Интервью

Том Финдлинг, сооснователь и генеральный директор Conifers – Серия интервью

mm
Published
Updated

Том Финдлинг – стратегический лидер с доказанной историей успеха в области маркетинга (GTM), продукта и науки о данных. Ранее он занимал должность главного офицера по работе с клиентами в IntSights (приобретенной Rapid7) и позже – должность старшего директора по продукту в Rapid7, он привносит уникальную смесь стратегического видения и выполнения на стол, управляя крупномасштабными операциями. Кроме того, он занимал должности GTM и продукта в VMware и SUS.

Conifers предлагает платформу CognitiveSOC, работающую на основе искусственного интеллекта, которая расширяет возможности центров безопасности, интегрируясь с существующими инструментами, анализируя уникальные данные и профиль риска организации, и непрерывно адаптируя рабочие процессы расследований. Она решает общие проблемы, такие как чрезмерное количество предупреждений, ограниченная видимость работы SOC, и универсальные системы “один размер для всех”, позволяя проводить более глубокие расследования, моделировать знания учреждения и использовать обратные связи для уточнения точности и снижения шума. Платформа предназначена для обеспечения измеримых результатов, включая трехкратный возврат инвестиций и снижение времени расследования на 87%.

У вас долгая карьера в области кибербезопасности, от IntSights до Rapid7 – какие опыт и знания в конечном итоге привели вас к созданию Conifers, и какую проблему вы изначально пытались решить?

На протяжении всей моей карьеры я сталкивался с проблемами, когда команды безопасности не справлялись с огромным количеством предупреждений, инструментов и давлением. В IntSights я видел, насколько трудно людям реагировать на разведданные, которые мы производили. В Rapid7 я принял вызов масштабирования нашей команды с меньшим количеством людей для поддержки более крупной базы клиентов, изменив способ выполнения работы и внедрив науку о данных для решения задач высокого объема. Тогда я начал верить, что традиционный способ управления центром безопасности (SOC) не прослужит долго. Conifers родился из наших усилий по решению этой проблемы масштабирования. Мы хотели создать решение, которое могло бы масштабироваться для борьбы с постоянно растущим объемом угроз и данных, не выгорая людей. Поэтому мы создали CognitiveSOC, нашу платформу агентов искусственного интеллекта для SOC.

Conifers позиционирует себя как “умножитель силы SOC на основе ИИ”. Как ваша платформа CognitiveSOC отличается от традиционных инструментов автоматизации SOC?

Большинство инструментов автоматизации в SOC были построены на статических плейбуках. Они выполняют определенный набор шагов, но терпят неудачу, когда атакующие ведут себя непредсказуемо или когда меняется окружение. CognitiveSOC – это агентская платформа ИИ, которая может учиться и адаптироваться к меняющимся условиям. Она коррелирует данные, использует знания учреждения и делает выводы без необходимости программирования каждого шага процесса. Платформа поддерживает аналитиков, а не заменяет их, и постоянно становится сильнее благодаря обратной связи и обучению, а не требует ручного обслуживания. Этот постоянный рост возможностей – это то, что делает ее真正щим умножителем силы.

Команды SOC часто жалуются на усталость от предупреждений и выгорание. Как Conifers решает эту проблему на практике?

CognitiveSOC решает проблему усталости от предупреждений, снижая шум до того, как он достигнет аналитика. Она берет постоянный поток предупреждений из инструментов и консолидирует их в расследования, которые уже содержат соответствующий контекст. Вместо того, чтобы аналитик смотрел на огромный поток мигающих сигналов, он просматривает гораздо меньший набор расследований, которые включают исторический контекст, доказательства и вероятные причины. Аналитики могут затем усвоить информацию и принять решения, вместо того, чтобы гоняться за сырыми сигналами, что помогает уменьшить усталость и выгорание.

Доверие имеет решающее значение в кибербезопасности – как ваш подход “человек в цикле” строит доверие к процессам принятия решений на основе ИИ?

Ключом к доверию является прозрачность и контроль. Аналитики остаются ответственными за систему и получают рекомендации и объяснения, которые они могут подтвердить или отменить и оценить. Со временем, когда они видят, что система принимает точные решения, они могут разрешить ей автоматически выполнять больше действий. Этот подход позволяет командам проверять и исправлять систему, сохраняя при этом власть в руках человека. Мы строим доверие и принятие, рассматривая ИИ как партнера, который учится у аналитиков, а не как черный ящик, который принимает необъяснимые решения.

Ваш каркас постепенной реализации позволяет постепенно внедрять решения. Почему вы спроектировали его таким образом, и как это помогает организациям преодолеть сопротивление ИИ?

Мы знали с самого начала, что самым большим барьером для принятия будет доверие к ИИ. Если вы придете в SOC и скажете команде передать свои операции системе ИИ, ответ будет отрицательным. Разбивая принятие на этапы, мы позволяем организациям начинать с ограниченного количества сценариев использования и масштабировать их со временем. Каждый этап демонстрирует ценность и строит доверие, что делает следующий этап более простым для принятия. Этот постепенный путь строит доверие, заменяет колебания доказательствами и гарантирует, что команды чувствуют себя контролирующими.

Метрики являются важной частью доказательства ценности в безопасности. Какие ключевые показатели эффективности (KPI) должны отслеживать организации, чтобы измерить прогресс к автономному SOC?

Самыми важными показателями являются скорость обнаружения, реагирования и устранения, а также качество и соотношение сырых предупреждений к осмысленным, контекстуальным расследованиям. Другим показателем является то, сколько рабочей нагрузки система может взять на себя без участия человека. Эти показатели демонстрируют, становится ли SOC более эффективным,是否 аналитики получают возможность сосредоточиться на более ценной работе, и движется ли организация к модели, в которой ИИ берет на себя основную нагрузку. Отслеживание этих цифр дает четкое доказательство прогресса.

Conifers подчеркивает интеграцию с существующими системами управления инцидентами. Почему отсутствие нарушений было таким важным принципом проектирования?

Команды безопасности инвестировали значительные средства в свои инструменты и процессы. Большинство существующих технологий требует от команд SOC “переключать контекст” и переходить в другой инструмент для проверки и решения предупреждений. Мы удаляем это трение, встречая аналитиков там, где они есть, встроенные в инструменты, с которыми они уже работают.

Что вы видите как этапный путь от сегодняшних полуавтоматических SOC к будущему, где агенты ИИ обладают большей властью над инструментами и данными?

Путь к автономному SOC начинается с дополнения, когда ИИ анализирует и расследует предупреждения под человеческим надзором. Оттуда организации переходят к делегированию, разрешая системе обрабатывать все больше сценариев использования самостоятельно. Окончательный этап – полная автономность, когда агенты ИИ доверены управлять обнаружением и реагированием на угрозы во всей среде, а люди руководят стратегией и решают уникальные ситуации. Сегодня большинство команд все еще находятся на этапе дополнения с некоторыми ранними делегированиями, но комфорт с передачей рутинных сценариев быстро растет и заложит основу для полной автономности.

Оглядываясь вперед на пять лет, как вы ожидаете, что операции SOC будут развиваться по мере созревания ИИ – как с точки зрения технологии, так и с точки зрения роли аналитика?

Через пять лет SOC будут работать на системах, которые выглядят более как автономные агенты, чем панели управления. Эти агенты будут обнаруживать, реагировать и адаптироваться к новым угрозам, и они также будут настраивать политики и делиться знаниями между организациями в реальном времени. Когда эта способность созреет, роль аналитика будет смещаться в сторону надзора, стратегии и сложных расследований. Работа будет меньше связана с очисткой бесконечных предупреждений и больше с применением экспертизы там, где она имеет наибольшее влияние. Результатом будет SOC, который чувствуется менее как контакт-центр и больше как центр управления миссией.

Спасибо за отличное интервью, читателям, которые хотят узнать больше, следует посетить Conifers.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.