Wywiady

Tom Findling, Współzałożyciel i Dyrektor Generalny Conifers – Seria Wywiadów

mm
Published
Updated

Tom Findling jest strategicznym liderem z udokumentowanym rekordem w dziedzinie go-to-market (GTM), produktu i nauki o danych. Pełniąc funkcję Chief Customer Officer w IntSights (nabytej przez Rapid7) i następnie jako Senior Director of Product w Rapid7, wnosi unikalną mieszankę strategicznej wizji i wykonania do stołu, prowadząc duże operacje. Dodatkowo, pełnił role GTM i produktowe w VMware i SUS.

Conifers oferuje platformę CognitiveSOC opartą na sztucznej inteligencji, która zwiększa możliwości centrów operacji bezpieczeństwa poprzez integrację z istniejącymi narzędziami, pobieranie unikalnych danych i profilu ryzyka organizacji oraz ciągłe dostosowywanie procesów śledczych. Rozwiązuje powszechne wyzwania, takie jak nadmierna ilość alertów, ograniczona widoczność wyników SOC oraz systemy jednego rozmiaru, umożliwiając głębsze śledztwa, modelowanie wiedzy instytucjonalnej oraz wykorzystanie pętli sprzężenia zwrotnego do poprawy dokładności i redukcji szumu. Platforma została zaprojektowana w celu dostarczania mierzalnych wyników, w tym trzykrotnego zwrotu z inwestycji i 87% redukcji czasu śledztwa.

Masz długą karierę w dziedzinie cyberbezpieczeństwa, od IntSights do Rapid7—jakie doświadczenia ostatecznie doprowadziły Cię do współzałożenia Conifers, i jaki problem postanowiłeś rozwiązać?

Podczas mojej kariery, byłem świadkiem, jak zespoły operacji bezpieczeństwa borykały się z ciężarem zbyt wielu alertów, narzędzi i presji. W IntSights, obserwowałem, jak trudno było ludziom działać na podstawie wytworzonej inteligencji. W Rapid7, podjąłem się wyzwania zwiększenia naszego zespołu z mniejszą liczbą osób, aby wesprzeć większą bazę klientów, poprzez przeprojektowanie sposobu wykonywania pracy i wdrożenie nauki o danych do obsługi zadań o wysokiej objętości. To było momentem, kiedy zacząłem wierzyć, że prowadzenie centrum operacji bezpieczeństwa (SOC) w tradycyjny sposób nie będzie trwało. Conifers powstał z naszych wysiłków, aby rozwiązać ten problem skalowania. Chcieliśmy zbudować rozwiązanie, które mogłoby skalować, aby poradzić sobie z coraz większymi objętościami zagrożeń i danych bez wypalania ludzi. Więc, stworzyliśmy CognitiveSOC, naszą platformę agentów SOC opartych na sztucznej inteligencji.

Conifers przedstawia się jako „mnożnik siły SOC oparty na sztucznej inteligencji”. Jak Twoja platforma CognitiveSOC różni się od tradycyjnych narzędzi do automatyzacji SOC?

Większość narzędzi do automatyzacji w SOC została zbudowana na podstawie statycznych podręczników. Wykonują one określoną serię kroków, ale zawodzą, gdy atakujący zachowują się w nieprzewidywalny sposób lub gdy środowisko ulega zmianie. CognitiveSOC jest platformą agenticzną opartą na sztucznej inteligencji, która może uczyć się i dostosowywać do zmieniających się środowisk. Koreluje dane, wykorzystuje wiedzę instytucjonalną i wyciąga wnioski bez konieczności programowania każdego kroku procesu. Platforma wspiera analityków, zamiast ich zastępować, i ciągle się wzmacnia poprzez sprzężenie zwrotne i uczenie, zamiast wymagać ręcznego utrzymania. To stałe wzmacnianie możliwości jest tym, co czyni ją prawdziwym mnożnikiem siły.

Zespoły SOC często skarżą się na zmęczenie alertami i wypalenie. Jak Conifers rozwiązuje to wyzwanie w praktyce?

CognitiveSOC rozwiązuje problem zmęczenia alertami, redukując szum przed tym, jak dotrze on do analityka. Pobiera stały strumień alertów z różnych narzędzi i konsoliduje je w śledztwa, które już zawierają odpowiedni kontekst. Zamiast tego, że analityk przygląda się lawinie migających alarmów, przegląda on znacznie mniejszy zestaw śledztw, które zawierają kontekst historyczny, dowody i prawdopodobne przyczyny. Analitycy mogą wtedy przyswoić informacje i podejmować decyzje, zamiast gonić surowe sygnały, co pomaga zmniejszyć zmęczenie i wypalenie.

Zaufanie jest kluczowe w cyberbezpieczeństwie—jak Wasz podejście „człowiek w pętli” buduje zaufanie do podejmowania decyzji opartych na sztucznej inteligencji?

Kluczem do zaufania jest przejrzystość i kontrola. Analitycy pozostają odpowiedzialni za system i są przedstawiani z rekomendacjami i wyjaśnieniami, które mogą potwierdzić lub odrzucić i ocenić. Z czasem, gdy widzą, że system podejmuje dokładne decyzje, mogą pozwolić mu na automatyczne podejmowanie działań. To podejście umożliwia zespołom testowanie i poprawianie systemu, jednocześnie pozostawiając władzę w rękach ludzi. Budujemy zaufanie i przyjęcie, traktując sztuczną inteligencję jako partnera, który uczy się od analityków, zamiast czarnej skrzynki, która podejmuje niewyjaśnione decyzje.

Wasz ramowy framework wdrożeniowy umożliwia stopniowe przyjęcie. Dlaczego zaprojektowaliście go w ten sposób, i jak pomaga on organizacjom pokonać opór wobec sztucznej inteligencji?

Wiedzieliśmy od samego początku, że największą barierą dla przyjęcia będzie zaufanie do przyjęcia sztucznej inteligencji. Jeśli wejdziesz do SOC i powiesz zespołowi, aby przekazali swoje operacje systemowi sztucznej inteligencji, odpowiedź będzie negatywna. Poprzez rozbicie przyjęcia na etapy, pozwalamy organizacjom na rozpoczęcie od ograniczonej liczby przypadków użycia i ich rozszerzanie w czasie. Każdy etap demonstruje wartość i buduje zaufanie, co ułatwia przyjęcie następnego etapu. Ten stopniowy proces buduje zaufanie, zastępuje wahanie się dowodami i zapewnia, że zespoły czują się kontrolowane.

Wskaźniki są dużą częścią udowodnienia wartości w bezpieczeństwie. Jakie wskaźniki powinny organizacje śledzić, aby zmierzyć postęp w kierunku autonomicznego SOC?

Najważniejsze mierniki to szybkość wykrywania, reakcji i usunięcia, a także jakość i stosunek surowych alertów do znaczących, kontekstowych śledztw. Innym miernikiem jest to, jak dużo pracy system może wykonać bez udziału ludzi. Te wskaźniki pokazują, czy SOC staje się bardziej wydajny, czy analitycy są wspierani w koncentrowaniu się na pracy o wyższej wartości, i czy organizacja zbliża się do modelu, w którym sztuczna inteligencja podejmuje ciężar pracy. Śledzenie tych liczb dostarcza wyraźnego dowodu postępu.

Conifers podkreśla integrację z istniejącymi systemami zarządzania incydentami. Dlaczego brak zakłóceń był takim kluczowym założeniem projektowym?

Zespoły bezpieczeństwa zainwestowały wiele w swoje narzędzia i procesy. Większość istniejącej technologii wymaga od zespołów SOC „przełączania kontekstu” i przechodzenia do innego narzędzia, aby przeglądać i rozwiązywać alerty. Usuwamy tę frakcję, spotykając analityków tam, gdzie są, osadzonych w narzędziach, z którymi już pracują.

Co widzisz jako etapowy ścieżkę od dzisiejszych półautomatycznych SOC do przyszłości, w której agenci sztucznej inteligencji będą miały więcej władzy nad narzędziami i danymi?

Ścieżka w kierunku autonomicznego SOC zaczyna się od augmentacji, gdzie sztuczna inteligencja analizuje i śledzi alerty z nadzorem ludzkim. Następnie organizacje przechodzą do delegowania, pozwalając systemowi na obsługę coraz większej liczby przypadków użycia w sposób autonomiczny. Ostatecznym etapem jest pełna autonomia, kiedy agenci sztucznej inteligencji są ufańi w zarządzaniu wykrywaniem i reakcją w różnych środowiskach, podczas gdy ludzie kierują strategią i zajmują się unikalnymi sytuacjami. Dziś większość zespołów jest nadal na etapie augmentacji z wczesnym delegowaniem, ale komfort związany z przekazywaniem rutynowych scenariuszy rośnie szybko i położy podwaliny pod pełną autonomię.

Spójrzając w przyszłość, przez pięć lat, jak oczekujesz, że operacje SOC będą ewoluować, gdy sztuczna inteligencja dojrzeje—zarówno pod względem technologii, jak i roli analityka?

Za pięć lat, SOC będą działać na systemach, które będą wyglądać bardziej jak autonomiczni agenci niż pulpity. Ci agenci będą wykrywać, reagować i adaptować się do nowych zagrożeń, a także będą dostosowywać polityki i udostępniać wiedzę w czasie rzeczywistym między organizacjami. Gdy ta zdolność dojrzeje, rola analityka zmieni się w nadzór, strategię i złożone śledztwa. Praca będzie mniej skupiona na usuwaniu niekończących się alertów i bardziej na stosowaniu ekspertyzy tam, gdzie ma największy wpływ. Rezultatem będzie SOC, który będzie czuł się mniej jak centrum obsługi i bardziej jak pomieszczenie kontroli misji.

Dziękuję za wspaniały wywiad, czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić Conifers.

mm

Antoine jest wizjonerskim liderem i współzałożycielem Unite.AI, z niezachwianą pasją do kształtowania i promowania przyszłości sztucznej inteligencji i robotyki. Jako serialowy przedsiębiorca, uważa, że sztuczna inteligencja będzie tak samo przełomowa dla społeczeństwa, jak elektryczność, i często zachwycany jest potencjałem technologie przełomowych i AGI. Jako futurysta, poświęca się badaniu, jak te innowacje ukształtują nasz świat. Ponadto jest założycielem Securities.io, platformy skupiającej się na inwestowaniu w najnowocześniejsze technologie, które przeobrażają przyszłość i zmieniają całe sektory.