Tom Findling, Conifersin perustaja ja toimitusjohtaja – Haastattelusarja

Tom Findling on strateginen johtaja, jolla on todistetusti menestyksekäs tausta markkinointiin (GTM), tuotteisiin ja data-tieteeseen liittyvissä asioissa. Hän on toiminut aiemmin IntSightsin (jonka Rapid7 hankki) Chief Customer Officerina ja myöhemmin Rapid7:n Senior Director of Product -tehtävissä, ja tuo näin ollen ainutlaatuisen yhdistelmän strategista näkemystä ja toimeenpanoa suurten operaatioiden johtamiseen. Lisäksi hän on toiminut GTM- ja tuotejohtajana VMware:ssa ja SUS:ssa.

Conifers tarjoaa tekoälypohjaisen CognitiveSOC-alustan, joka parantaa turvallisuusoperaatiokeskusten kykyjä integroimalla olemassa olevat työkalut, ottamalla organisaation yksilöllisen datan ja riskiprofiilin huomioon ja jatkuvasti sopeuttamalla tutkimusprosesseja. Se ratkaisee yleisiä haasteita, kuten liiallisen hälytysmäärän, rajoitetun näkyvyyden turvallisuusoperaatiokeskuksen suorituskykyyn ja yleispätevien järjestelmien kanssa, mahdollistaen syvemmän tutkimuksen, institutionaalisen tiedon mallinnuksen ja takaisinkytkentä käyttäen tarkkuuden parantamiseksi ja melun vähentämiseksi. Alusta on suunniteltu toimittamaan mitattavia tuloksia, mukaan lukien kolminkertainen sijoitusten tuotto ja 87 %:n vähennys tutkimusaikana.

Olet työskennellyt pitkään kyberturvallisuuden parissa, IntSightsista Rapid7:ään—mitkä kokemukset lopulta johtivat Conifersin perustamiseen, ja mikä ongelma yritit ratkaista?

Uran aikana olen todistanut, kuinka turvallisuusoperaatiotiimit kamppailevat liian monien hälytysten, työkalujen ja paineen alla. IntSightsissa havainnoimme, kuinka vaikeaa oli ihmisille toimia tuotetun tiedustelun mukaisesti. Rapid7:ssa otin haasteen kasvattaa tiimiämme vähemmällä henkilöstöllä laajemman asiakasryhmän tukemiseksi uudelleen suunnittelemalla työn tekemisen tapaa ja käyttämällä data-tiedettä korkean volyymin tehtävien käsittelyyn. Silloin aloin uskoa, että perinteinen turvallisuusoperaatiokeskuksen (SOC) pyörittäminen ei kestä. Conifers syntyi pyrkimykestämme ratkaista tämä skaalaamisongelma. Halusimme luoda ratkaisun, joka voisi skaalautua käsittelemään uhkien ja datan jatkuvasti kasvavaa määrää ilman, että ihmiset polttavat itseään loppuun. Niinpä loimme CognitiveSOC:n, tekoälypohjaisen SOC-agenttialustamme.

Conifers määrittelee itsensä “tekoälylliseksi SOC-tehokertoimiksi”. Miten teidän CognitiveSOC-alustanne eroaa perinteisistä SOC-automatisointityökaluista?

Useimmat SOC:n automaatiotyökalut on rakennettu staattisille ohjelmapohjille. Ne suorittavat sarjan ennalta määriteltyjä askelia, mutta epäonnistuvat, kun hyökkääjät käyttäytyvät odottamattomalla tavalla tai kun ympäristö muuttuu. CognitiveSOC on agenteille perustuva tekoälyalusta, joka voi oppia ja sopeutua muuttuviin ympäristöihin. Se korreloi dataa, käyttää institutionaalista tietoa ja tekee johtopäätöksiä ilman koko prosessin kirjaamista. Alusta tukee analyytikkoja sen sijaan, että korvaa heidät, ja vahvistuu jatkuvasti palautteen ja oppimisen kautta ilman, että vaatisi manuaalista ylläpitoa. Tämä jatkuva kyvyn kasvu on se, mikä tekee siitä todellisen tehokertoimen.

SOC-tiimit valittavat usein hälytysuupumuksesta ja polttoutumisesta. Miten Conifers ratkaisee tämän haasteen käytännössä?

CognitiveSOC ratkaisee hälytysuupumusta vähentämällä melua ennen kuin se saavuttaa analyytikon. Se ottaa jatkuvan hälytysvirran työkaluista ja konsolidoi ne tutkimuksiin, jotka sisältävät jo relevantin kontekstin. Sen sijaan, että analyytikko tuijottaa hälytysvilinää, hän tarkastelee paljon pienempää tutkimusjoukkoa, joka sisältää historiallisen kontekstin, todisteet ja todennäköiset syyt. Analyytikot voivat silloin sulattaa tietoa ja tehdä päätöksiä raw-hälytysten metsästämisen sijaan, mikä auttaa vähentämään uupumusta ja polttoutumista.

Luottamus on kriittinen tekijä kyberturvallisuudessa—miten teidän ihmisen osallistumista edellyttävä lähestymistapa luottaa tekoälyyn perustuvaan päätöksentekoon?

Luottamuksen avain on läpinäkyvyys ja valvonta. Analyytikot säilyttävät järjestelmän hallinnan ja esitetään suosituksia ja selityksiä, joita he voivat vahvistaa tai ohittaa ja antaa arvosanan. Ajan myötä, kun he näkevät järjestelmän tekevän tarkkoja arvioita, he voivat sallia sille suorittaa enemmän toimia automaattisesti. Tämä lähestymistapa mahdollistaa tiimien testaamisen ja korjaamisen järjestelmää, samalla kun ihmiset säilyttävät valvontaa. Rakennamme luottamusta ja omaksumista kohdellaen tekoälyä kumppanina, joka oppii analyytikkojen kanssa, sen sijaan, että se olisi musta laatikko, joka tekee selittämättömiä valintoja.

Teidän vaiheittainen toteutuskehys sallii asteittaisen omaksumisen. Miksi suunnittelitte sen tällä tavoin, ja miten se auttaa organisaatioita voittamaan vastustuksen tekoälyä kohtaan?

Tiesimme alusta alkaen, että suurin este omaksumiselle olisi luottamus tekoälyyn. Jos menet SOC:hen ja kerrot tiimille, että heidän on luovuttava operaatioiden hallinta tekoälyjärjestelmälle, vastaus on ei. Jakamalla omaksumisen vaiheisiin, sallimme organisaatioiden aloittaa pienellä määrällä käyttötarkoituksia ja skaalata niitä ajan myötä. Kunkin vaiheen arvo ja luottamus tekevät seuraavan vaiheen helpommaksi hyväksyä. Tämä asteittainen polku luottaa, korvaa epärön todisteilla ja varmistaa, että tiimit tuntevat olonsa hallitsevaksi.

Mittarit ovat suurelta osin mukana todistamassa arvoa turvallisuudessa. Mitkä KPI:t organisaatioiden tulisi seurata arvioimaan edistymistä kohti autonomista SOC:ia?

Tärkeimmät mittarit ovat havaitsemisen, reagoinnin ja korjaamisen nopeus, sekä laatu ja suhde raakähälytyksistä merkityksellisiin, kontekstualisiin tutkimuksiin. Toinen mittari on, kuinka paljon työmäärää järjestelmä voi ottaa vastaan ilman ihmisten osallistumista. Nämä osoittimet osoittavat, onko SOC:sta tuleva tehokkaampi, ovatko analyytikot saamassa enemmän arvoa työstään ja onko organisaatio siirtymässä malliin, jossa tekoäly ottaa vastuun raskaasta työstä. Nämä luvut tarjoavat selkeän näytön edistymisestä.

Conifers korostaa integraatiota olemassa oleviin tapahtumanhallintajärjestelmiin. Miksi ei-häirintä oli keskeinen suunnitteluperiaate?

Turvallisuustiimit ovat investoineet voimakkaasti työkaluihinsa ja prosesseihinsa. Useimmat olemassa olevat teknologiat vaativat SOC-tiimien “kontekstivaihtoa” ja siirtymistä toiseen työkaluun hälytysten tarkastelua ja ratkaisemista varten. Poistamme kitkaa kohtaamalla analyytikot siellä, missä he ovat, upotettuna työkaluihin, joita he jo käyttävät.

Miten näette askelmat nykyisistä puoli-automatisoiduista SOC:ista tulevaisuuteen, jossa tekoälyagentit ovat enemmän valta-asemassa työkaluissa ja datassa?

Automaattisen SOC:n polku alkaa lisäyksestä, jossa tekoäly analysoi ja tutkii hälytyksiä ihmisten valvonnassa. Siitä edetään delegaatioon, jossa järjestelmä sallitaan käsitellä enemmän ja useampia käyttötarkoituksia autonomisesti. Lopullinen vaihe on täysi autonomia, jossa tekoälyagentit ovat luotettuja hallinnoimaan havaitsemista ja reagointia ympäristössä, kun ihmiset ohjaavat strategiaa ja käsittelevät ainutlaatuisia tilanteita. Tällä hetkellä useimmat tiimit ovat edelleen lisäyksessä joitakin varhaisia delegaatioita, mutta mukavuus luovuttamisessa rutiinisia skenaarioita kasvaa nopeasti ja luo perustan täydelliselle autonomialle.

Miten odotte, että SOC-operaatiot kehittyvät seuraavan viiden vuoden aikana, kun tekoäly kypsyy—sekä teknologian että analyytikon roolin kannalta?

Viiden vuoden kuluttua SOC:t pyörii järjestelmissä, jotka muistuttavat enemmän autonomisia agenteja kuin kojussa olevia työkaluja. Nämä agentit havaitsevat, reagoivat ja sopeutuvat uusiin uhkiin ja jakavat tietoa ja politiikkoja organisaatioiden välillä reaaliajassa. Kun tämä kyky kypsyy, analyytikon rooli siirtyy valvontaan, strategiaan ja monimutkaisiin tutkimuksiin. Työ on vähemmän hälytysten tyhjentämistä ja enemmän asiantuntemuksen soveltamista siellä, missä se vaikuttaa eniten. Tuloksena on SOC, joka tuntuu vähemmän puhelinkeskukselta ja enemmän lennonjohtokeskukselta.

Kiitos haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla Conifers-sivustolla.