Tom Findling, medgründer og administrerende direktør i Conifers – Intervjuserie

Tom Findling er en strategisk leder med dokumenterte resultater innen go-to-market (GTM), produkt- og datavitenskap. Han har jobbet som Chief Customer Officer hos IntSights (kjøpt opp av Rapid7) og deretter som Senior Director of Product hos Rapid7, og bringer en unik blanding av strategisk visjon og gjennomføring til bordet med drift av storskala operasjoner. I tillegg ledet han GTM- og produktroller hos VMware og SUS.

Bartrær tilbyr en AI-drevet CognitiveSOC-plattform som forbedrer funksjonene til sikkerhetsoperasjonssentre ved å integrere med eksisterende verktøy, innhente en organisasjons unike data- og risikoprofil, og kontinuerlig tilpasse etterforskningsarbeidsflyter. Den takler vanlige utfordringer som for høye varslingsvolumer, begrenset innsikt i SOC-ytelse og generiske systemer som passer alle ved å muliggjøre dypere etterforskning, modellere institusjonell kunnskap og bruke tilbakemeldingsløkker for å forbedre nøyaktighet og redusere støy. Plattformen er utviklet for å levere målbare resultater, inkludert en tredobbelt avkastning på investeringen og en 87 % reduksjon i etterforskningstid.

Du har hatt en lang karriere innen cybersikkerhet, fra IntSights til Rapid7 – hvilke erfaringer førte til slutt til at du var med på å grunnlegge Conifers, og hvilket problem satte du deg fore å løse?

I løpet av karrieren min har jeg vært vitne til at sikkerhetsoperasjonsteam sliter under vekten av for mange varsler, verktøy og press. Hos IntSights observerte jeg hvor vanskelig det var for mennesker å handle på grunnlag av informasjonen som ble produsert. Hos Rapid7 tok jeg utfordringen med å skalere teamet vårt med færre personer for å støtte en større kundebase ved å redesigne hvordan arbeidet ble utført og implementere datavitenskap for å håndtere oppgaver med stort volum. Det var da jeg begynte å tro at det å drive et sikkerhetsoperasjonssenter (SOC) på den tradisjonelle måten ikke ville vare. Conifers ble født av vår innsats for å løse dette skaleringsproblemet. Vi ønsket å bygge en løsning som kunne skaleres for å håndtere de stadig økende volumene av trusler og data uten å brenne ut folk. Så vi skapte CognitiveSOC, vår plattform for AI SOC-agenter.

Conifers posisjonerer seg som en «AI SOC-kraftmultiplikator». Hvordan skiller CognitiveSOC-plattformen deres seg fra tradisjonelle SOC-automatiseringsverktøy?

De fleste automatiseringsverktøyene i SOC er bygget på statiske strategier. De utfører en rekke trinn, men mislykkes når angripere oppfører seg på uforutsigbare måter eller når miljøet endres. CognitiveSOC er en agentisk AI-plattform som kan lære og tilpasse seg skiftende miljøer. Den korrelerer data, bruker institusjonell kunnskap og trekker konklusjoner uten å skripte hvert trinn i prosessen. Plattformen støtter analytikere i stedet for å erstatte dem, og blir kontinuerlig sterkere gjennom tilbakemeldinger og læring i stedet for å kreve manuelt vedlikehold. Den jevne veksten i kapasitet er det som gjør den til en ekte kraftmultiplikator.

SOC-team klager ofte over årvåkenhet og utbrenthet. Hvordan håndterer Conifers denne utfordringen i praksis?

CognitiveSOC takler varslingsutmattelse ved å redusere støyen før den når en analytiker. Den tar den konstante flommen av varsler fra flere verktøy og konsoliderer dem til undersøkelser som allerede inneholder den relevante konteksten. I stedet for at en analytiker stirrer på en flom av blinkende alarmer, gjennomgår de et mye mindre sett med undersøkelser som inkluderer historisk kontekst, bevis og sannsynlige årsaker. Analytikere kan deretter fordøye informasjon og ta beslutninger i stedet for å jage rå signaler, noe som bidrar til å redusere utmattelse og utbrenthet.

Tillit er avgjørende innen cybersikkerhet – hvordan bygger deres tilnærming med fokus på mennesker tillit til AI-drevet beslutningstaking?

Nøkkelen til tillit er åpenhet og kontroll. Analytikere har fortsatt kontroll over systemet og får presentert anbefalinger og forklaringer de kan bekrefte eller overstyre og gi en vurdering. Over tid, etter hvert som de ser at systemet foretar nøyaktige avgjørelser, kan de la det håndtere flere handlinger automatisk. Denne tilnærmingen gjør det mulig for team å teste og korrigere systemet samtidig som autoriteten holdes i menneskelige hender. Vi bygger tillit og adopsjon ved å behandle AI som en partner som lærer av analytikere i stedet for en svart boks som tar uforklarlige valg.

Det trinnvise implementeringsrammeverket ditt tillater gradvis adopsjon. Hvorfor utformet dere det på denne måten, og hvordan hjelper det organisasjoner med å overvinne motstand mot AI?

Vi visste fra starten av at den største barrieren for adopsjon ville være tilliten til å ta i bruk AI. Hvis du går inn i en SOC og ber teamet om å overføre driften til et AI-system, vil svaret være nei. Ved å dele adopsjonen inn i stadier, lar vi organisasjoner starte i det små med et begrenset antall brukstilfeller og skalere dem over tid. Hvert stadium demonstrerer verdi og bygger tillit, noe som gjør det neste stadiet lettere å akseptere. Denne gradvise veien bygger tillit, erstatter nøling med bevis og sikrer at teamene føler seg i kontroll.

Målinger er en viktig del av å bevise verdi innen sikkerhet. Hvilke KPI-er bør organisasjoner spore for å måle fremdriften mot en autonom SOC?

De viktigste målene er hastigheten på deteksjon, respons og utbedring, samt kvaliteten og forholdet mellom rå varsler og meningsfulle, kontekstuelle undersøkelser. Et annet mål er hvor mye arbeidsmengde systemet kan ta på seg uten menneskelig involvering. Disse indikatorene viser om SOC blir mer effektiv, om analytikere blir bemyndiget til å fokusere på arbeid med høyere verdi, og om organisasjonen beveger seg nærmere en modell der AI tar på seg det tunge arbeidet. Å spore disse tallene gir tydelige bevis på fremgang.

Conifers fremhever integrasjon med eksisterende hendelseshåndteringssystemer. Hvorfor var ikke-avbrudd et så sentralt designprinsipp?

Sikkerhetsteam har investert tungt i verktøyene og prosessene sine. Mesteparten av eksisterende teknologi krever at SOC-teamene «bytter kontekst» og går over til et annet verktøy for å gjennomgå og løse varsler. Vi fjerner denne friksjonen ved å møte analytikerne der de er, innebygd i verktøyene de allerede jobber med.

Hva ser du for deg som den fasede veien fra dagens halvautomatiske SOC-er til en fremtid der AI-agenter har mer autoritet over verktøy og data?

Veien mot en autonom SOC begynner med utvidelse, der AI analyserer og undersøker varsler med menneskelig tilsyn. Derfra går organisasjoner over til delegering, slik at systemet kan håndtere flere og flere brukstilfeller autonomt. Den siste fasen er full autonomi, når AI-agenter er betrodd å administrere deteksjon og respons på tvers av miljøer mens folk veileder strategi og håndterer unike situasjoner. I dag er de fleste team fortsatt i utvidelse med noe tidlig delegering, men komforten med å håndtere rutinemessige scenarier vokser raskt og vil legge grunnlaget for full autonomi.

Når du ser fem år fremover, hvordan forventer du at SOC-driften vil utvikle seg etter hvert som AI modnes – både når det gjelder teknologi og analytikerrollen?

Om fem år vil SOC-er kjøre på systemer som ser mer ut som autonome agenter enn dashbord. Disse agentene vil oppdage, reagere på og tilpasse seg nye trusler, og de vil også finjustere retningslinjer og dele kunnskap på tvers av organisasjoner i sanntid. Etter hvert som denne kapasiteten modnes, vil analytikerrollen skifte til tilsyn, strategi og komplekse undersøkelser. Arbeidet vil handle mindre om å fjerne endeløse varsler og mer om å anvende ekspertise der den har størst innvirkning. Resultatet vil være en SOC som føles mindre som et callsenter og mer som et kontrollrom.

Takk for det flotte intervjuet, lesere som ønsker å lære mer bør besøke Bartrær.