Het gemiddelde zakelijke SOC ontvangt 10.000 waarschuwingen per dag. Elk vereist 20 tot 40 minuten om goed te kunnen onderzoeken, maar zelfs volledig bemande teams kunnen slechts 22% van deze problemen aan. meer dan 60% van de beveiligingsteams geeft toe waarschuwingen te negeren wat later van cruciaal belang bleek.
Het runnen van een effectief SOC is nog nooit zo moeilijk geweest, en nu verandert het werk zelf. Taken van niveau-1-analisten, zoals triage, verrijking en escalatie, worden softwarefuncties, en steeds meer SOC-teams wenden zich tot AI-agenten onder toezicht om de massa aan te kunnen. Menselijke analisten verleggen hun prioriteiten om te onderzoeken, te beoordelen en scherpe beslissingen te nemen. De reactietijden worden verkort.
Het niet integreren van menselijk inzicht en intuïtie brengt echter een hoge prijs met zich mee. Gartner voorspelt meer dan 40% van de agentische AI-projecten zal worden geannuleerd tegen eind 2027, waarbij de belangrijkste factoren onduidelijke bedrijfswaarde en ontoereikend management waren. Verandermanagement op de juiste manier uitvoeren en ervoor zorgen dat generatieve AI niet één geheel wordt agent van chaos in SOC is zelfs nog belangrijker.
Waarom het oude SOC-model moet veranderen
Burn-out is tegenwoordig zo ernstig in veel SOC’s senior analisten overwegen carrièreveranderingen. Oudere SOC’s met meerdere systemen die tegenstrijdige waarschuwingen afgeven en de vele systemen die helemaal niet met elkaar kunnen praten, maken het werk tot een recept voor burn-out, en de talentenpijplijn kan niet sneller worden bijgevuld dan door een burn-out deze leegmaakt.
CrowdStrike’s 2025 Global Threat Report-documenten uitbraaktijden zo snel als 51 seconden en ontdekte dat 79% van de inbraken nu zonder malware is. Aanvallers vertrouwen op identiteitsfraude, diefstal van inloggegevens en technieken om buiten het land te leven. Handmatige triage die is gebouwd voor responscycli per uur kan niet concurreren.
Zoals Matthew Sharp, CISO bij Xactly, vertelde CSO Online: “Tegenstanders gebruiken AI al om met machinesnelheid aan te vallen. Organisaties kunnen zich niet verdedigen tegen door AI aangedreven aanvallen met reacties op menselijke snelheid.”
Hoe beperkte autonomie de responstijden comprimeert
SOC-implementaties die responstijden comprimeren, delen een gemeenschappelijk patroon: beperkte autonomie. AI-agenten handelen de triage en verrijking automatisch af, maar mensen keuren inperkingsacties goed als de ernst hoog is. Dit arbeidsverdelingsproces waarschuwt het volume op machinesnelheid, terwijl het menselijke oordeel behouden blijft over beslissingen die operationele risico’s met zich meebrengen.
Op grafieken gebaseerde detectie verandert de manier waarop verdedigers het netwerk zien. Traditionele SIEM’s tonen geïsoleerde gebeurtenissen. Grafiekdatabases tonen relaties tussen deze gebeurtenissen en laten AI-agenten aanvalspaden traceren in plaats van waarschuwingen één voor één te beoordelen. Een verdachte login ziet er anders uit als het systeem begrijpt dat het account twee hops verwijderd is van de domeincontroller.
Snelheidswinst is meetbaar. AI comprimeert de tijdschema’s voor het onderzoeken van dreigingen terwijl de nauwkeurigheid van de beslissingen van senior analisten wordt vergroot. Aparte implementaties demonstreren AI-aangedreven triage die meer dan 98% overeenstemming bereikt met menselijke deskundige beslissingen, terwijl de handmatige werklast met meer dan 40 uur per week wordt verminderd. Snelheid betekent niets als de nauwkeurigheid afneemt.
ServiceNow en Ivanti signaleren een bredere verschuiving naar IT-activiteiten van agenten
Gartner voorspelt dat multi-agent AI bij het detecteren van bedreigingen zal toenemen 5% tot 70% van implementaties vóór 2028. ServiceNow gebruikte ca 12 miljard dollar alleen al op het gebied van de verwerving van aandelen in 2025. Ivanti, dat a driejarige routekaart voor kernverharding in 18 maanden Terwijl aanvallers van de natiestaten de urgentie bevestigden, werden agentische AI-mogelijkheden aangekondigd voor IT-servicebeheer, waardoor het begrensde autonomiemodel dat SOC’s een nieuwe vorm gaf, naar de servicedesk werd gebracht. Klantpreview wordt gelanceerd in het eerste kwartaal, met algemene beschikbaarheid later in 2026.
De werkdruk die SOC’s kapot maakt, doet ook servicedesks kapot. Robert Hanson, CIO bij Grand Bank, werd geconfronteerd met dezelfde beperking die veiligheidsleiders goed kennen. “We kunnen 24/7 ondersteuning bieden en tegelijkertijd onze servicedesk vrijmaken om zich te concentreren op complexe uitdagingen”, aldus Hanson. Continue dekking zonder proportioneel aantal medewerkers. Dit resultaat stimuleert de adoptie in de financiële dienstverlening, de gezondheidszorg en de overheid.
Drie managementgrenzen voor beperkte autonomie
Beperkte autonomie vereist expliciete managementgrenzen. Teams moeten drie dingen specificeren: op welke waarschuwingscategorieën agenten autonoom kunnen reageren, welke menselijke beoordeling vereist is, ongeacht de vertrouwensscore, en welke escalatiepaden van toepassing zijn wanneer de beveiliging onder de drempel komt. Voor incidenten met een hoge ernst is menselijke goedkeuring vereist voordat er sprake is van insluiting.
Het hebben van een goede governance voordat AI in SOC’s wordt ingezet, is van cruciaal belang als een organisatie wil profiteren van de tijd- en beheersingsvoordelen die deze nieuwste generatie tools te bieden heeft. Wanneer tegenstanders de AI bewapenen en actief zijn mijn CVE-kwetsbaarheden sneller dan verdedigers kunnen reageren, wordt autonome detectie de nieuwe inzet om veerkrachtig te blijven in een wereld zonder vertrouwen.
De weg vooruit voor beveiligingsmanagers
Teams moeten beginnen met workflows waarin fouten kunnen worden hersteld. Drie workflows verbruiken 60% van de tijd van analisten en dragen bij aan een minimale onderzoekswaarde: phishing-triage (beantwoorde escalaties kunnen worden opgemerkt in een secundaire beoordeling), automatisering van het opnieuw instellen van wachtwoorden (kleine explosieradius) en bekende slechte indicatormatching (deterministische logica).
Automatiseer deze eerst en valideer vervolgens de nauwkeurigheid op basis van menselijke beslissingen gedurende 30 dagen.
