Connect with us

Tom Findling, spoluzakladatel a CEO Conifers – Interview Series

Rozhovory

Tom Findling, spoluzakladatel a CEO Conifers – Interview Series

mm
Published
Updated

Tom Findling je strategický lídr s prokázanou historií úspěchů v oblasti go-to-market (GTM), produktu a datové vědy. Jako bývalý Chief Customer Officer ve společnosti IntSights (získaná společností Rapid7) a následně jako Senior Director of Product ve společnosti Rapid7, přináší jedinečnou kombinaci strategické vize a realizace do vedení velkých operací. Kromě toho vedl role GTM a produktu ve společnostech VMware a SUS.

Conifers nabízí platformu CognitiveSOC s umělou inteligencí, která zvyšuje schopnosti bezpečnostních operačních center integrací s existujícími nástroji, přijímáním jedinečných dat a rizikového profilu organizace a kontinuálním přizpůsobováním vyšetřovacích pracovních postupů. Řeší běžné problémy, jako je nadměrné množství upozornění, omezená viditelnost do výkonu SOC a obecné systémy “one-size-fits-all”, umožňující hlubší vyšetřování, modelování institucionálních znalostí a použití zpětných vazeb pro zlepšení přesnosti a snížení hluku. Platforma je navržena tak, aby poskytla měřitelné výsledky, včetně trojnásobného návratu na investice a 87% snížení doby vyšetřování.

Máte dlouholetou kariéru v oblasti kybernetické bezpečnosti, od IntSights po Rapid7—co vás nakonec vedlo ke spoluzaložení Conifers a jaký problém jste se pokusili vyřešit?

Během své kariéry jsem svědkem toho, jak bezpečnostní operační týmy bojují s příliš mnoha upozorněními, nástroji a tlakem. V IntSights jsem viděl, jak bylo pro lidi obtížné jednat na základě inteligence, která byla produkována. V Rapid7 jsem se ujal výzvy škálovat náš tým s menším počtem lidí, abychom mohli podpořit větší základnu zákazníků, a to tak, že jsme přepracovali, jak práce byla prováděna, a implementovali datové vědy pro zpracování úloh s vysokým objemem. To bylo okamžik, kdy jsem začal věřit, že tradiční způsob řízení bezpečnostního operačního centra (SOC) nebude trvat dlouho. Conifers vznikl z našich snah vyřešit tento problém škálovatelnosti. Chtěli jsme vytvořit řešení, které by mohlo škálovat, aby zvládlo stále rostoucí objemy hrozeb a dat, aniž by vyčerpalo lidi. Takže jsme vytvořili CognitiveSOC, naši platformu pro agenty AI SOC.

Conifers se позициuje jako „síla AI SOC“. Jak se vaše platforma CognitiveSOC liší od tradičních nástrojů pro automatizaci SOC?

Většina automatizačních nástrojů v SOC byla postavena na statických playbookech. Tyto nástroje provádějí sadu kroků, ale selhávají, když se útočníci chovají nepředvídatelným způsobem nebo když se prostředí mění. CognitiveSOC je agenticí platformou AI, která se může učit a přizpůsobovat se měnícím se prostředí. Koreluje data, využívá institucionální znalosti a činí závěry bez nutnosti psát každý krok procesu. Platforma podporuje analytiky, místo aby je nahrazovala, a neustále se zlepšuje prostřednictvím zpětné vazby a učení, místo aby vyžadovala manuální údržbu. Tento stálý růst schopností je tím, co ji dělá skutečným násobičem síly.

Týmy SOC si často stěžují na únavu z upozornění a vyhoření. Jak Conifers řeší tuto výzvu v praktických termínech?

CognitiveSOC řeší únavu z upozornění snížením hluku, než se dostane k analytikovi. Bere konstantní proud upozornění z různých nástrojů a konsoliduje je do vyšetřování, která již obsahuje relevantní kontext. Místo toho, aby analytik zíral na záplavu blikajících alarmů, přezkoumává mnohem menší sadu vyšetřování, která zahrnuje historický kontext, důkazy a pravděpodobné příčiny. Analytici mohou poté strávit čas přemýšlením a rozhodováním, místo aby honili surová signály, což pomáhá snížit únavu a vyhoření.

Důvěra je kritická v kybernetické bezpečnosti—jak váš přístup „člověk v smyčce“ buduje důvěru v rozhodování řízeném AI?

Klíč k důvěře je transparentnost a kontrola. Analytici zůstávají u řízení systému a jsou představeni doporučeními a vysvětleními, které mohou potvrdit nebo přepsat a poskytnout hodnocení. S časem, jak uvidí, že systém dělá přesná volání, mohou dovolit, aby systém zpracoval více akcí automaticky. Tento přístup umožňuje týmům testovat a opravovat systém, zatímco udržují autoritu v lidských rukou. Budujeme důvěru a přijetí, tím, že AI chápeme jako partnera, který se učí od analytiků, místo černé skříňky, která dělá nevysvětlitelná rozhodnutí.

Vaše rámcová implementace umožňuje postupné přijetí. Proč jste ji navrhli tímto způsobem a jak pomáhá organizacím překonat odpor vůči AI?

Věděli jsme od začátku, že největší bariérou pro přijetí bude důvěra v přijetí AI. Pokud vejde do SOC a řekne týmu, aby předal operace AI systému, odpověď bude ne. Rozdělením přijetí do etap umožňujeme organizacím začít malým počtem případů použití a škálovat je postupně. Každá etapa demonstruje hodnotu a buduje důvěru, což usnadňuje přijetí další etapy. Tento postupný přístup buduje důvěru, nahrazuje váhání důkazy a zajišťuje, že týmy cítí kontrolu.

Metriky jsou velkým dílem prokazování hodnoty v bezpečnosti. Jaké KPI by organizace měly sledovat, aby měřily pokrok směrem k autonomnímu SOC?

Nejdůležitějšími měřítky jsou rychlost detekce, reakce a nápravy, stejně jako kvalita a poměr surových upozornění na smysluplná, kontextová vyšetřování. Dalším měřítkem je, kolik zátěže může systém převzít bez lidského zapojení. Tyto ukazatele ukazují, zda se SOC stává efektivnějším, zda analytici jsou schopni se soustředit na vyšší hodnotu práce a zda se organizace blíží modelu, ve kterém AI přebírá těžkou práci. Sledování těchto čísel poskytuje jasný důkaz pokroku.

Conifers zdůrazňuje integraci s existujícími systémy pro řízení incidentů. Proč byla nezasahování do stávajících procesů takovým základním principem návrhu?

Bezpečnostní týmy investovaly大量ně do svých nástrojů a procesů. Většina stávající technologie vyžaduje, aby SOC týmy „přepnuli“ a přešly na jiný nástroj, aby přezkoumaly a vyřešily upozornění. Odstraňujeme tuto tření tím, že se setkáváme s analytiky tam, kde jsou, vložené do nástrojů, se kterými již pracují.

Co vidíte jako fázový přechod od dnešních poloautomatizovaných SOC k budoucnosti, kde agenti AI budou mít větší autoritu nad nástroji a daty?

Cesta k autonomnímu SOC začíná augmentací, kde AI analyzuje a vyšetřuje upozornění s lidským dohledem. Odtud organizace přecházejí do delegace, umožňující systému zpracovat více a více případů autonomně. Konečným stadiem je plná autonomie, kdy agenti AI jsou důvěřeni, aby spravovali detekci a reakci napříč prostředími, zatímco lidé řídí strategii a zvládají jedinečné situace. Dnes jsou většina týmů stále v augmentaci s některými ranými delegacemi, ale pohodlí s předáním rutinních scénářů roste rychle a bude vytvářet základ pro plnou autonomii.

Pohledem do budoucna pět let, jak očekáváte, že operace SOC budou evolovat, jakmile se AI zralá—jak z hlediska technologie, tak z hlediska role analytika?

Za pět let budou SOC provozovány na systémech, které vypadají více jako autonomní agenti než jako panely. Tyto agenti budou detekovat, reagovat a přizpůsobovat se novým hrozbám a budou také ladit zásady a sdílet znalosti napříč organizacemi v reálném čase. Jakmile se tato schopnost zralá, role analytika se změní na dohled, strategii a komplexní vyšetřování. Práce bude méně o očištění nekonečných upozornění a více o aplikaci odborných znalostí tam, kde mají největší dopad. Výsledkem bude SOC, který se cítí méně jako call centrum a více jako řídící místnost.

Děkuji za skvělý rozhovor, čtenářům, kteří chtějí se dozvědět více, doporučujeme navštívit Conifers.

mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.