Vernetzen Sie sich mit uns

Interviews

Tom Findling, Mitgründer und CEO von Conifers – Interviewreihe

mm
Veröffentlicht

Tom Findling Er ist eine strategische Führungskraft mit nachweislichen Erfolgen in den Bereichen Markteinführung (Go-to-Market, GTM), Produktentwicklung und Data Science. Als Chief Customer Officer bei IntSights (übernommen von Rapid7) und anschließend als Senior Director of Product bei Rapid7 vereint er strategische Vision und operative Umsetzungsstärke und bringt diese Expertise in die Leitung umfangreicher Projekte ein. Darüber hinaus bekleidete er Führungspositionen im Bereich Markteinführung und Produktentwicklung bei VMware und SUS.

Koniferen Die KI-gestützte CognitiveSOC-Plattform erweitert die Leistungsfähigkeit von Security Operations Centern (SOCs) durch die Integration bestehender Tools, die Berücksichtigung organisationsspezifischer Daten und Risikoprofile sowie die kontinuierliche Anpassung von Untersuchungsabläufen. Sie begegnet gängigen Herausforderungen wie übermäßigem Alarmaufkommen, mangelnder Transparenz der SOC-Performance und standardisierten Systemen. Dies gelingt durch tiefergehende Untersuchungen, die Modellierung institutionellen Wissens und Feedbackschleifen zur Verbesserung der Genauigkeit und Reduzierung von Fehlalarmen. Die Plattform liefert messbare Ergebnisse, darunter eine Verdreifachung des Return on Investment und eine Reduzierung der Untersuchungszeit um 87 %.

Sie blicken auf eine lange Karriere im Bereich Cybersicherheit zurück, von IntSights bis Rapid7 – welche Erfahrungen haben Sie letztendlich dazu bewogen, Conifers mitzugründen, und welches Problem wollten Sie lösen?

Im Laufe meiner Karriere habe ich erlebt, wie Security-Operations-Teams unter der Last unzähliger Warnmeldungen, Tools und des damit verbundenen Drucks litten. Bei IntSights beobachtete ich, wie schwierig es für Menschen war, auf die generierten Informationen zu reagieren. Bei Rapid7 stellte ich mich der Herausforderung, unser Team mit weniger Mitarbeitern zu skalieren, um einen größeren Kundenstamm zu betreuen. Dies gelang uns durch die Neugestaltung unserer Arbeitsabläufe und den Einsatz von Data Science zur Bewältigung des hohen Aufgabenvolumens. Damals begann ich zu erkennen, dass der traditionelle Betrieb eines Security Operations Centers (SOC) nicht zukunftsfähig ist. Conifers entstand aus unseren Bemühungen, dieses Skalierungsproblem zu lösen. Wir wollten eine Lösung entwickeln, die mit den stetig wachsenden Bedrohungs- und Datenmengen skalieren kann, ohne die Mitarbeiter zu überlasten. So entstand CognitiveSOC, unsere KI-gestützte SOC-Agentenplattform.

Conifers positioniert sich als „KI-SOC-Kraftverstärker“. Wie unterscheidet sich Ihre CognitiveSOC-Plattform von herkömmlichen SOC-Automatisierungstools?

Die meisten Automatisierungstools im SOC basieren auf statischen Playbooks. Sie führen eine festgelegte Abfolge von Schritten aus, versagen jedoch, wenn Angreifer unvorhersehbar agieren oder sich die Umgebung ändert. CognitiveSOC ist eine agentenbasierte KI-Plattform, die lernen und sich an veränderte Umgebungen anpassen kann. Sie korreliert Daten, nutzt institutionelles Wissen und zieht Schlussfolgerungen, ohne jeden Prozessschritt skripten zu müssen. Die Plattform unterstützt Analysten, anstatt sie zu ersetzen, und verbessert sich kontinuierlich durch Feedback und Lernen, anstatt manuelle Wartung zu erfordern. Dieses stetige Wachstum der Leistungsfähigkeit macht sie zu einem echten Multiplikator der Sicherheitsleistung.

SOC-Teams klagen häufig über Alarmmüdigkeit und Burnout. Wie begegnet Conifers dieser Herausforderung in der Praxis?

CognitiveSOC bekämpft die Flut an Warnmeldungen, indem es den Informationsfluss reduziert, bevor die Analysten überhaupt erreicht werden. Es fasst die ständige Flut an Warnmeldungen aus verschiedenen Tools zusammen und konsolidiert sie in Untersuchungen, die bereits den relevanten Kontext enthalten. Anstatt sich mit einer Vielzahl blinkender Alarme auseinandersetzen zu müssen, bearbeiten Analysten eine deutlich kleinere Anzahl von Untersuchungen, die historischen Kontext, Beweise und wahrscheinliche Ursachen beinhalten. So können Analysten Informationen verarbeiten und Entscheidungen treffen, anstatt unstrukturierten Signalen nachzugehen. Dies trägt dazu bei, Ermüdung und Burnout vorzubeugen.

Vertrauen ist in der Cybersicherheit von entscheidender Bedeutung – wie trägt Ihr Ansatz, den Menschen in den Entscheidungsprozess einzubeziehen, zum Vertrauen in KI-gestützte Entscheidungsfindung bei?

Der Schlüssel zu Vertrauen liegt in Transparenz und Kontrolle. Analysten behalten die Kontrolle über das System und erhalten Empfehlungen und Erklärungen, die sie bestätigen oder überschreiben und bewerten können. Mit der Zeit, wenn sie sehen, dass das System korrekte Entscheidungen trifft, können sie ihm mehr Aufgaben automatisieren lassen. Dieser Ansatz ermöglicht es Teams, das System zu testen und zu korrigieren, während die Entscheidungsgewalt bei den Analysten bleibt. Wir schaffen Vertrauen und Akzeptanz, indem wir KI als Partner behandeln, der von den Analysten lernt, und nicht als Blackbox, die unerklärliche Entscheidungen trifft.

Ihr gestaffeltes Implementierungsmodell ermöglicht eine schrittweise Einführung. Warum haben Sie es so gestaltet, und wie hilft es Organisationen, Widerstände gegen KI abzubauen?

Uns war von Anfang an klar, dass das größte Hindernis für die Einführung von KI das Vertrauen in sie sein würde. Würde man ein Security Operations Center (SOC) betreten und dem Team vorschlagen, seine Abläufe einem KI-System zu überlassen, wäre die Antwort ein klares Nein. Indem wir die Einführung in Phasen unterteilen, ermöglichen wir es Unternehmen, mit wenigen Anwendungsfällen klein anzufangen und diese schrittweise zu skalieren. Jede Phase demonstriert den Nutzen und schafft Vertrauen, wodurch die Akzeptanz der nächsten Phase erleichtert wird. Dieser schrittweise Ansatz baut Vertrauen auf, ersetzt Bedenken durch Fakten und gibt den Teams das Gefühl, die Kontrolle zu behalten.

Kennzahlen spielen eine wichtige Rolle beim Nachweis des Nutzens von Sicherheitsmaßnahmen. Welche KPIs sollten Unternehmen verfolgen, um den Fortschritt hin zu einem autonomen SOC zu messen?

Die wichtigsten Kennzahlen sind die Geschwindigkeit der Erkennung, Reaktion und Behebung von Problemen sowie die Qualität und das Verhältnis von unqualifizierten Warnmeldungen zu aussagekräftigen, kontextbezogenen Untersuchungen. Eine weitere Kennzahl ist die Arbeitslast, die das System ohne menschliches Eingreifen bewältigen kann. Diese Indikatoren zeigen, ob das SOC effizienter wird, ob Analysten befähigt werden, sich auf wertschöpfendere Aufgaben zu konzentrieren, und ob sich das Unternehmen einem Modell annähert, in dem KI die Hauptarbeit übernimmt. Die Überwachung dieser Zahlen liefert einen klaren Nachweis für den Fortschritt.

Conifers hebt die Integration mit bestehenden Incident-Management-Systemen hervor. Warum war die Vermeidung von Betriebsunterbrechungen ein so zentrales Designprinzip?

Sicherheitsteams haben erheblich in ihre Tools und Prozesse investiert. Die meisten bestehenden Technologien erfordern von SOC-Teams einen „Kontextwechsel“ und die Nutzung eines anderen Tools zur Überprüfung und Behebung von Warnmeldungen. Wir beseitigen diese Hürde, indem wir die Analysten dort abholen, wo sie arbeiten – direkt in den Tools, mit denen sie bereits vertraut sind.

Wie stellen Sie sich den schrittweisen Weg von den heutigen teilautomatisierten SOCs hin zu einer Zukunft vor, in der KI-Systeme mehr Kontrolle über Werkzeuge und Daten haben?

Der Weg zu einem autonomen Security Operations Center (SOC) beginnt mit der Unterstützung durch KI, die unter menschlicher Aufsicht Alarme analysiert und untersucht. Anschließend delegieren Unternehmen Aufgaben, sodass das System immer mehr Anwendungsfälle selbstständig bearbeiten kann. Die letzte Stufe ist die vollständige Autonomie: Hierbei übernehmen KI-Agenten die Erkennung und Reaktion in verschiedenen Umgebungen, während Mitarbeiter die Strategie entwickeln und besondere Situationen bewältigen. Aktuell befinden sich die meisten Teams noch in der Phase der Unterstützung mit ersten Delegationsschritten. Die Akzeptanz für die Übergabe von Routineaufgaben wächst jedoch rasant und bildet die Grundlage für die vollständige Autonomie.

Mit Blick auf die nächsten fünf Jahre: Wie erwarten Sie die Entwicklung der SOC-Abläufe im Zuge der zunehmenden Reife von KI – sowohl in Bezug auf die Technologie als auch auf die Rolle des Analysten?

In fünf Jahren werden SOCs auf Systemen laufen, die eher autonomen Agenten als Dashboards ähneln. Diese Agenten werden neue Bedrohungen erkennen, darauf reagieren und sich anpassen sowie Richtlinien optimieren und Wissen organisationsweit in Echtzeit teilen. Mit zunehmender Reife dieser Fähigkeiten wird sich die Rolle des Analysten hin zu Aufsicht, Strategieentwicklung und komplexen Untersuchungen verlagern. Die Arbeit wird weniger darin bestehen, unzählige Warnmeldungen zu bearbeiten, sondern vielmehr darin, Fachwissen dort einzusetzen, wo es die größte Wirkung erzielt. Das Ergebnis wird ein SOC sein, das sich weniger wie ein Callcenter und mehr wie eine Kommandozentrale anfühlt.

Vielen Dank für das tolle Interview, Leser, die mehr erfahren möchten, sollten vorbeischauen Koniferen.

Verwandte Themen:
mm

Antoine ist ein visionärer Leiter und Gründungspartner von Unite.AI, angetrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Als Serienunternehmer glaubt er, dass KI für die Gesellschaft ebenso umwälzend sein wird wie Elektrizität, und schwärmt oft vom Potenzial disruptiver Technologien und AGI.

Als Futuristwidmet er sich der Erforschung, wie diese Innovationen unsere Welt prägen werden. Darüber hinaus ist er der Gründer von Wertpapiere.io, eine Plattform, deren Schwerpunkt auf Investitionen in Spitzentechnologien liegt, die die Zukunft neu definieren und ganze Branchen umgestalten.