Het gemiddelde zakelijke SOC ontvangt 10.000 waarschuwingen per dag. Iedereen heeft het nodig 20 tot 40 minuten om goed te onderzoeken, maar een volledig bemand team kan slechts 22% van dat aantal verwerken. Meer dan 60% van de beveiligingsteams geeft toe waarschuwingen te negeren wat later van cruciaal belang bleek.
Het runnen van een efficiënt SOC was nog nooit zo moeilijk, en nu verandert de taak. Tier 1-analistentaken – zoals triage, verrijking en escalatie – zijn nu softwarefuncties, en steeds meer SOC-teams wenden zich tot onder toezicht staande AI-agenten om het volume af te handelen. Menselijke analisten verleggen hun prioriteiten om te onderzoeken, beoordelen en gerichte beslissingen te nemen. De responstijd wordt verkort.
Het niet integreren van menselijk inzicht en intuïtie brengt echter enorme kosten met zich mee. Schattingen van Gartner ruim 40% van de AI-projecten van bureaus zal worden geannuleerd tegen eind 2027, met als belangrijkste oorzaken onduidelijke bedrijfswaarde en ontoereikend bestuur. Het op de juiste manier managen van veranderingen en het garanderen van generatieve AI wordt geen agent van chaos in SOC is het zelfs nog belangrijker.
Waarom oude SOC-modellen moeten worden veranderd
Vermoeidheid is tegenwoordig in veel SOC’s ernstig senior analist overweegt een carrièreswitch. Oudere SOC’s met meerdere systemen die tegenstrijdige waarschuwingen geven, en meerdere systemen die helemaal niet met elkaar kunnen communiceren, maken het werk tot een recept voor burn-out, en de talentenpijplijn kan niet sneller worden bijgevuld dan wanneer deze door een burn-out kan worden geleegd.
CrowdStrike 2025 Global Threat Report-document uitbraaktijd zo snel als 51 seconden en ontdekte dat 79% van de inbraken nu zonder malware is. Aanvallers maken gebruik van identiteitsmisbruik, diefstal van inloggegevens en live-off-shore-technieken. Handmatige triage die is gebouwd voor responscycli per uur kan eenvoudigweg niet concurreren.
Zoals Matthew Sharp, CISO bij Xactly zegt: zei CSO Online: “Tegenstanders gebruiken AI al om met machinesnelheid aan te vallen. Organisaties kunnen zich niet verdedigen tegen op AI gebaseerde aanvallen met menssnelle reacties.”
Hoe beperkte autonomie de reactietijden verkort
SOC-implementaties die responstijden verkorten hebben hetzelfde patroon: beperkte autonomie. AI-agenten handelen de triage en verrijking automatisch af, maar mensen keuren inperkingsacties goed als de ernst hoog is. Door deze verdeling van werkprocessen wordt het volume afgestemd op de machinesnelheid, terwijl het menselijk oordeel behouden blijft over beslissingen die operationele risico’s met zich meebrengen.
Op grafieken gebaseerde detectie verandert de manier waarop verdedigers naar netwerken kijken. Traditionele SIEM toont geïsoleerde gebeurtenissen. Een grafische database toont de relatie tussen deze gebeurtenissen, waardoor AI-agenten het aanvalspad kunnen volgen in plaats van waarschuwingen één voor één te beoordelen. Verdachte aanmeldingen zien er anders uit als het systeem begrijpt dat het account twee hops verwijderd is van de domeincontroller.
De snelheidstoename kan worden gemeten. AI comprimeert de tijdschema’s voor het onderzoeken van dreigingen terwijl de nauwkeurigheid van de beslissingen van senior analisten wordt vergroot. Aparte inzet Demonstreerde dat op AI gebaseerde triage meer dan 98% overeenstemming bereikte met menselijke deskundige beslissingen, terwijl de handmatige werklast met meer dan 40 uur per week werd verminderd. Snelheid betekent niets als de nauwkeurigheid eronder lijdt.
ServiceNow en Ivanti signaleren een bredere verschuiving naar IT-activiteiten van bureaus
Gartner voorspelt dat multi-agent AI bij het detecteren van bedreigingen zal toenemen 5% tot 70% implementatie in 2028. ServiceNow besteedt ca $12 miljard alleen al in 2025 op het gebied van de verwerving van aandelen. Ivanti, die a comprimeert een routekaart voor kernelverharding die drie jaar in beslag nam, duurde 18 maanden terwijl aanvallers van natiestaten de urgentie valideren en AI-mogelijkheden van agenten voor IT-servicebeheer aankondigen, waardoor een model met beperkte autonomie wordt geïntroduceerd dat het SOC opnieuw vormgeeft aan de servicedesk. Klantpreview wordt gelanceerd in het eerste kwartaal, met algemene beschikbaarheid eind 2026.
Workloads die het SOC schenden, zijn ook schadelijk voor de servicedesk. Robert Hanson, CIO bij Grand Bank, werd geconfronteerd met dezelfde obstakels die veiligheidsleiders goed kennen. “We kunnen 24/7 ondersteuning bieden en tegelijkertijd onze diensten de ruimte geven om zich te concentreren op complexe uitdagingen”, aldus Hanson. Continue dekking zonder proportioneel personeelsbestand. Deze resultaten stimuleren de adoptie van financiële diensten, gezondheidszorg en overheid.
Drie overheidsgrenzen aan de beperkte autonomie
Beperkte autonomie vereist duidelijke bestuursgrenzen. Het team moet drie dingen bepalen: op welke waarschuwingscategorieën de agent autonoom kan reageren, welke menselijke beoordeling vereisen, ongeacht de betrouwbaarheidsscore, en welke escalatiepaden van toepassing zijn wanneer de zekerheid onder een drempel daalt. Bij incidenten met een hoge ernst is menselijke goedkeuring vereist voordat er gereageerd kan worden.
Het hebben van goed bestuur voordat AI in het hele SOC wordt geïmplementeerd, is van cruciaal belang als elke organisatie de tijd en controlevoordelen wil benutten die deze volgende generatie tools biedt. Wanneer de vijand de AI bewapent en actief mining van CVE-kwetsbaarheden sneller dan verdedigers kunnen reageren, wordt autonome detectie een nieuwe gok om veerkrachtig te blijven in een wereld zonder vertrouwen.
De weg vooruit voor veiligheidsleiders
Teams moeten beginnen met een workflow waarin fouten kunnen worden hersteld. Drie workflows namen 60% van de tijd van analisten in beslag en droegen minimale onderzoekswaarde bij: phishing-triage (gemiste escalaties kunnen worden opgemerkt in een secundaire beoordeling), automatisering van het opnieuw instellen van wachtwoorden (kleine explosieradius) en het matchen van bekende slechte indicatoren (deterministische logica).
Automatiseer dit eerst en valideer vervolgens de nauwkeurigheid op basis van menselijke beslissingen gedurende 30 dagen.
