Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
MDR al Collasso: l’AI SOC promette triage totale e indagini forensi in secondi
Negli ultimi anni il servizio MDR (managed detection and response) ha rappresentato una soluzione pratica per molte aziende che non riuscivano a coprire il monitoraggio sicurezza 24/7 con personale interno. Oggi però il contesto è cambiato.
Gli attaccanti usano intelligenza artificiale per accelerare ricognizione e phishing, generare varianti di malware e aggirare controlli basati su firme. Allo stesso tempo la superficie di attacco si è estesa oltre gli endpoint includendo cloud, identità e rete, aumentando drasticamente il volume di alert da gestire.
Il limite principale del modello MDR è strutturale: la promessa di copertura continua spesso coincide con la capacità umana di analizzare solo gli alert più critici. In molti ambienti una quota rilevante di segnalazioni resta non revisionata per semplice impossibilità operativa. Questo crea un backlog dove gli alert a bassa severità vengono rimandati, ma proprio lì possono nascondersi segnali iniziali di compromissione. Analisi su grandi volumi di alert evidenziano che una parte degli incidenti reali può originare da eventi classificati come low severity o informativi, trasformando la coda non gestita in una zona cieca.
Anche quando gli alert vengono presi in carico, la qualità dell’indagine può variare in base a turno, esperienza del singolo analista e pressione della coda. Un alert critico di notte può ricevere un approfondimento diverso rispetto allo stesso evento in orario di ufficio. Questa variabilità porta a classificazioni superficiali e a mancate correlazioni tra segnali, consentendo movimenti laterali e persistenza.
Un altro problema è la mancanza di un ciclo chiuso tra investigazione e detection engineering. Se un alert viene chiuso come falso positivo, quel feedback spesso non aggiorna automaticamente regole e telemetria. Regole rumorose continuano a generare rumore e la postura di rilevamento degrada più velocemente di quanto migliori. A questo si aggiunge l’opacità di molti servizi MDR, dove il cliente vede solo escalation e riepiloghi senza poter verificare logica, evidenze e tracciabilità delle decisioni.
In questo scenario cresce l’interesse per un AI SOC, un modello in cui la triage e l’investigazione vengono eseguite dall’intelligenza artificiale e gli umani supervisionano le decisioni. L’obiettivo è analizzare il 100% degli alert indipendentemente dalla severità con tempi di triage in secondi e verdetti supportati da evidenze. Per rendere affidabile l’autonomia servono capacità forensi reali, inclusa analisi della memoria e del comportamento, oltre a un meccanismo di miglioramento continuo che collega ogni investigazione all’ottimizzazione delle regole.