubahan tersebut akan mengalami penyimpangan kualitas deteksi seiring berjalannya waktu. Tim yang mengoperasionalkannya dengan baik melihat peningkatan kualitas deteksi, karena rekayasa terjadi dengan niat dan fokus khusus.
Seperti apa panitia pembeliannya? Platform AI SOC menyentuh operasi keamanan, namun pembahasan pengadaan sering kali membahas TI (untuk integrasi dan identitas), kepatuhan (untuk penanganan data dan postur audit), hukum (untuk perjanjian pemrosesan data dan persyaratan kontrak khusus AI), dan pengadaan (untuk tinjauan risiko vendor).
Rencanakan itu sejak dini. Program yang mencoba menerapkan AI SOC sebagai keputusan tim keamanan sering kali mengalami penundaan enam minggu ketika kepatuhan menemukan pertanyaan aliran data di minggu keempat. Program yang memasukkan aspek kepatuhan dan hukum pada awal evaluasi biasanya berakhir dalam separuh waktu.
Pertanyaan risiko vendor patut ditanyakan
Satu pertanyaan yang hampir tidak pernah dijawab oleh konten vendor secara langsung, dan CISO lebih memedulikan hal ini daripada yang disadari oleh vendor: apa yang terjadi pada program Anda jika vendor AI SOC diakuisisi, melakukan pivot, atau gagal? Siklus pengadaan tiga tahun bertahan lebih lama dari banyak strategi vendor.
Tiga hal yang perlu dikonfirmasikan dengan vendor AI SOC mana pun sebelum penandatanganan.
Pertama, portabilitas data: dapatkah Anda mengekspor riwayat penyelidikan, konfigurasi Panduan, dan logika deteksi dalam format yang tahan terhadap perubahan vendor?
Kedua, independensi runbook: apakah aturan Panduan yang dapat dibaca manusia yang Anda enkodekan khusus untuk vendor ini, atau apakah aturan tersebut mendokumentasikan logika SOC yang dapat dibangun kembali oleh tim Anda di tempat lain?
Ketiga, kesinambungan kontrak: apa yang terjadi dengan kewajiban layanan, penanganan data, dan dukungan selama peristiwa akuisisi atau penutupan?
Yang ketiga cenderung memisahkan vendor yang serius dari yang lain. Sebagian besar dapat menjawab dua pertanyaan pertama. Hanya sedikit yang mempunyai jawaban yang tepat untuk pertanyaan ketiga tanpa persiapan awal yang signifikan, yang merupakan sinyal yang perlu diperhatikan selama evaluasi.
Menutup pemikiran
Keamanan Nabi platform AI SOC yang agen mengoperasionalkan teknik analis ahli dengan kecepatan mesin di semua volume peringatan, apa pun tingkat keparahannya, untuk memastikan antrian triase yang jelas secara konsisten dan menetralisir ancaman terlebih dahulu.
Jika jawaban jujur Anda terhadap empat pertanyaan diagnostik di awal artikel ini membuat Anda khawatir, pembicaraan selanjutnya bukanlah apakah AI SOC adalah jawabannya. Ini adalah apa yang sebenarnya dilakukan oleh analis senior Anda pada Selasa pagi mereka jika antrean triase tidak menjalankannya.
Itulah pertanyaan model operasi. Apakah Anda menyelesaikannya dengan Prophet Security atau orang lain, arsitekturlah yang perlu diubah. Mempekerjakan lebih banyak analis untuk melakukan triase pada volume yang dihasilkan mesin adalah strategi yang berhasil pada tahun 2018. Perhitungannya belum berhasil sejak tahun 2022.
Tim yang mengubah arsitektur akan mendapatkan pembicaraan berbeda dengan dewan direksi mereka tahun depan. Tim yang tidak mendapatkan yang sama akan mendapatkan yang sama seperti tahun lalu, dengan jumlah yang sedikit lebih tinggi pada garis pembelanjaan dan jumlah yang sama pada garis waktu untuk mendeteksi.
Pilih percakapan yang ingin Anda lakukan.
Jika SOC Anda menghadapi kelebihan peringatan atau waktu investigasi yang lama, kami akan dengan senang hati menunjukkan kepada Anda seperti apa penerapan Nabi AI dalam praktiknya. Minta demo atau hubungi langsung untuk mempelajari lebih lanjut.
Rich Perkins adalah Insinyur Penjualan Utama di Prophet Security. Hubungi dia di rich.perkins@prophetsecurity.ai atau sambungkan LinkedIn.
Disponsori dan ditulis oleh Keamanan Nabi.
