Het gemiddelde zakelijke SOC ontvangt 10.000 waarschuwingen per dag. Elk vereist 20 tot 40 minuten om goed te kunnen onderzoeken, maar zelfs volledig bemande teams kunnen slechts 22% van deze problemen aan. Meer dan 60% van de beveiligingsteams geeft toe waarschuwingen te negeren dat bleek later van cruciaal belang.
Het runnen van een efficiënt SOC was nog nooit zo lastig, en nu verandert het werk zelf. Tier-1-analistentaken – zoals triage, verrijking en escalatie – worden softwarefuncties, en steeds meer SOC-teams wenden zich tot onder toezicht staande AI-agenten om het volume af te handelen. Menselijke analisten verleggen hun prioriteiten om edge-case beslissingen te onderzoeken, te herzien en te nemen. De reactietijden worden verkort.
Het niet integreren van menselijk inzicht en intuïtie brengt echter hoge kosten met zich mee. Gartner voorspelt meer dan 40% van de agentische AI-projecten zal worden geannuleerd tegen eind 2027, waarbij onduidelijke bedrijfswaarde en ontoereikend bestuur de belangrijkste oorzaken zijn. Zorg voor een goed verandermanagement en zorg ervoor dat generatieve AI geen chaos agent in het SOC zijn nog belangrijker.
Waarom het oude SOC-model moet veranderen
Burn-out is tegenwoordig zo ernstig in veel SOC’s senior analisten overwegen carrièreveranderingen. Oudere SOC’s met meerdere systemen die tegenstrijdige waarschuwingen afgeven, en de vele systemen die helemaal niet met elkaar kunnen praten, maken het werk tot een recept voor burn-out, en de talentpijplijn kan niet sneller worden aangevuld dan door een burn-out deze leegmaakt.
CrowdStrike’s 2025 Global Threat Report-documenten uitbraaktijden zo snel als 51 seconden en ontdekte dat 79% van de inbraken nu zonder malware is. Aanvallers vertrouwen in plaats daarvan op identiteitsmisbruik, diefstal van inloggegevens en technieken om buiten het land te leven. Handmatige triage die is gebouwd voor responscycli per uur kan niet concurreren.
Zoals Matthew Sharp, CISO bij Xactly, vertelde CSO Online: “Tegenstanders gebruiken AI al om met machinesnelheid aan te vallen. Organisaties kunnen zich niet verdedigen tegen AI-gestuurde aanvallen met reacties op menselijke snelheid.”
Hoe beperkte autonomie de responstijden comprimeert
SOC-implementaties die responstijden comprimeren, delen een gemeenschappelijk patroon: begrensde autonomie. AI-agenten handelen de triage en verrijking automatisch af, maar mensen keuren inperkingsacties goed als de ernst hoog is. Deze arbeidsverdeling zorgt voor een alert volume op machinesnelheid, terwijl het menselijk oordeel behouden blijft over beslissingen die operationele risico’s met zich meebrengen.
Op grafieken gebaseerde detectie verandert de manier waarop verdedigers het netwerk zien. Traditionele SIEM’s tonen geïsoleerde gebeurtenissen. Grafiekdatabases tonen relaties tussen deze gebeurtenissen, waardoor AI-agenten aanvalspaden kunnen traceren in plaats van waarschuwingen één voor één te beoordelen. Een verdachte login ziet er anders uit als het systeem begrijpt dat het account twee hops verwijderd is van de domeincontroller.
Snelheidswinst is meetbaar. AI comprimeert de tijdschema’s voor het onderzoeken van dreigingen terwijl de nauwkeurigheid van beslissingen van senior analisten wordt vergroot. Afzonderlijke implementaties laten zien dat AI-gestuurde triage meer dan 98% overeenstemming bereikt met menselijke deskundige beslissingen, terwijl de handmatige werklast met meer dan 40 uur per week wordt verminderd. Snelheid betekent niets als de nauwkeurigheid afneemt.
ServiceNow en Ivanti signaleren een bredere verschuiving naar agentische IT-activiteiten
Gartner voorspelt dat multi-agent AI bij het detecteren van bedreigingen zal ontstaan 5% tot 70% van de implementaties tegen 2028. ServiceNow heeft ongeveer $12 miljard alleen al in 2025 op het gebied van de verwerving van aandelen. Ivanti, die a. comprimeerde driejarige routekaart voor kernelverharding in 18 maanden Toen nationale aanvallers de urgentie bevestigden, kondigden zij AI-mogelijkheden aan voor IT-servicebeheer, waardoor het model van begrensde autonomie dat SOC’s opnieuw vormgaf naar de servicedesk werd gebracht. Klantpreview wordt gelanceerd in het eerste kwartaal, met algemene beschikbaarheid later in 2026.
De werkdruk die SOC’s vernietigt, doet ook de servicedesks kapot gaan. Robert Hanson, CIO bij Grand Bank, werd geconfronteerd met dezelfde beperkingen die veiligheidsleiders goed kennen. “We kunnen 24/7 ondersteuning bieden terwijl we onze servicedesk de vrijheid geven om zich te concentreren op complexe uitdagingen”, aldus Hanson. Continue dekking zonder proportioneel personeelsbestand. Dat resultaat stimuleert de adoptie in de financiële dienstverlening, de gezondheidszorg en de overheid.
Drie bestuursgrenzen voor begrensde autonomie
Gelimiteerde autonomie vereist expliciete bestuursgrenzen. Teams moeten drie dingen specificeren: op welke waarschuwingscategorieën agenten autonoom kunnen reageren, welke categorieën menselijke beoordeling vereisen, ongeacht de betrouwbaarheidsscore, en welke escalatiepaden van toepassing zijn wanneer de zekerheid onder de drempel komt. Bij incidenten met een hoge ernst is menselijke goedkeuring vereist voordat er sprake kan zijn van indamming.
Het hebben van een goede governance voordat AI in alle SOC’s wordt ingezet, is van cruciaal belang als een organisatie de tijd- en beheersingsvoordelen wil benutten die deze nieuwste generatie tools te bieden heeft. Wanneer tegenstanders AI als wapen gebruiken en actief mijn CVE-kwetsbaarheden sneller dan verdedigers reageren, wordt autonome detectie de nieuwe inzet om veerkrachtig te blijven in een zero-trust wereld.
De weg voorwaarts voor veiligheidsleiders
Teams moeten beginnen met workflows waarbij fouten kunnen worden hersteld. Drie workflows verbruiken 60% van de tijd van analisten en dragen bij aan een minimale onderzoekswaarde: phishing-triage (gemiste escalaties kunnen worden opgemerkt in een secundaire beoordeling), automatisering van het opnieuw instellen van wachtwoorden (kleine explosieradius) en matching van bekende slechte indicatoren (deterministische logica).
Automatiseer deze eerst en valideer vervolgens de nauwkeurigheid op basis van menselijke beslissingen gedurende 30 dagen.
