Het gemiddelde zakelijke SOC ontvangt 10.000 waarschuwingen per dag. Elk vereist 20 tot 40 minuten om goed te onderzoeken, maar zelfs volledig bemande teams kunnen slechts 22 procent daarvan beheren. Meer dan 60% van de beveiligingsteams gaf toe waarschuwingen te negeren wat later van fundamenteel belang bleek te zijn.
Het runnen van een effectief SOC is nog nooit zo moeilijk geweest, en nu verandert het werk zelf. Tier 1-analistentaken, zoals triage, verrijking en escalatie, worden softwarefuncties, en steeds meer SOC-teams wenden zich tot onder toezicht staande AI-agenten om het volume te beheren. Menselijke analisten veranderen hun prioriteiten om randgevallen te onderzoeken, beoordelen en beslissingen te nemen. Reactietijden worden korter.
Het onvermogen om de menselijke visie en intuïtie te integreren brengt echter hoge kosten met zich mee. Gartner voorspelt meer dan 40% van de agentische AI-projecten zal worden geannuleerd tegen eind 2027 zullen onduidelijke bedrijfswaarde en ontoereikend bestuur de belangrijkste oorzaken hiervan zijn. Ga goed om met verandermanagement en zorg ervoor dat generatieve AI geen probleem wordt agent van chaos in het SOC zijn ze nog belangrijker.
Waarom het oude SOC-model moet veranderen
Burn-out is tegenwoordig zo erg in veel SOC’s senior analisten overwegen carrièreveranderingen. Oudere SOC’s met meerdere systemen die tegenstrijdige waarschuwingen geven en talrijke systemen die niet met elkaar communiceren, maken van werk een recept voor burn-out, en de talentpijplijn kan niet sneller vol raken dan een burn-out deze leegmaakt.
Documenten uit het Global Threat Report 2025 van CrowdStrike snelle uitbraaktijden van maximaal 51 seconden en ontdekte dat 79% van de inbraken nu zonder malware is. Aanvallers vertrouwen in plaats daarvan op identiteitsmisbruik, diefstal van inloggegevens en technieken buiten de grond. Handmatige triage die is gebouwd voor responscycli per uur kan niet concurreren.
Zoals Matthew Sharp, CISO van Xactly, vertelde hij aan CSO Online: “Tegenstanders gebruiken AI al om met machinesnelheid aan te vallen. Organisaties kunnen zich niet verdedigen tegen AI-gestuurde aanvallen met reacties op menselijke snelheid.”
Hoe beperkte autonomie de responstijden comprimeert
SOC-implementaties die responstijden comprimeren, delen een gemeenschappelijk patroon: beperkte autonomie. AI-agenten zorgen automatisch voor triage en verrijking, maar mensen keuren inperkingsacties goed als de ernst hoog is. Deze verdeling van werkprocessen waarschuwt het volume op machinesnelheid, terwijl het menselijke oordeel behouden blijft over beslissingen die operationele risico’s met zich meebrengen.
Op grafieken gebaseerde detectie verandert de manier waarop verdedigers het netwerk zien. Traditionele SIEM’s tonen geïsoleerde gebeurtenissen. Grafiekdatabases tonen relaties tussen dergelijke gebeurtenissen, waardoor AI-agenten aanvalspaden kunnen traceren in plaats van waarschuwingen één voor één te classificeren. Een verdachte login ziet er anders uit wanneer het systeem detecteert dat het account twee hops verwijderd is van de domeincontroller.
De snelheidswinst is meetbaar. NAAR DE verkort de onderzoekstijd van bedreigingen terwijl de nauwkeurigheid wordt vergroot met betrekking tot de beslissingen van senior analisten. Aparte distributies laten zien dat op AI gebaseerde triage meer dan 98% overeenstemming bereikt met menselijke deskundige beslissingen, terwijl de handmatige werklast met meer dan 40 uur per week wordt verminderd. Snelheid betekent niets als de nauwkeurigheid afneemt.
ServiceNow en Ivanti melden een bredere verschuiving naar agentgebaseerde IT-activiteiten
Gartner voorspelt dat multi-agent AI bij het detecteren van bedreigingen zal toenemen 5% tot 70% van de implementaties tegen 2028. ServiceNow heeft ca $12 miljard alleen op aandelenaankopen in 2025. Ivanti, dat een driejarige routekaart voor kernelverharding in 18 maanden Toen landelijke aanvallers de urgentie bevestigden, kondigden ze AI-mogelijkheden voor IT-servicebeheer aan, waardoor het beperkte autonomiemodel dat SOC’s opnieuw vormgeeft naar de servicedesk werd gebracht. Klantpreview wordt gelanceerd in het eerste kwartaal, met algemene beschikbaarheid later in 2026.
De werklast die SOC’s schaadt, schaadt ook de servicedesks. Robert Hanson, CIO van Grand Bank, werd geconfronteerd met dezelfde beperkingen die veiligheidsleiders goed kennen. “We kunnen 24/7 ondersteuning bieden, waardoor onze servicedesk zich kan concentreren op complexe uitdagingen”, aldus Hanson. Continue dekking zonder proportionele bezetting. Dit resultaat stimuleert de adoptie in de financiële dienstverlening, de gezondheidszorg en de overheid.
Drie bestuursgrenzen voor beperkte autonomie
Beperkte autonomie vereist expliciete bestuursgrenzen. Teams moeten drie dingen specificeren: op welke waarschuwingscategorieën agenten autonoom kunnen reageren, welke categorieën menselijke beoordeling vereisen, ongeacht de betrouwbaarheidsscore, en welke escalatiepaden van toepassing zijn wanneer de zekerheid onder de drempel komt. Bij incidenten met een hoge ernst is menselijke goedkeuring vereist voordat er sprake kan zijn van insluiting.
Het hebben van governance voordat AI in SOC’s wordt geïmplementeerd, is van cruciaal belang als een organisatie de tijd- en beheersingsvoordelen wil behalen die deze nieuwste generatie tools te bieden heeft. Wanneer tegenstanders AI als wapen en actief gebruiken CVE-kwetsbaarheden extraheren sneller dan verdedigers reageren, wordt autonome detectie de nieuwe inzet om veerkrachtig te blijven in een zero trust-wereld.
De weg voorwaarts voor veiligheidsleiders
Teams moeten beginnen met workflows waarbij de fout kan worden hersteld. Drie workflows verbruiken 60% van de tijd van analisten en bieden minimale onderzoekswaarde: phishing-triage (gemiste escalaties kunnen worden opgepikt in een secundaire beoordeling), automatisering van het opnieuw instellen van wachtwoorden (kleine explosieradius) en het matchen van bekende probleemindicatoren (deterministische logica).
Automatiseer ze eerst en valideer vervolgens de nauwkeurigheid op basis van menselijke beslissingen gedurende 30 dagen.
