Tom Findling, cofundador e CEO da Conifers – Série de entrevistas

Tom Findling É um líder estratégico com um histórico comprovado em estratégias de entrada no mercado (GTM), produtos e ciência de dados. Tendo atuado como Diretor de Atendimento ao Cliente na IntSights (adquirida pela Rapid7) e, posteriormente, como Diretor Sênior de Produto na Rapid7, ele traz uma combinação única de visão estratégica e execução para a mesa de operações em larga escala. Além disso, liderou funções de GTM e produto na VMware e na SUS.

Coníferas A plataforma CognitiveSOC, baseada em IA, aprimora as capacidades dos centros de operações de segurança (SOCs) ao integrar-se com ferramentas existentes, incorporar os dados e o perfil de risco exclusivos de cada organização e adaptar continuamente os fluxos de trabalho de investigação. Ela enfrenta desafios comuns, como o volume excessivo de alertas, a visibilidade limitada do desempenho do SOC e sistemas genéricos e padronizados, permitindo investigações mais aprofundadas, modelando o conhecimento institucional e utilizando ciclos de feedback para refinar a precisão e reduzir o ruído. A plataforma foi projetada para fornecer resultados mensuráveis, incluindo um retorno sobre o investimento três vezes maior e uma redução de 87% no tempo de investigação.

Você tem uma longa carreira em cibersegurança, desde a IntSights até a Rapid7 — quais experiências o levaram a cofundar a Conifers e qual problema você se propôs a resolver?

Ao longo da minha carreira, testemunhei equipes de operações de segurança lutando sob o peso de alertas, ferramentas e pressão em excesso. Na IntSights, observei como era difícil para os humanos agirem com base nas informações geradas. Na Rapid7, aceitei o desafio de dimensionar nossa equipe com menos pessoas para dar suporte a uma base de clientes maior, redesenhando a forma como o trabalho era realizado e implementando ciência de dados para lidar com o alto volume de tarefas. Foi então que comecei a acreditar que operar um centro de operações de segurança (SOC) da maneira tradicional não seria sustentável. A Conifers nasceu dos nossos esforços para resolver esse problema de escalabilidade. Queríamos construir uma solução que pudesse ser dimensionada para lidar com os volumes cada vez maiores de ameaças e dados sem sobrecarregar as pessoas. Assim, criamos o CognitiveSOC, nossa plataforma de agentes SOC com IA.

A Conifers se posiciona como uma "multiplicadora de força de SOC com IA". Como a sua plataforma CognitiveSOC se diferencia das ferramentas tradicionais de automação de SOC?

A maioria das ferramentas de automação em SOCs foi construída com base em playbooks estáticos. Elas executam uma série predefinida de etapas, mas falham quando os invasores se comportam de maneira imprevisível ou quando o ambiente muda. O CognitiveSOC é uma plataforma de IA ativa que pode aprender e se adaptar a ambientes em constante mudança. Ele correlaciona dados, utiliza conhecimento institucional e chega a conclusões sem a necessidade de roteirizar cada etapa do processo. A plataforma apoia os analistas em vez de substituí-los e se aprimora continuamente por meio de feedback e aprendizado, em vez de exigir manutenção manual. Esse crescimento constante em capacidade é o que a torna um verdadeiro multiplicador de forças.

As equipes de SOC frequentemente reclamam de fadiga de alerta e esgotamento profissional. Como a Conifers lida com esse desafio na prática?

O CognitiveSOC combate a fadiga de alertas reduzindo o ruído antes que ele chegue ao analista. Ele recebe o fluxo constante de alertas de diversas ferramentas e os consolida em investigações que já contêm o contexto relevante. Em vez de o analista se deparar com uma avalanche de alarmes piscando, ele revisa um conjunto muito menor de investigações que incluem contexto histórico, evidências e causas prováveis. Dessa forma, os analistas podem assimilar as informações e tomar decisões em vez de perseguir sinais brutos, o que ajuda a reduzir a fadiga e o esgotamento.

A confiança é fundamental na cibersegurança — como a sua abordagem com intervenção humana contribui para gerar confiança na tomada de decisões orientada por IA?

A chave para a confiança reside na transparência e no controle. Os analistas permanecem responsáveis ​​pelo sistema e recebem recomendações e explicações que podem confirmar ou rejeitar, além de atribuir uma classificação. Com o tempo, à medida que observam o sistema tomando decisões precisas, podem permitir que ele execute mais ações automaticamente. Essa abordagem possibilita que as equipes testem e corrijam o sistema, mantendo a autoridade nas mãos humanas. Construímos confiança e promovemos a adoção ao tratar a IA como uma parceira que aprende com os analistas, em vez de uma caixa-preta que toma decisões inexplicáveis.

Seu modelo de implementação em etapas permite uma adoção gradual. Por que você o projetou dessa forma e como ele ajuda as organizações a superar a resistência à IA?

Sabíamos desde o início que a maior barreira à adoção seria a confiança na IA. Se você entrar em um SOC e disser à equipe para entregar suas operações a um sistema de IA, a resposta será não. Ao dividir a adoção em etapas, permitimos que as organizações comecem com um número limitado de casos de uso e os expandam gradualmente. Cada etapa demonstra valor e constrói confiança, o que facilita a aceitação da próxima etapa. Esse caminho gradual constrói confiança, substitui a hesitação por evidências e garante que as equipes se sintam no controle.

As métricas são essenciais para comprovar o valor da segurança. Quais KPIs as organizações devem acompanhar para medir o progresso rumo a um SOC autônomo?

As métricas mais importantes são a velocidade de detecção, resposta e remediação, bem como a qualidade e a proporção de alertas brutos em relação a investigações contextuais relevantes. Outra métrica é a capacidade de processamento do sistema sem intervenção humana. Esses indicadores mostram se o SOC está se tornando mais eficiente, se os analistas estão sendo capacitados para se concentrarem em tarefas de maior valor agregado e se a organização está se aproximando de um modelo em que a IA assume as tarefas mais complexas. O acompanhamento desses números fornece evidências claras de progresso.

A Conifers destaca a integração com os sistemas de gestão de incidentes existentes. Por que a não interrupção foi um princípio de projeto tão fundamental?

As equipes de segurança investiram muito em suas ferramentas e processos. A maioria das tecnologias existentes exige que as equipes do SOC (Centro de Operações de Segurança) mudem de contexto e passem a usar outra ferramenta para revisar e resolver alertas. Eliminamos esse atrito ao atender os analistas onde eles estão, integrados às ferramentas que eles já utilizam.

Qual você considera ser o caminho gradual desde os atuais SOCs semiautomatizados até um futuro onde agentes de IA detêm mais autoridade sobre ferramentas e dados?

O caminho para um SOC autônomo começa com a ampliação, onde a IA analisa e investiga alertas com supervisão humana. A partir daí, as organizações avançam para a delegação, permitindo que o sistema lide com cada vez mais casos de uso de forma autônoma. O estágio final é a autonomia completa, quando os agentes de IA são responsáveis ​​por gerenciar a detecção e a resposta em diversos ambientes, enquanto as pessoas definem a estratégia e lidam com situações únicas. Atualmente, a maioria das equipes ainda está na fase de ampliação, com alguma delegação inicial, mas a familiaridade com a transferência de cenários rotineiros está crescendo rapidamente e lançará as bases para a autonomia completa.

Olhando para os próximos cinco anos, como você espera que as operações do SOC evoluam à medida que a IA amadurece — tanto em termos de tecnologia quanto do papel do analista?

Em cinco anos, os SOCs (Centros de Operações de Segurança) funcionarão com sistemas que se assemelham mais a agentes autônomos do que a painéis de controle. Esses agentes detectarão, responderão e se adaptarão a novas ameaças, além de ajustar políticas e compartilhar conhecimento entre as organizações em tempo real. À medida que essa capacidade amadurecer, o papel do analista se transformará em supervisão, estratégia e investigações complexas. O trabalho será menos focado em lidar com alertas intermináveis ​​e mais em aplicar conhecimento especializado onde ele tiver o maior impacto. O resultado será um SOC que se parecerá menos com uma central de atendimento e mais com uma sala de controle de missão.

Obrigado pela ótima entrevista, os leitores que desejam saber mais devem visitar Coníferas.