Interviews
Tom Findling, medstifter og administrerende direktør for Conifers – Interviewserie
Tom Findling er en strategisk leder med dokumenteret erfaring inden for go-to-market (GTM), produkt- og datavidenskab. Han har været Chief Customer Officer hos IntSights (opkøbt af Rapid7) og efterfølgende som Senior Director of Product hos Rapid7, og bringer en unik blanding af strategisk vision og eksekvering til bordet med at drive store operationer. Derudover har han ledet GTM- og produktroller hos VMware og SUS.
Nåletræer tilbyder en AI-drevet CognitiveSOC-platform, der forbedrer sikkerhedsoperationscentres muligheder ved at integrere med eksisterende værktøjer, indtage en organisations unikke data- og risikoprofil og løbende tilpasse undersøgelsesarbejdsgange. Den tackler almindelige udfordringer såsom for store alarmmængder, begrænset indsigt i SOC-ydeevne og generiske one-size-fits-all-systemer ved at muliggøre dybere undersøgelser, modellere institutionel viden og bruge feedback-loops til at forfine nøjagtighed og reducere støj. Platformen er designet til at levere målbare resultater, herunder et tredobbelt investeringsafkast og en 87% reduktion i undersøgelsestiden.
Du har haft en lang karriere inden for cybersikkerhed, fra IntSights til Rapid7 – hvilke erfaringer førte i sidste ende til, at du var med til at grundlægge Conifers, og hvilket problem satte du dig for at løse?
I løbet af min karriere har jeg set sikkerhedsteams kæmpe under vægten af ​​for mange alarmer, værktøjer og pres. Hos IntSights observerede jeg, hvor svært det var for mennesker at handle på den information, der blev produceret. Hos Rapid7 tog jeg udfordringen op med at skalere vores team med færre mennesker for at understøtte en større kundebase ved at redesigne, hvordan arbejdet blev udført, og implementere datavidenskab til at håndtere opgaver med stor volumen. Det var på det tidspunkt, jeg begyndte at tro, at det ikke ville holde at drive et sikkerhedsoperationscenter (SOC) på den traditionelle måde. Conifers blev født af vores bestræbelser på at løse dette skaleringsproblem. Vi ønskede at bygge en løsning, der kunne skaleres til at håndtere de stadigt stigende mængder af trusler og data uden at brænde folk ud. Så vi skabte CognitiveSOC, vores AI SOC-agentplatform.
Conifers positionerer sig som en "AI SOC-kraftmultiplikator". Hvordan adskiller jeres CognitiveSOC-platform sig fra traditionelle SOC-automatiseringsværktøjer?
De fleste automatiseringsværktøjer i SOC er bygget på statiske playbooks. De udfører en række trin, men fejler, når angribere opfører sig på uforudsigelige måder, eller når miljøet ændrer sig. CognitiveSOC er en agentisk AI-platform, der kan lære og tilpasse sig skiftende miljøer. Den korrelerer data, bruger institutionel viden og drager konklusioner uden at scripte hvert trin i processen. Platformen understøtter analytikere i stedet for at erstatte dem og bliver løbende stærkere gennem feedback og læring i stedet for at kræve manuel vedligeholdelse. Den konstante vækst i kapacitet er det, der gør den til en sand kraftmultiplikator.
SOC-teams klager ofte over træthed og udbrændthed i alarmberedskabet. Hvordan håndterer Conifers denne udfordring i praksis?
CognitiveSOC tackler alarmtræthed ved at reducere støjen, før den når en analytiker. Den tager den konstante strøm af alarmer fra forskellige værktøjer og konsoliderer dem til undersøgelser, der allerede indeholder den relevante kontekst. I stedet for at en analytiker stirrer på en strøm af blinkende alarmer, gennemgår de et meget mindre sæt af undersøgelser, der inkluderer historisk kontekst, beviser og sandsynlige årsager. Analytikere kan derefter fordøje information og træffe beslutninger i stedet for at jagte rå signaler, hvilket hjælper med at mindske træthed og udbrændthed.
Tillid er afgørende inden for cybersikkerhed – hvordan opbygger jeres "human-in-the-loop"-tilgang tillid til AI-drevet beslutningstagning?
Nøglen til tillid er gennemsigtighed og kontrol. Analytikere bevarer kontrollen over systemet og får præsenteret anbefalinger og forklaringer, som de kan bekræfte eller tilsidesætte og give en vurdering. Over tid, når de ser systemet foretage præcise beslutninger, kan de tillade det at håndtere flere handlinger automatisk. Denne tilgang gør det muligt for teams at teste og korrigere systemet, samtidig med at autoriteten forbliver i menneskelige hænder. Vi opbygger tillid og implementering ved at behandle AI som en partner, der lærer af analytikere, i stedet for en sort boks, der træffer uforklarlige valg.
Jeres ramme for trinvis implementering muliggør gradvis implementering. Hvorfor designede I det på denne måde, og hvordan hjælper det organisationer med at overvinde modstand mod AI?
Vi vidste fra starten, at den største barriere for implementering ville være tilliden til at implementere AI. Hvis du går ind i en SOC og beder teamet om at overdrage deres drift til et AI-system, vil svaret være nej. Ved at opdele implementeringen i faser giver vi organisationer mulighed for at starte i det små med et begrænset antal use cases og skalere dem over tid. Hver fase demonstrerer værdi og opbygger tillid, hvilket gør den næste fase lettere at acceptere. Denne gradvise proces opbygger tillid, erstatter tøven med evidens og sikrer, at teams føler sig i kontrol.
Målinger er en stor del af at bevise værdien af ​​sikkerhed. Hvilke KPI'er bør organisationer spore for at måle fremskridt hen imod en autonom SOC?
De vigtigste målinger er hastigheden af ​​detektion, respons og afhjælpning, samt kvaliteten og forholdet mellem rå advarsler og meningsfulde, kontekstuelle undersøgelser. Et andet mål er, hvor meget arbejdsbyrde systemet kan klare uden menneskelig indblanding. Disse indikatorer viser, om SOC bliver mere effektiv, om analytikere får mulighed for at fokusere på arbejde med højere værdi, og om organisationen bevæger sig tættere på en model, hvor AI tager sig af det tunge arbejde. Sporing af disse tal giver et klart bevis på fremskridt.
Conifers fremhæver integration med eksisterende systemer til håndtering af hændelser. Hvorfor var ikke-afbrydelser et så centralt designprincip?
Sikkerhedsteams har investeret kraftigt i deres værktøjer og processer. Det meste eksisterende teknologi kræver, at SOC-teams "skifter kontekst" og skifter til et andet værktøj for at gennemgå og løse advarsler. Vi fjerner den friktion ved at møde analytikerne, hvor de er, integreret i de værktøjer, de allerede arbejder med.
Hvad ser du som den faseopdelte vej fra nutidens semiautomatiserede SOC'er til en fremtid, hvor AI-agenter har mere autoritet over værktøjer og data?
Vejen mod en autonom SOC begynder med augmentation, hvor AI analyserer og undersøger advarsler med menneskelig overvågning. Derfra går organisationer over til delegering, hvilket giver systemet mulighed for at håndtere flere og flere use cases autonomt. Den sidste fase er fuld autonomi, hvor AI-agenter har tillid til at styre detektion og respons på tværs af miljøer, mens folk styrer strategi og håndterer unikke situationer. I dag er de fleste teams stadig i augmentation med en vis tidlig delegering, men fortrolighed med at overdrage rutinemæssige scenarier vokser hurtigt og vil lægge grundlaget for fuld autonomi.
Når man ser fem år frem, hvordan forventer du så, at SOC-operationer vil udvikle sig i takt med at AI modnes – både med hensyn til teknologi og analytikerrollen?
Om fem år vil SOC'er køre på systemer, der ligner mere autonome agenter end dashboards. Disse agenter vil opdage, reagere på og tilpasse sig nye trusler, og de vil også finjustere politikker og dele viden på tværs af organisationer i realtid. Efterhånden som denne kapacitet modnes, vil analytikerrollen skifte til tilsyn, strategi og komplekse undersøgelser. Arbejdet vil handle mindre om at rydde endeløse advarsler og mere om at anvende ekspertise, hvor det har størst effekt. Resultatet vil være en SOC, der føles mindre som et callcenter og mere som et missionskontrolrum.
Tak for det gode interview, læsere, der ønsker at lære mere, bør besøge Nåletræer.
