Tom Findling, Conifers'ın Kurucu Ortağı ve CEO'su – Röportaj Dizisi

Tom Findling Pazara giriş (GTM), ürün ve veri bilimi alanlarında kanıtlanmış bir geçmişe sahip stratejik bir liderdir. IntSights'ta (Rapid7 tarafından satın alındı) Baş Müşteri Sorumlusu ve ardından Rapid7'de Kıdemli Ürün Direktörü olarak görev yapmış olan Dr., büyük ölçekli operasyonları yönetirken stratejik vizyon ve uygulamanın benzersiz bir karışımını ortaya koymuştur. Ayrıca, VMware ve SUS'ta GTM ve ürün rollerine liderlik etmiştir.

Kozalaklı Mevcut araçlarla entegre olarak, bir kuruluşun benzersiz verilerini ve risk profilini özümseyerek ve soruşturma iş akışlarını sürekli uyarlayarak güvenlik operasyon merkezlerinin yeteneklerini geliştiren yapay zeka destekli bir CognitiveSOC platformu sunar. Aşırı uyarı hacimleri, SOC performansına ilişkin sınırlı görünürlük ve herkese uyan genel sistemler gibi yaygın zorlukların üstesinden, daha derinlemesine soruşturmalar sağlayarak, kurumsal bilgiyi modelleyerek ve doğruluğu iyileştirmek ve gürültüyü azaltmak için geri bildirim döngülerini kullanarak gelir. Platform, yatırım getirisinde üç kat artış ve soruşturma süresinde %87 azalma gibi ölçülebilir sonuçlar sunmak üzere tasarlanmıştır.

Siber güvenlik alanında IntSights'tan Rapid7'ye kadar uzanan uzun bir kariyeriniz oldu. Hangi deneyimler sizi Conifers'ı kurmaya yöneltti ve hangi sorunu çözmeye koyuldunuz?

Kariyerim boyunca, güvenlik operasyon ekiplerinin çok fazla uyarı, araç ve baskı altında nasıl mücadele ettiğine tanık oldum. IntSights'ta, insanların üretilen istihbarata göre hareket etmesinin ne kadar zor olduğunu gözlemledim. Rapid7'de ise, işlerin yapılış şeklini yeniden tasarlayarak ve yüksek hacimli görevleri ele almak için veri bilimini uygulayarak, daha az çalışanla daha geniş bir müşteri tabanını desteklemek için ekibimizi ölçeklendirme zorluğunu üstlendim. İşte o zaman, bir güvenlik operasyon merkezini (SOC) geleneksel yöntemlerle yönetmenin uzun ömürlü olmayacağına inanmaya başladım. Conifers, bu ölçekleme sorununu çözme çabalarımızdan doğdu. Sürekli artan tehdit ve veri hacimleriyle başa çıkmak için ölçeklenebilen ve çalışanları yıpratmayan bir çözüm oluşturmak istedik. Bu nedenle, yapay zeka SOC aracı platformumuz CognitiveSOC'yi yarattık.

Conifers kendini "AI SOC güç çarpanı" olarak konumlandırıyor. CognitiveSOC platformunuz geleneksel SOC otomasyon araçlarından nasıl farklılaşıyor?

SOC'deki otomasyon araçlarının çoğu statik taktikler üzerine inşa edilmiştir. Belirli bir dizi adımı uygularlar, ancak saldırganlar öngörülemeyen davranışlarda bulunduğunda veya ortam değiştiğinde başarısız olurlar. CognitiveSOC, değişen ortamlara uyum sağlayabilen ve öğrenebilen bir aracı yapay zeka platformudur. Verileri ilişkilendirir, kurumsal bilgiyi kullanır ve sürecin her adımını senaryolaştırmadan sonuçlara ulaşır. Platform, analistlerin yerini almak yerine onları destekler ve manuel bakım gerektirmek yerine geri bildirim ve öğrenme yoluyla sürekli olarak güçlenir. Yeteneklerindeki bu istikrarlı büyüme, onu gerçek bir güç çarpanı haline getirir.

SOC ekipleri genellikle uyarı yorgunluğu ve tükenmişlikten şikayetçi. Conifers bu zorluğun üstesinden pratikte nasıl geliyor?

CognitiveSOC, uyarı yorgunluğunu, uyarı gürültüsünü analiste ulaşmadan önce azaltarak ele alır. Çeşitli araçlardan gelen sürekli uyarı akışını alır ve bunları ilgili bağlamı zaten içeren soruşturmalarda birleştirir. Bir analist, yanıp sönen alarm seline bakmak yerine, tarihsel bağlam, kanıt ve olası nedenleri içeren çok daha küçük bir soruşturma kümesini inceler. Böylece analistler, ham sinyallerin peşinden koşmak yerine bilgileri özümseyip kararlar alabilir, bu da yorgunluk ve tükenmişliği azaltmaya yardımcı olur.

Siber güvenlikte güven kritik öneme sahiptir. İnsan odaklı yaklaşımınız, yapay zeka destekli karar alma süreçlerinde güveni nasıl oluşturur?

Güvenin anahtarı şeffaflık ve kontroldür. Analistler sistemin sorumluluğunu üstlenir ve onaylayabilecekleri veya geçersiz kılabilecekleri ve bir puan verebilecekleri öneriler ve açıklamalar sunulur. Zamanla, sistemin doğru kararlar aldığını gördükçe, daha fazla eylemi otomatik olarak gerçekleştirmesine izin verebilirler. Bu yaklaşım, ekiplerin yetkiyi insan elinde tutarken sistemi test edip düzeltmelerine olanak tanır. Yapay zekayı, açıklanamayan kararlar alan bir kara kutu yerine, analistlerden öğrenen bir ortak olarak ele alarak güven ve benimsemeyi artırıyoruz.

Aşamalı uygulama çerçeveniz, kademeli benimsemeye olanak tanıyor. Neden bu şekilde tasarladınız ve kuruluşların yapay zekaya karşı direnci aşmalarına nasıl yardımcı oluyor?

Başından beri, benimsemenin önündeki en büyük engelin yapay zeka benimsemeye duyulan güven olacağını biliyorduk. Bir Güvenlik Operasyonları Merkezi'ne gidip ekibe operasyonlarını bir yapay zeka sistemine devretmelerini söylerseniz, cevap hayır olacaktır. Benimsemeyi aşamalara ayırarak, kuruluşların sınırlı sayıda kullanım örneğiyle küçükten başlayıp bunları zaman içinde ölçeklendirmelerine olanak tanıyoruz. Her aşama değer sunar ve güven oluşturur, bu da bir sonraki aşamanın kabulünü kolaylaştırır. Bu kademeli yol, güven oluşturur, tereddütleri kanıtlarla değiştirir ve ekiplerin kontrolü ellerinde hissetmelerini sağlar.

Metrikler, güvenlikte değer sağlamanın önemli bir parçasıdır. Kuruluşlar, otonom bir SOC'ye doğru ilerlemeyi ölçmek için hangi KPI'ları izlemelidir?

En önemli ölçütler, tespit, müdahale ve düzeltme hızının yanı sıra ham uyarıların kalitesi ve anlamlı, bağlamsal incelemelere oranıdır. Bir diğer ölçüt ise sistemin insan müdahalesi olmadan ne kadar iş yükü kaldırabileceğidir. Bu göstergeler, Güvenlik Operasyonları Merkezi'nin (SOC) daha verimli hale gelip gelmediğini, analistlerin daha yüksek değerli işlere odaklanmaları için güçlendirilip güçlendirilmediğini ve kuruluşun yapay zekanın ağır işleri üstlendiği bir modele yaklaşıp yaklaşmadığını gösterir. Bu sayıların izlenmesi, ilerlemenin açık bir kanıtıdır.

Conifers, mevcut olay yönetim sistemleriyle entegrasyonu vurguluyor. Kesintisizlik neden bu kadar temel bir tasarım ilkesiydi?

Güvenlik ekipleri, araçlarına ve süreçlerine büyük yatırımlar yaptı. Mevcut teknolojilerin çoğu, SOC ekiplerinin uyarıları inceleyip çözmek için "bağlam değiştirmesini" ve başka bir araca geçmesini gerektiriyor. Analistlerle, halihazırda kullandıkları araçlara entegre edilmiş bir şekilde, bulundukları yerde buluşarak bu sorunu ortadan kaldırıyoruz.

Günümüzün yarı otomatik SOC'lerinden, yapay zeka ajanlarının araçlar ve veriler üzerinde daha fazla yetkiye sahip olduğu bir geleceğe doğru aşamalı bir yol olarak ne görüyorsunuz?

Otonom bir SOC'ye giden yol, yapay zekanın uyarıları insan gözetimiyle analiz edip araştırdığı güçlendirmeyle başlar. Kuruluşlar buradan yetki devrine geçerek sistemin giderek daha fazla kullanım senaryosunu otonom olarak ele almasını sağlar. Son aşama ise, yapay zeka ajanlarının ortamlarda tespit ve müdahaleyi yönetmelerine güvenildiği, insanların stratejiyi yönlendirdiği ve benzersiz durumlarla başa çıktığı tam özerkliktir. Günümüzde çoğu ekip, erken yetki devriyle hâlâ güçlendirme aşamasındadır, ancak rutin senaryoları devretme konusunda rahatlık hızla artıyor ve tam özerkliğin temelini oluşturacaktır.

Önümüzdeki beş yıla baktığınızda, yapay zeka olgunlaştıkça SOC operasyonlarının hem teknoloji hem de analist rolü açısından nasıl evrilmesini bekliyorsunuz?

Beş yıl içinde, Güvenlik Operasyonları Merkezleri (SOC'ler), panolardan ziyade otonom ajanlara benzeyen sistemlerde çalışacak. Bu ajanlar yeni tehditleri tespit edecek, bunlara yanıt verecek ve uyum sağlayacak, ayrıca politikaları ayarlayacak ve kuruluşlar arasında gerçek zamanlı bilgi paylaşımında bulunacaklar. Bu yetenek geliştikçe, analist rolü denetim, strateji ve karmaşık soruşturmalara kayacak. İş, bitmek bilmeyen uyarıları gidermekten ziyade, uzmanlığın en büyük etkiyi yaratacağı alanlara uygulanmasıyla ilgili olacak. Sonuç, bir çağrı merkezinden ziyade bir görev kontrol odası gibi hissettiren bir Güvenlik Operasyonları Merkezi (SOC) olacak.

Harika röportaj için teşekkürler, daha fazla bilgi edinmek isteyen okuyucular ziyaret etmelidir. Kozalaklı.