Snel en langzaam denken in het SOC: een pleidooi voor het combineren van autonome AI met analistencopiloten

Een paar dagen geleden zat ik met de CISO van een Fortune 50-bedrijf en besprak hoe zijn beveiligingsteam dacht over AI-agenten in het SOC. Slim team. Serieus programma. Ze hadden Claude al met een paar detectietools verbonden en zagen echte waarde in specifieke onderzoeken. Maar terwijl we de bredere architectuur in kaart brachten, bleef er iets aan me knagen. Het ontwerp dat ze aan het bouwen waren, zou prachtig werken voor een klein percentage van de waarschuwingen die echt een diep menselijk oordeel nodig hadden. Het zou de rest volledig negeren.

Op de vlucht naar huis pakte ik een boek op dat ik al een paar jaar niet meer had aangeraakt. Het denken van Daniel Kahneman, snel en langzaam. Kahneman is een van de weinige mensen die de manier waarop we menselijke besluitvorming begrijpen echt heeft veranderd. Hij bracht zijn carrière als psycholoog door met het bestuderen van hoe mensen werkelijk denken, in tegenstelling tot hoe economen dachten dat ze dat deden. In 2002 won hij de Nobelprijs voor de Economie, wat iets zegt over hoe ver zijn werk voorbij het startpunt reikte.

Het centrale argument van het boek is dat de menselijke geest niet één ding is. Het zijn twee systemen die parallel opereren, vaak onder spanning.

Systeem 1 is het brein dat automatisch werkt. Het herkent patronen onmiddellijk, leest een kamer in enkele seconden en houdt u zonder bewuste inspanning in leven. Het is snel, associatief en onbewust. Volgens het onderzoek van Kahneman vindt 95% van alle menselijke cognitie hier plaats en draait het stilletjes op de achtergrond, als een besturingssysteem dat je nooit ziet.

Systeem 2 is het brein waarmee je moeilijke dingen doet. Een contract evalueren, een probleem oplossen zonder duidelijk antwoord, en onder druk een oordeel vellen. Het is langzaam, logisch, inspannend en het neemt de resterende 5% van ons denken voor zijn rekening. Het kan Systeem 1 overschrijven als Systeem 1 fout is. Maar de capaciteit is beperkt. Je kunt hem niet de hele dag op volle kracht laten draaien. Wanneer het uitgeput raakt, neemt Systeem 1 het hoe dan ook over.

Het kerninzicht van Kahneman is niet dat één systeem beter is. Het is zo dat de fouten die mensen maken bijna altijd het gevolg zijn van het toepassen van het verkeerde systeem op de verkeerde baan. Opzettelijk denken toegepast op dingen die automatisch zouden moeten zijn, verbrandt mensen en mist nog steeds dingen. Automatisch denken, toegepast op dingen die echt overleg behoeven, levert zelfverzekerde fouten op.

Ik landde, opende mijn laptop en schreef een zin voor mezelf. “Dit is precies wat er mis is met de manier waarop de meeste beveiligingsteams hun AI-architectuur momenteel ontwerpen.”

De cijfers zijn geen toeval

Kahneman zegt dat mensen Systeem 1 gebruiken voor 95% van hun cognitie en Systeem 2 voor 5%. Uit onderzoek op basis van de analyse van meer dan 25 miljoen bedrijfswaarschuwingen is gebleken dat 98% van de waarschuwingen autonoom kan worden opgelost, waarbij minder dan 2% daadwerkelijk menselijke beoordeling rechtvaardigt.

Dit is vrijwel identiek aan de ratio van Kahneman. Het goed presterende SOC is geen nieuwe uitvinding. Het is de architectuur die weerspiegelt hoe de beste besluitvormende geesten feitelijk te werk gaan. Snelle, automatische verwerking voor de overgrote meerderheid van de invoer, en een weloverwogen menselijk oordeel voorbehouden aan het kleine deel dat het echt nodig heeft.

De CISO waarmee ik samenwerkte, bouwde een SOC met één brein. Zijn team vroeg Systeem 2 om Systeem 1-werk te doen, en vroeg vervolgens Systeem 2 opnieuw om te doen waar het eigenlijk goed in was, met de energie die er nog over was. Geen wonder dat ze slechts een fractie van hun waarschuwingen bestreken. Geen wonder dat de analisten uitgeput waren. Geen wonder dat de echte bedreigingen die zich in de laag-ernstige stapel verborgen, nooit werden gevonden. Volgens onderzoek naar meer dan 25 miljoen waarschuwingen kan een onderneming met 450.000 waarschuwingen per jaar verwachten dat 54 echte bedreigingen verborgen zullen zijn in precies die waarschuwingen: de waarschuwingen die op ruis lijken, de waarschuwingen die nooit vooraan in de wachtrij komen.

Het snelle SOC-brein voor 98% van de waarschuwingen

Het grootste deel van de triage van SOC-waarschuwingen is een Systeem 1-probleem. Is dit bestand bekend als schadelijk? Komt deze login overeen met historisch gedrag? Is dit IP-adres ooit verschenen in een zaak die we al hebben gesloten? Dit zijn geen vragen die langdurig overleg vergen. Ze hebben antwoorden nodig, op machinesnelheid, voor elke waarschuwing, 24 uur per dag.

Wanneer menselijke analisten gedwongen worden dit werk te doen, gebeurt hetzelfde als wanneer je mensen de hele dag Systeem 2-taken laat uitvoeren. Ze vertragen, ze vereenvoudigen en uiteindelijk beginnen ze over te slaan. Ze beoordelen alleen wat dringend lijkt. De 54 bedreigingen die zich in de stapel met een lage ernst verbergen, blijven verborgen, niet omdat iemand ervoor heeft gekozen ze te negeren, maar omdat er 4.000 waarschuwingen achter zitten en de cognitieve capaciteit van het team opraakt.

Het autonome brein van het SOC moet werken zoals Systeem 1 werkt. Voortdurend, zonder enige aanleiding, onder de drempel van menselijke aandacht. Het past diepgaand forensisch onderzoek toe op 100% van de signalen. Geheugenscans, bestandsanalyse, kruissignaalcorrelatie tussen eindpunten, identiteit, netwerk en cloud. Het sluit de zaken af ​​die duidelijk ruis veroorzaken en brengt de zaken naar boven die echt een mens nodig hebben, waarbij al het bewijsmateriaal al is verzameld. Er wordt niet om toestemming gevraagd. Het levert uitspraken op.

Dit is wat een AI SOC doet. Het onderzoekt alles, komt in minder dan twee minuten tot een oordeel met een nauwkeurigheid van 98% en geeft het menselijke team de 2% die daadwerkelijk hun aandacht verdient.

Het langzame SOC-brein voor 2% van de waarschuwingen

Systeem 2 is waar Claude, Codex en Cursor thuishoren in een SOC. Niet omdat ze langzaam zijn, maar omdat het werk waarvoor ze het meest geschikt zijn, echt doelbewust is. Complexe casusanalyse. Detectieregeltechniek. Incidentrapportage. Op jacht naar bedreigingen op basis van een branchebriefing. Werk dat synthese, beoordelingsvermogen en het vermogen vereist om forensische bevindingen te combineren met de zakelijke context die alleen de analist heeft.

Dit is waar de AI-copiloot-framing zinvol is, maar alleen als de co-piloot niet ook wordt gevraagd om de landingsbaan te beheren. Wanneer een Claude-agent een geëscaleerde zaak oppikt, mag deze niet uitgaan van een ruwe waarschuwing. Het moet beginnen met een volledig samengesteld onderzoek waarbij alle forensische analyses zijn voltooid, de gerelateerde signalen met elkaar zijn gecorreleerd en het aanbevolen antwoord is opgesteld. De analist past zijn oordeel toe op een samengestelde, door bewijsmateriaal ondersteunde zaak. Ze valideren niet of de waarschuwing de moeite waard was om naar te kijken. Zij doen het werk waarvoor eigenlijk een menselijke geest nodig is.

Wanneer Systeem 2 dat soort input krijgt, verandert er iets. Wat vroeger een middagje wisselen tussen consoles was, wordt een korte, gerichte uitwisseling. De analist stopt met het in de rij staan ​​en begint het werk te doen waarvoor hij eigenlijk is ingehuurd. En hier is het deel dat de markt volgens mij nog niet volledig heeft gewaardeerd. Elk oordeel dat het langzame brein maakt, wordt teruggekoppeld naar het snelle brein. Elke afstemmingsregel geschreven in Claude, elk geval afgesloten met een nieuwe context, maakt de autonome laag de volgende maand nauwkeuriger. De twee systemen zijn samengesteld. Ze maken elkaar in de loop van de tijd beter.

De twee faalmodi spelen zich nu af

Kahneman bracht een carrière door met het documenteren van wat er gebeurt als mensen het verkeerde cognitieve systeem voor een probleem gebruiken. De beveiligingsindustrie gebruikt beide faalmodi tegelijkertijd, op schaal.

De eerste is de klassieke. Menselijke analisten in de Systeem 1-rol houden. Handmatige triage van honderden waarschuwingen per dag, waardoor de cognitieve capaciteit wordt verbrand op werk dat geautomatiseerd zou moeten worden. Systeem 2 van het team is uitgeput voordat het ooit de zaken bereikt die het daadwerkelijk nodig hebben. De dekking lijdt eronder. Bedreigingen worden gemist. Het team voegt personeel toe en het probleem schaalt lineair in plaats van dat het wordt opgelost.

De tweede faalmodus is degene die de huidige AI-golf produceert. Een grensverleggend AI-platform rechtstreeks inzetten op basis van onbewerkte detectiegegevens en dit een AI SOC noemen. Dit is ook Systeem 2 die Systeem 1-werk doet, alleen sneller en duurder. De agent heeft nog steeds een mens nodig om elk onderzoek te starten. Bij echte alarmcijfers houdt de economie geen stand. Het uitvoeren van een grensmodel tegen elke waarschuwing tegen de huidige tokenkosten is niet haalbaar in productie. Teams beginnen stilletjes de taken met een lage prioriteit over te slaan. De 54 gemiste bedreigingen blijven gemist. Het probleem is niet opgelost. Het heeft een nieuwe naam gekregen.

De SOC-architectuur die feitelijk het brein weerspiegelt

Het SOC dat in 2026 slaagt, draait beide systemen correct.

Het snelle brein regelt alles automatisch. Het is speciaal gebouwd voor forensisch onderzoek op grote schaal, en niet voor een algemeen taalmodel. Er wordt niet op aanwijzingen gewacht. Er worden geen waarschuwingen met een lage ernst overgeslagen omdat de wachtrij lang is. Het produceert uitspraken over 100% van de signalen en voedt het langzame brein met volledig samengestelde zaken.

Het langzame brein draait bovenop dat fundament. Claude, Cursor, Codex, etc. ontvangen geëscaleerde cases met alle bijbehorende context. Analisten houden toezicht in plaats van triage. En omdat beide hersenen dezelfde kennisbasis delen, maakt elke beslissing die in de AI-werkruimte wordt genomen de autonome laag slimmer.

Er is hier ook een strategische implicatie die de markt volgens mij nog niet volledig heeft verwerkt. Bedrijven die alertonderzoek uitbesteden aan een MDR-aanbieder zijn geen eigenaar van de kennislaag die uit dat onderzoek voortvloeit. De detectieregels, casusgeschiedenis, triagelogica en organisatorische context verzamelen zich allemaal binnen het platform van de leverancier. Wanneer u Claude of Codex wilt verbinden met uw beveiligingsactiviteiten, probeert u Systeem 2 uit te voeren op een stichting waarvan u niet de eigenaar bent. Het langzame brein heeft niets om vanuit te werken.

Het intern uitvoeren van onderzoek is niet alleen een beslissing over kosten of dekking. Het is een voorwaarde om een ​​analisten-copiloot daadwerkelijk bruikbaar te maken. Elke onderzochte waarschuwing, elke opgeloste zaak, elke afgestemde regel verzamelt zich in uw eigen instantie. Hoe sneller Systeem 1 dat fundament bouwt, hoe krachtiger Systeem 2 wordt.

Kahnemans inzicht was dat de beste beslissers niet degenen zijn die sneller of harder denken. Zij zijn degenen die weten welke modus het moment vereist, en die hun leven zo hebben ontworpen dat elk systeem op de juiste problemen wordt toegepast.

Beveiligingsteams die dit in 2026 goed voor elkaar krijgen, zullen niet degenen zijn met de meeste analisten of het krachtigste taalmodel. Zij zullen degenen zijn die een SOC hebben ontworpen waarin het snelle brein alles afhandelt wat het zou moeten doen, en het langzame brein de vrijheid krijgt om te doen waarvoor het bedoeld is.

AI voert uit. Mensen houden toezicht. En als de architectuur klopt, is het toezicht houden het leukste van het vak.

Vond je dit artikel interessant? Lees hier meer.

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Lital Asher-Dotan, CMO bij Intezer.

Thijs Van der Does