Kết nối với chúng tôi

Tom Findling, Đồng sáng lập và Giám đốc điều hành của Conifers – Chuỗi phỏng vấn

Phỏng vấn

Tom Findling, Đồng sáng lập và Giám đốc điều hành của Conifers – Chuỗi phỏng vấn

mm
Được phát hành

Tom Findling là một nhà lãnh đạo chiến lược với thành tích đã được chứng minh trong lĩnh vực tiếp cận thị trường (GTM), sản phẩm và khoa học dữ liệu. Từng giữ chức Giám đốc Khách hàng tại IntSights (được Rapid7 mua lại) và sau đó là Giám đốc Sản phẩm Cấp cao tại Rapid7, ông mang đến sự kết hợp độc đáo giữa tầm nhìn chiến lược và thực thi trong việc điều hành các hoạt động quy mô lớn. Ngoài ra, ông còn lãnh đạo các vai trò GTM và sản phẩm tại VMware và SUS.

Loài cây lá kim CognitiveSOC cung cấp nền tảng AI hỗ trợ AI, giúp nâng cao năng lực của các trung tâm vận hành an ninh bằng cách tích hợp với các công cụ hiện có, thu thập dữ liệu và hồ sơ rủi ro riêng của tổ chức, đồng thời liên tục điều chỉnh quy trình điều tra. Nền tảng này giải quyết những thách thức phổ biến như khối lượng cảnh báo quá lớn, khả năng hiển thị hạn chế về hiệu suất SOC và các hệ thống chung chung, phù hợp với mọi quy mô, bằng cách cho phép điều tra sâu hơn, mô hình hóa kiến ​​thức của tổ chức và sử dụng vòng phản hồi để tinh chỉnh độ chính xác và giảm nhiễu. Nền tảng được thiết kế để mang lại kết quả có thể đo lường được, bao gồm lợi tức đầu tư gấp ba lần và giảm 87% thời gian điều tra.

Bạn đã có sự nghiệp lâu dài trong lĩnh vực an ninh mạng, từ IntSights đến Rapid7—những trải nghiệm nào cuối cùng đã dẫn bạn đến việc đồng sáng lập Conifers và bạn đã đặt ra mục tiêu giải quyết vấn đề gì?

Trong suốt sự nghiệp của mình, tôi đã chứng kiến ​​các nhóm vận hành bảo mật vật lộn dưới sức nặng của quá nhiều cảnh báo, công cụ và áp lực. Tại IntSights, tôi đã quan sát thấy con người khó khăn như thế nào khi hành động dựa trên thông tin tình báo được tạo ra. Tại Rapid7, tôi đã đảm nhận thử thách mở rộng quy mô nhóm của chúng tôi với ít người hơn để hỗ trợ lượng khách hàng lớn hơn bằng cách thiết kế lại cách thức thực hiện công việc và triển khai khoa học dữ liệu để xử lý các tác vụ khối lượng lớn. Đó là lúc tôi bắt đầu tin rằng việc vận hành một trung tâm điều hành bảo mật (SOC) theo cách truyền thống sẽ không tồn tại lâu dài. Conifers ra đời từ những nỗ lực của chúng tôi nhằm giải quyết vấn đề mở rộng quy mô đó. Chúng tôi muốn xây dựng một giải pháp có thể mở rộng quy mô để xử lý khối lượng mối đe dọa và dữ liệu ngày càng tăng mà không làm kiệt sức mọi người. Vì vậy, chúng tôi đã tạo ra CognitiveSOC, nền tảng tác nhân AI SOC của chúng tôi.

Conifers tự định vị mình là “công cụ nhân rộng sức mạnh AI SOC”. Nền tảng CognitiveSOC của bạn khác với các công cụ tự động hóa SOC truyền thống như thế nào?

Hầu hết các công cụ tự động hóa trong SOC đều được xây dựng dựa trên các kịch bản tĩnh. Chúng thực hiện một loạt các bước nhưng lại thất bại khi kẻ tấn công hành xử theo những cách không thể đoán trước hoặc khi môi trường thay đổi. CognitiveSOC là một nền tảng AI agentic có khả năng học hỏi và thích ứng với các môi trường thay đổi. Nó tương quan dữ liệu, sử dụng kiến ​​thức của tổ chức và đưa ra kết luận mà không cần viết mã cho từng bước của quy trình. Nền tảng này hỗ trợ các nhà phân tích thay vì thay thế họ và liên tục được cải thiện thông qua phản hồi và học hỏi thay vì yêu cầu bảo trì thủ công. Sự tăng trưởng ổn định về năng lực chính là yếu tố khiến nó trở thành một nhân tố nhân lực thực sự.

Các đội SOC thường phàn nàn về tình trạng mệt mỏi và kiệt sức khi cảnh báo. Conifers giải quyết thách thức này như thế nào trên thực tế?

CognitiveSOC giải quyết tình trạng quá tải cảnh báo bằng cách giảm thiểu nhiễu trước khi nó đến được tay nhà phân tích. Hệ thống này tiếp nhận hàng loạt cảnh báo liên tục từ nhiều công cụ và hợp nhất chúng thành các cuộc điều tra đã chứa đựng bối cảnh liên quan. Thay vì nhà phân tích phải nhìn chằm chằm vào một loạt cảnh báo nhấp nháy, họ sẽ xem xét một tập hợp các cuộc điều tra nhỏ hơn nhiều, bao gồm bối cảnh lịch sử, bằng chứng và các nguyên nhân có thể xảy ra. Nhờ đó, nhà phân tích có thể tiếp thu thông tin và đưa ra quyết định thay vì chỉ chạy theo các tín hiệu thô, giúp giảm bớt sự mệt mỏi và kiệt sức.

Niềm tin rất quan trọng trong an ninh mạng—phương pháp tiếp cận con người trong vòng lặp của bạn xây dựng niềm tin vào quá trình ra quyết định do AI thúc đẩy như thế nào?

Chìa khóa của sự tin tưởng nằm ở tính minh bạch và khả năng kiểm soát. Các nhà phân tích vẫn là người chịu trách nhiệm vận hành hệ thống và được cung cấp các khuyến nghị và giải thích mà họ có thể xác nhận hoặc bác bỏ, đồng thời đưa ra đánh giá. Theo thời gian, khi họ thấy hệ thống đưa ra các kết luận chính xác, họ có thể cho phép nó tự động xử lý nhiều hành động hơn. Cách tiếp cận này cho phép các nhóm kiểm tra và hiệu chỉnh hệ thống trong khi vẫn giữ quyền hạn trong tay con người. Chúng tôi xây dựng niềm tin và sự chấp nhận bằng cách coi AI như một đối tác học hỏi từ các nhà phân tích thay vì một hộp đen đưa ra những lựa chọn khó hiểu.

Khung triển khai theo giai đoạn của bạn cho phép áp dụng dần dần. Tại sao bạn lại thiết kế theo cách này, và nó giúp các tổ chức vượt qua sự phản đối AI như thế nào?

Ngay từ đầu, chúng tôi đã biết rằng rào cản lớn nhất đối với việc áp dụng AI chính là niềm tin. Nếu bạn bước vào một SOC và yêu cầu nhóm chuyển giao hoạt động của họ cho một hệ thống AI, câu trả lời sẽ là không. Bằng cách chia nhỏ quá trình áp dụng thành các giai đoạn, chúng tôi cho phép các tổ chức bắt đầu với quy mô nhỏ với số lượng trường hợp sử dụng hạn chế và mở rộng quy mô theo thời gian. Mỗi giai đoạn đều thể hiện giá trị và xây dựng niềm tin, giúp giai đoạn tiếp theo dễ dàng được chấp nhận hơn. Con đường dần dần này xây dựng niềm tin, thay thế sự do dự bằng bằng chứng xác thực, và đảm bảo các nhóm cảm thấy mình đang kiểm soát.

Các chỉ số đo lường đóng vai trò quan trọng trong việc chứng minh giá trị bảo mật. Các tổ chức nên theo dõi những KPI nào để đo lường tiến độ hướng tới một SOC tự chủ?

Các thước đo quan trọng nhất là tốc độ phát hiện, phản hồi và khắc phục, cũng như chất lượng và tỷ lệ cảnh báo thô so với các cuộc điều tra có ý nghĩa, theo ngữ cảnh. Một thước đo khác là khối lượng công việc mà hệ thống có thể xử lý mà không cần sự tham gia của con người. Các chỉ số này cho thấy liệu SOC có đang trở nên hiệu quả hơn hay không, liệu các nhà phân tích có được trao quyền để tập trung vào công việc có giá trị cao hơn hay không, và liệu tổ chức có đang tiến gần hơn đến mô hình AI đảm nhiệm những công việc nặng nhọc hay không. Việc theo dõi những con số này là bằng chứng rõ ràng về sự tiến bộ.

Conifers nhấn mạnh việc tích hợp với các hệ thống quản lý sự cố hiện có. Tại sao nguyên tắc thiết kế cốt lõi lại là không gián đoạn?

Các nhóm bảo mật đã đầu tư mạnh mẽ vào các công cụ và quy trình của họ. Hầu hết các công nghệ hiện có đều yêu cầu nhóm SOC phải "chuyển đổi ngữ cảnh" và chuyển sang một công cụ khác để xem xét và giải quyết cảnh báo. Chúng tôi loại bỏ rào cản đó bằng cách gặp gỡ các nhà phân tích tại nơi họ đang làm việc, được tích hợp trong các công cụ mà họ đang sử dụng.

Bạn thấy con đường từng giai đoạn từ SOC bán tự động ngày nay đến tương lai nơi các tác nhân AI nắm giữ nhiều quyền hạn hơn đối với các công cụ và dữ liệu như thế nào?

Con đường hướng tới một SOC tự chủ bắt đầu bằng việc tăng cường, nơi AI phân tích và điều tra các cảnh báo với sự giám sát của con người. Từ đó, các tổ chức chuyển sang phân quyền, cho phép hệ thống xử lý ngày càng nhiều trường hợp sử dụng một cách tự động. Giai đoạn cuối cùng là tự chủ hoàn toàn, khi các tác nhân AI được tin tưởng giao nhiệm vụ quản lý phát hiện và phản hồi trên nhiều môi trường khác nhau, trong khi con người định hướng chiến lược và xử lý các tình huống cụ thể. Hiện nay, hầu hết các nhóm vẫn đang trong giai đoạn tăng cường với một số phân quyền ban đầu, nhưng sự thoải mái khi chuyển giao các kịch bản thông thường đang ngày càng tăng lên và sẽ đặt nền tảng cho việc tự chủ hoàn toàn.

Nhìn về năm năm tới, bạn kỳ vọng hoạt động SOC sẽ phát triển như thế nào khi AI trưởng thành - cả về mặt công nghệ và vai trò của nhà phân tích?

Trong năm năm tới, SOC sẽ hoạt động trên các hệ thống trông giống như các tác nhân tự động hơn là bảng điều khiển. Các tác nhân này sẽ phát hiện, phản hồi và thích ứng với các mối đe dọa mới, đồng thời điều chỉnh chính sách và chia sẻ kiến ​​thức trên toàn tổ chức theo thời gian thực. Khi khả năng đó phát triển, vai trò của nhà phân tích sẽ chuyển sang giám sát, chiến lược và các cuộc điều tra phức tạp. Công việc sẽ ít tập trung vào việc giải quyết các cảnh báo vô tận mà tập trung vào việc áp dụng chuyên môn vào những nơi có tác động lớn nhất. Kết quả sẽ là một SOC ít giống một tổng đài hơn mà giống một phòng điều khiển nhiệm vụ hơn.

Cảm ơn bạn về cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm hãy truy cập Loài cây lá kim.

Chủ đề liên quan:
mm

Antoine là một nhà lãnh đạo có tầm nhìn xa và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi niềm đam mê không ngừng nghỉ trong việc định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân nối tiếp, ông tin rằng AI sẽ gây rối loạn cho xã hội như điện, và thường bị bắt gặp khi đang ca ngợi về tiềm năng của các công nghệ đột phá và AGI.

Là một nhà tương lai học, ông cống hiến hết mình để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập Chứng khoán.io, một nền tảng tập trung vào việc đầu tư vào các công nghệ tiên tiến đang định hình lại tương lai và định hình lại toàn bộ các lĩnh vực.