Свяжитесь с нами:

Том Файндлинг, соучредитель и генеральный директор Conifers – серия интервью

Интервью

Том Файндлинг, соучредитель и генеральный директор Conifers – серия интервью

mm
опубликованный

Том Финдлинг — стратегический лидер с подтвержденным опытом в области вывода на рынок (GTM), продуктов и анализа данных. Занимая должность директора по работе с клиентами в IntSights (приобретена Rapid7), а затем старшего директора по продуктам в Rapid7, он привносит уникальное сочетание стратегического видения и практического применения в управление крупномасштабными проектами. Кроме того, он руководил направлениями GTM и продуктов в VMware и SUS.

Хвойные Предлагает платформу CognitiveSOC на базе искусственного интеллекта, которая расширяет возможности центров безопасности за счёт интеграции с существующими инструментами, сбора уникальных данных и профиля рисков организации, а также постоянной адаптации рабочих процессов расследований. Она решает распространённые проблемы, такие как чрезмерный объём оповещений, ограниченная прозрачность работы SOC и использование универсальных систем, обеспечивая более глубокие расследования, моделирование институциональных знаний и использование циклов обратной связи для повышения точности и снижения уровня шума. Платформа разработана для достижения измеримых результатов, включая трёхкратный возврат инвестиций и сокращение времени расследования на 87%.

У вас долгая карьера в сфере кибербезопасности — от IntSights до Rapid7. Какой опыт в конечном итоге привел вас к созданию Conifers, и какую проблему вы намеревались решить?

За свою карьеру я наблюдал, как команды по обеспечению безопасности с трудом справлялись с бременем слишком большого количества оповещений, инструментов и давления. В IntSights я наблюдал, как людям было сложно реагировать на собранную информацию. В Rapid7 я взялся за задачу масштабирования нашей команды с меньшим количеством сотрудников для поддержки более широкой клиентской базы, перестроив методы работы и внедрив науку о данных для решения больших объемов задач. Именно тогда я начал понимать, что управление центром обеспечения безопасности (SOC) традиционным способом долго не продержится. Conifers родился в результате наших усилий по решению этой проблемы масштабирования. Мы хотели создать решение, которое можно было бы масштабировать для работы с постоянно растущим объемом угроз и данных, не вызывая эмоционального выгорания. Поэтому мы создали CognitiveSOC, нашу платформу для агентов SOC на базе искусственного интеллекта.

Conifers позиционирует себя как «умножитель потенциала ИИ-систем SOC». Чем ваша платформа CognitiveSOC отличается от традиционных инструментов автоматизации SOC?

Большинство инструментов автоматизации в SOC построены на статичных схемах. Они выполняют заданную последовательность шагов, но дают сбой при непредсказуемом поведении злоумышленников или изменении окружающей среды. CognitiveSOC — это агентная платформа искусственного интеллекта, способная обучаться и адаптироваться к изменяющимся условиям. Она сопоставляет данные, использует институциональные знания и делает выводы, не прописывая каждый этап процесса. Платформа поддерживает аналитиков, а не заменяет их, и постоянно совершенствуется благодаря обратной связи и обучению, а не требуя ручного обслуживания. Именно этот постоянный рост возможностей делает её настоящим фактором повышения эффективности.

Команды SOC часто жалуются на усталость и выгорание. Как Conifers решает эту проблему на практике?

CognitiveSOC борется с усталостью от оповещений, снижая уровень шума до того, как он попадёт к аналитику. Система обрабатывает постоянный поток оповещений от разных инструментов и объединяет их в расследования, уже содержащие соответствующий контекст. Вместо того, чтобы аналитик смотрел на поток мигающих сигналов тревоги, он изучает гораздо меньший набор расследований, включающий исторический контекст, доказательства и вероятные причины. Таким образом, аналитики могут усваивать информацию и принимать решения, а не гоняться за сырыми сигналами, что помогает снизить усталость и выгорание.

Доверие имеет решающее значение в кибербезопасности. Каким образом ваш подход с привлечением человека способствует укреплению доверия к принятию решений на основе искусственного интеллекта?

Ключ к доверию — прозрачность и контроль. Аналитики продолжают управлять системой, получая рекомендации и пояснения, которые они могут подтвердить или отменить, а также выставить оценку. Со временем, убедившись, что система выполняет точные вычисления, они могут разрешить ей выполнять больше действий автоматически. Такой подход позволяет командам тестировать и корректировать систему, сохраняя контроль за человеком. Мы укрепляем доверие и внедрение, рассматривая ИИ как партнёра, обучающегося у аналитиков, а не как чёрный ящик, принимающий необъяснимые решения.

Ваша поэтапная структура внедрения предполагает постепенное внедрение. Почему вы разработали её именно так и как она помогает организациям преодолевать сопротивление внедрению ИИ?

С самого начала мы знали, что главным препятствием для внедрения ИИ станет доверие к нему. Если вы придёте в SOC и скажете команде передать свои операции системе ИИ, ответ будет отрицательным. Разбивая внедрение на этапы, мы позволяем организациям начать с небольшого количества вариантов использования и постепенно масштабировать их. Каждый этап демонстрирует ценность и укрепляет доверие, что облегчает принятие следующего этапа. Этот постепенный путь укрепляет доверие, заменяет сомнения доказательствами и даёт командам ощущение контроля.

Метрики играют важную роль в подтверждении эффективности безопасности. Какие ключевые показатели эффективности (KPI) следует отслеживать организациям для оценки прогресса на пути к созданию автономного центра безопасности (SOC)?

Наиболее важными показателями являются скорость обнаружения, реагирования и устранения последствий, а также качество и соотношение количества необработанных оповещений и содержательных контекстных расследований. Другой показатель — объём нагрузки, который система может выдержать без участия человека. Эти показатели показывают, повышается ли эффективность SOC, получают ли аналитики возможность сосредоточиться на более важной работе и приближается ли организация к модели, где ИИ берёт на себя основную работу. Отслеживание этих показателей наглядно демонстрирует прогресс.

Conifers подчеркивает важность интеграции с существующими системами управления инцидентами. Почему бесперебойность работы стала таким важным принципом проектирования?

Отделы безопасности вложили значительные средства в свои инструменты и процессы. Большинство существующих технологий требуют от команд SOC «переключения контекста» и использования другого инструмента для анализа и устранения оповещений. Мы устраняем это противоречие, работая с аналитиками там, где они находятся, используя инструменты, с которыми они уже работают.

Каким вы видите поэтапный путь от сегодняшних полуавтоматических SOC к будущему, в котором агенты ИИ будут иметь больше полномочий в отношении инструментов и данных?

Путь к автономному SOC начинается с аугментации, где ИИ анализирует и исследует оповещения под контролем человека. Затем организации переходят к делегированию, позволяя системе обрабатывать всё больше сценариев использования автономно. Заключительный этап — полная автономия, когда ИИ-агентам доверяют управление обнаружением и реагированием в различных средах, в то время как люди разрабатывают стратегию и справляются с уникальными ситуациями. Сегодня большинство команд всё ещё находятся в стадии аугментации, имея лишь начальное делегирование, но уверенное выполнение рутинных задач быстро растёт и заложит основу для полной автономии.

Заглядывая вперед на пять лет, как, по вашему мнению, будут развиваться операции SOC по мере развития ИИ — как с точки зрения технологий, так и с точки зрения роли аналитиков?

Через пять лет центры безопасности (SOC) будут работать на системах, которые больше похожи на автономных агентов, чем на информационные панели. Эти агенты будут обнаруживать новые угрозы, реагировать на них и адаптироваться к ним, а также настраивать политики и обмениваться знаниями между организациями в режиме реального времени. По мере развития этой возможности роль аналитика будет смещаться в сторону надзора, стратегии и сложных расследований. Работа будет меньше заключаться в обработке бесконечных оповещений и больше в применении опыта там, где это наиболее эффективно. В результате SOC будет больше похож не на колл-центр, а на центр управления полетами.

Спасибо за отличное интервью, читатели, которые хотят узнать больше, должны посетить Хвойные.

Похожие темы:
mm

Антуан — дальновидный лидер и партнер-основатель Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Серийный предприниматель, он считает, что ИИ будет таким же разрушительным для общества, как электричество, и его часто ловят на том, что он восторженно отзывается о потенциале разрушительных технологий и AGI.

футурист, он посвятил себя изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Ценные бумаги.io, платформа, ориентированная на инвестиции в передовые технологии, которые меняют будущее и преобразуют целые секторы.