Інтерв’ю

Том Фіндлінг, співзасновник і генеральний директор Conifers – Інтерв’ю серії

mm
Published
Updated

Том Фіндлінг – стратегічний лідер з доведеним досвідом у сфері go-to-market (GTM), продукту та даних наук. Як колишній головний客户ський офіцер у IntSights (придбано Rapid7) та подальший старший директор продукту у Rapid7, він привносить унікальну суміш стратегічного бачення та виконання великомасштабних операцій. Крім того, він очолював ролі GTM і продукту у VMware і SUS.

Conifers пропонує платформу CognitiveSOC, яка підсилює можливості центрів безпеки операцій шляхом інтеграції з існуючими інструментами, споживання унікальних даних і профілю ризику організації та безперервної адаптації робочих процесів розслідування. Вона вирішує загальні проблеми, такі як надмірні об’ємні сповіщення, обмежена видимість роботи центру безпеки та універсальні системи “один розмір для всіх”, забезпечуючи глибші розслідування, моделювання інституційних знань та використання зворотніх зв’язків для уточнення точності та зниження шуму. Платформа призначена для надання вимірюваних результатів, включаючи трикратне повернення інвестицій та 87% зниження часу розслідування.

У вас довга кар’єра у сфері кібербезпеки, від IntSights до Rapid7 – які досвіди в кінцевому підсумку привели вас до співзаснування Conifers, і яку проблему ви намагалися вирішити?

Під час своєї кар’єри я бачив, як команди безпеки операцій борються під вагою надто багатьох сповіщень, інструментів і тиску. У IntSights я спостерігав, як складно людям діяти на основі розвідки, яка вироблялася. У Rapid7 я прийняв виклик зі збільшення нашої команди з меншою кількістю людей для підтримки більшої клієнтської бази шляхом переробки того, як виконувалася робота, та впровадження даних наук для обробки завдань високого обсягу. Тоді я почав вірити, що традиційний спосіб керування центром безпеки операцій не протримається довго. Conifers народився з наших зусиль вирішити цю проблему масштабування. Ми хотіли створити рішення, яке могло б масштабуватися для боротьби з постійно зростаючими об’ємами загроз і даних без спаління людей. Тому ми створили CognitiveSOC, нашу платформу агентів штучного інтелекту для центру безпеки операцій.

Conifers позиціонує себе як “множник сили штучного інтелекту для центру безпеки операцій”. Як ваша платформа CognitiveSOC відрізняється від традиційних інструментів автоматизації центру безпеки операцій?

Більшість інструментів автоматизації центру безпеки операцій були побудовані на статичних сценаріях. Вони виконують серію встановлених кроків, але не справляються, коли нападники поводяться непередбачуваним чином або коли середовище змінюється. CognitiveSOC – це агентська платформа штучного інтелекту, яка може навчатися та адаптуватися до змінюваних середовищ. Вона корелює дані, використовує інституційні знання та робить висновки без написання кожного кроку процесу. Платформа підтримує аналітиків, а не замінює їх, і постійно зростає завдяки зворотнім зв’язкам і навчанню, а не потребує ручного обслуговування. Це постійне зростання можливостей і робить її справжнім множником сили.

Команди центру безпеки операцій часто скаржаться на втому від сповіщень та вигорання. Як Conifers вирішує цю проблему на практиці?

CognitiveSOC вирішує проблему втоми від сповіщень, знижуючи шум до того, як він досягає аналітика. Вона приймає постійний потік сповіщень з інструментів та консолідує їх у розслідування, які вже містять відповідний контекст. Замість того, щоб аналітик дивився на потік мигаючих сигналів, він переглядає набагато меншу кількість розслідувань, які включають історичний контекст, докази та ймовірні причини. Аналітики можуть тоді сприймати інформацію та приймати рішення, а не гнатися за сирими сигналами, що допомагає зменшити втому та вигорання.

Довіра є критичною у сфері кібербезпеки – як ваш підхід “людина у циклі” будує довіру до процесів прийняття рішень на основі штучного інтелекту?

Ключем до довіри є прозорість та контроль. Аналітики залишаються відповідальними за систему та представляються рекомендаціями та поясненнями, які вони можуть підтвердити або відхилити та надати оцінку. З часом, коли вони бачать, що система приймає точні рішення, вони можуть дозволити їй виконувати більше дій автоматично. Цей підхід дозволяє командам тестувати та виправляти систему, зберігаючи при цьому владу в руках людини. Ми будуємо довіру та прийняття, ставлячи штучний інтелект у роль партнера, який вчиться у аналітиків, а не чорної скриньки, яка приймає необ’яснені рішення.

Ваш каркас поетапної реалізації дозволяє поступове впровадження. Чому ви спроєктували це так, і як це допомагає організаціям подолати опір до штучного інтелекту?

Ми знали з самого початку, що найбільшим бар’єром для впровадження буде довіра до прийняття штучного інтелекту. Якщо ви прийдете у центр безпеки операцій та скажете команді передати свої операції штучній системі, відповідь буде ні. Розбиваючи впровадження на етапи, ми дозволяємо організаціям починати з малих масштабів із обмеженою кількістю випадків використання та масштабувати їх з часом. Кожен етап демонструє цінність та будує довіру, що робить наступний етап легшим для прийняття. Цей поступовий шлях будує довіру, замінює коливання доказами та забезпечує те, що команди відчувають контроль.

Метрики є великою частиною доведення цінності у сфері безпеки. Які КСП організації повинні відстежувати, щоб виміряти прогрес до автономного центру безпеки операцій?

Найважливішими мірами є швидкість виявлення, реагування та усунення, а також якість та співвідношення сирих сповіщень до осмислених розслідувань. Іншим міром є те, яку частину робочого навантаження система може взяти на себе без участі людини. Ці показники свідчать про те, чи стає центр безпеки операцій більш ефективним, чи аналітики отримують можливість зосередитися на більш цінній роботі, та чи організація рухається до моделі, у якій штучний інтелект бере на себе основну роботу. Відстеження цих чисел забезпечує явне доведення прогресу.

Conifers підкреслює інтеграцію з існуючими системами управління інцидентами. Чому відсутність порушення було таким важливим принципом дизайну?

Команди безпеки операцій вклали великі кошти у свої інструменти та процеси. Більшість існуючої технології вимагає від команд центру безпеки операцій “перемикання контексту” та переходу до іншого інструменту для перегляду та вирішення сповіщень. Ми усуваємо цей тертя, зустрічаючи аналітиків там, де вони є, у інструментах, з якими вони вже працюють.

Що ви бачите як поетапний шлях від сьогодні напівавтоматизованих центрів безпеки операцій до майбутнього, у якому агенти штучного інтелекту будуть мати більше влади над інструментами та даними?

Шлях до автономного центру безпеки операцій починається з посилення, де штучний інтелект аналізує та розслідує сповіщення під наглядом людини. Далі організації переходять до делегування, дозволяючи системі обробляти все більше випадків використання автономно. Остатнім етапом є повна автономія, коли агенти штучного інтелекту довіряються керувати виявленням та реагуванням на загрози по всьому середовищу, а люди керують стратегією та обробляють унікальні ситуації. Сьогодні більшість команд все ще перебувають на етапі посилення з деякими ранніми делегуваннями, але комфорт з передачею звичайних сценаріїв зростає швидко та закладе основу для повної автономії.

Оглядаючись вперед на п’ять років, як ви очікуєте, що операції центру безпеки операцій будуть розвиватися, коли штучний інтелект дозріває – і з точки зору технології, і з точки зору ролі аналітика?

За п’ять років центри безпеки операцій працюватимуть на системах, які виглядатимуть більше як автономні агенти, ніж панелі управління. Ці агенти виявлятимуть, реагуватимуть та адаптуватимуться до нових загроз, а також налаштуватимуть політику та ділилися знаннями між організаціями в реальному часі. Коли ця здатність дозріє, роль аналітика зміщується до нагляду, стратегії та складних розслідувань. Робота буде менше про очищення нескінченних сповіщень та більше про застосування експертизи там, де вона має найбільший вплив. Результатом буде центр безпеки операцій, який відчувається менше як центр зв’язку та більше як кімната управління місією.

Дякуємо за велике інтерв’ю, читачам, які бажають дізнатися більше, слід відвідати Conifers.

mm

Антуан є видним лідером і засновником Unite.AI, який рухає невпинною пристрастю до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом деструктивних технологій та AGI.

Як футуролог, він присвячений дослідженню того, як ці інновації сформують наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє та змінюють цілі сектори.