AI w Bezpieczeństwie: Jak Usprawnić Czas Reakcji na Zagrożenia

Firma Anthropic w ubiegłym tygodniu ograniczyła dostęp do swojego modelu Mythos Preview po tym, jak autonomicznie odkrył i wykorzystał luki zero-day w każdym z głównych systemów operacyjnych i przeglądarek. Wendi Whitmore z Palo Alto Networks ostrzegła, że podobne zdolności mogą pojawić się w ciągu tygodni lub miesięcy. Raport CrowdStrike na temat zagrożeń globalnych w 2026 roku wskazuje, że średni czas trwania e-przestępczości wynosi 29 minut. Z kolei Mandiant w raporcie M-Trends 2026 ujawnia, że czasy przejęcia przez przeciwnika skróciły się do zaledwie 22 sekund.

Tempo ofensywy szybko rośnie. Pytaniem pozostaje, gdzie dokładnie broniący się są wolni — i jak się okazuje, nie jest to miejsce sugerowane przez większość pulpitów SOC.

Postęp w Detekcji Zagrożeń

Narzędzia detekcyjne znacznie się poprawiły. Platformy EDR, bezpieczeństwa chmurowego, bezpieczeństwa e-maili, tożsamości oraz SIEM dostarczają wbudowaną logikę detekcji, która zbliża MTTD (Mean Time To Detect) do zera dla znanych technik. To realny postęp, będący efektem lat inwestycji w inżynierię detekcji w całej branży.

Jednak gdy przeciwnicy działają w czasie mierzonym w sekundach i minutach, kluczowe pytanie brzmi, co się dzieje pomiędzy uruchomieniem alertu a faktycznym jego podjęciem przez analityka.

Problemy z Czasem Reakcji

Po uruchomieniu alertu zegar wciąż tyka. Analityk musi go zauważyć, przejąć, zebrać kontekst z różnych źródeł, przeprowadzić dochodzenie, podjąć decyzję oraz rozpocząć reakcję. W większości środowisk SOC to właśnie w tym etapie zlokalizowane są największe okna operacyjne atakujących.

W praktyce oznacza to, że alert może czekać w kolejce, a kontekst rozprzestrzenił się na czterech lub pięciu różnych narzędziach. Aby przeprowadzić dokładne dochodzenie — które prowadzi do obronnej decyzji, a nie do subiektywnego osądu — potrzeba od 20 do 40 minut aktywnej pracy, zakładając, że analityk rozpocznie od razu, co rzadko ma miejsce.

Wykorzystanie Sztucznej Inteligencji

W konfrontacji z czasem 29 minut na atak, dochodzenie często nie zaczyna się, zanim atakujący zdąży przejść do lateralnych ruchów. A w przypadku 22 sekund, alert może wciąż tkwić w kolejce.

MTTD nie uwzględnia tego aspektu. Mierzy jedynie czas reakcji na alert, a w tej kwestii branża poczyniła realne postępy. Jednak wskaźnik ten milczy o tym, jak długo trwa okno po zgłoszeniu alertu, ile alertów zostało dokładnie zbadanych, a ile zamknięto bez dostatecznej analizy.

Badania prowadzone przez AI nie poprawiają szybkości detekcji. MTTD pozostaje metryką inżynierii detekcji, a sztuczna inteligencja kompresuje jedynie czas po uruchomieniu alertu, co jest kluczowe dla rzeczywistej ekspozycji na zagrożenia.

Zmiany w Procesie Reagowania

W modelu AI kolejka znika. Każdy alert jest badany natychmiast po przyjęciu, niezależnie od jego ważności czy pory dnia. Zbieranie kontekstu, które wcześniej zajmowało analitykom 15 minut, odbywa się w zaledwie kilka sekund. Dochodzenie, które wcześniej trwało godzinami, teraz kończy się w minutach.

Właśnie to zbudowaliśmy w Prophet AI: każde zgłoszenie jest badane na głębokości senior analityka, działając z prędkością maszyny, planując dochodzenie dynamicznie i dostarczając przezroczystych, opartych na dowodach wniosków. W tym modelu nie istnieje luka po zgłoszeniu alertu, ponieważ po prostu nie ma kolejki ani czasu oczekiwania.

Wskaźniki Skuteczności w SOC

W raporcie poruszono także metryki, które powinny być analizowane w kontekście wydajności SOC:

• Wskaźnik pokrycia dochodzeń: Jak duży procent wszystkich alertów jest dokładnie badany? W tradycyjnym SOC, liczba ta zazwyczaj wynosi od 5 do 15 procent. W SOC z AI powinna wynosić 100 procent.
• Pokrycie technik detekcji: Mapa technik MITRE ATT&CK w odniesieniu do biblioteki detekcji, zidentyfikowane luki i monitorowanie ich w czasie.
• Prędkość sprzężenia zwrotnego dla fałszywych pozytywów: Jak szybko wyniki dochodzenia wpływają na tuning detekcji?
• Wskaźnik tworzenia detekcji przez polowania: Na ile detekcji utworzono z wyników polowań proaktywnych w porównaniu do odpowiedzi na incydenty?

Te metryki zyskują na znaczeniu jedynie wtedy, gdy AI wykonuje rzeczywiste prace dochodzeniowe, ale stanowią one fundamentalnie różny obraz wydajności SOC, skierowany na wyniki bezpieczeństwa, a nie jedynie na wydajność operacyjną.

Przyznanie, że AI przyspiesza ofensywne działania tak szybko, że tradycyjne metody reakcji stają się niewystarczające, powinno skłonić branżę do zamknięcia luki, gdzie obrońcy są wolni — w oknie po zgłoszeniu alertu — oraz do monitorowania, czy ta luka maleje.

Firmy, które przechodzą z raportowania prędkości detekcji na raportowanie pokrycia dochodzenia i poprawy detekcji, zyskają lepszy obraz swojego rzeczywistego ryzyka. W erze, gdy atakujący korzystają z AI, ta klarowność ma kluczowe znaczenie.

Platforma SOC Agentic AI od Prophet Security bada każdy alert z głębokością senior analityka, ciągłe optymalizując detekcje oraz prowadząc ukierunkowane polowania na zagrożenia przeciwko lukom w pokryciu. Odwiedź Prophet Security, aby dowiedzieć się, jak to działa.