Den Kern des Problems verortet Perkins in der Architektur unter dem SOC. Das überkommene Betriebsmodell setze auf menschliche Alarm-Triage bei einem Volumen, das vor fünf Jahren angemessen gewesen sei. SOC-Teams hätten die naheliegenden Effizienzschritte längst vollzogen – Schweregrade gestaffelt, bekannte gutartige Alarmklassen automatisch geschlossen, laute Detektionsregeln unterdrückt, getunt und geroutet. Trotzdem übersteige das verbleibende Volumen, das zur eigentlichen Untersuchung bei Menschen lande, deren Kapazität.

Aus seinen Einsätzen berichtet Perkins von typisch 120 bis 150 Alarmen pro Tag nach der Staffelung. Bei 20 Minuten pro Untersuchung samt Dokumentation ergäben sich 40 bis 50 Analystenstunden täglich. Teams aus fünf bis zehn Analysten könnten das während der Geschäftszeiten allenfalls am oberen Rand abdecken – der Rest bleibe für die nächste Schicht, den nächsten Tag oder bleibe ungeprüft. Diese Lücke lasse sich nicht durch Neueinstellungen schließen. Die meisten Sicherheitsvorfälle lösten ohnehin keinen hochstufigen Alarm aus, sondern zeigten sich zuerst in einem niedrigstufigen Alarm, der in einer nicht abzuarbeitenden Warteschlange untergehe.

Zur Untermauerung führt Perkins externe Zahlen an: Laut Google Mandiants M-Trends-Bericht liegt die globale mediane Verweildauer bei 14 Tagen; das Übergabefenster zwischen Erstzugriff und Weitergabe an eine sekundäre Angreifergruppe sei 2025 auf 22 Sekunden geschrumpft – ein Rückgang um 95 Prozent gegenüber acht Stunden im Jahr 2022. Crowdstrikes Global-Threat-Bericht 2026 nenne eine durchschnittliche Ausbruchszeit von 29 Minuten. IBMs aktuelle Cost-of-a-Data-Breach-Studie beziffere die durchschnittliche Zeit zur Erkennung und Eindämmung 2025 auf 241 Tage bei Kosten von 4,88 Millionen US-Dollar – 16 Prozent weniger als 2020 mit 281 Tagen.

Als Fallbeispiele nennt Perkins zwei Kundeneinsätze. JB Poindexter & Co, ein Mischkonzern mit 8.500 Beschäftigten, habe Prophet AI 2025 eingeführt und in den ersten 60 Tagen 4.407 Untersuchungen mit einer mittleren Untersuchungszeit unter vier Minuten durchgeführt – rund 1.469 zurückgewonnene Analystenstunden. CISO John Barrow beschreibt das Ergebnis als „schneller, fokussierter und skalierbar, ohne sofort Personal aufzustocken". Cabinetworks habe in 33 Tagen 3.200 Alarme verarbeitet, von denen sechs an einen Menschen eskaliert worden seien; unerwartet sei eine Senkung der SIEM-Kosten um 90 Prozent gewesen, weil sich rohe EDR- und Identitätstelemetrie nicht mehr für analytische Pivot-Abfragen einlesen lasse.

Trotz seiner Befürwortung benennt Perkins Grenzen: Bei Insider-Bedrohungen, deren entscheidendes Signal nicht in Logs, sondern im menschlichen Kontext liege, bei neuartigen Angriffstechniken ohne Vorbild in den Trainingsdaten sowie in stark regulierten Umgebungen mit Vorgaben zur Datenresidenz solle der Mensch führen. Sein Rat an Evaluierende: den Anbieter direkt fragen, wo sein Werkzeug versage – fehle die Antwort, sei das die Antwort.