Connect with us

Tom Findling, Đồng sáng lập và CEO của Conifers – Loạt bài Phỏng vấn

Interviews

Tom Findling, Đồng sáng lập và CEO của Conifers – Loạt bài Phỏng vấn

mm
Published
Updated

Tom Findling là một nhà lãnh đạo chiến lược với thành tích đã được chứng minh trong lĩnh vực tiếp cận thị trường (GTM), sản phẩm và khoa học dữ liệu. Với kinh nghiệm từng giữ chức vụ Giám đốc Khách hàng tại IntSights (được Rapid7 mua lại) và sau đó là Giám đốc Cấp cao về Sản phẩm tại Rapid7, ông mang đến một sự kết hợp độc đáo giữa tầm nhìn chiến lược và khả năng triển khai để điều hành các hoạt động quy mô lớn. Ngoài ra, ông cũng từng đảm nhiệm các vai trò về GTM và sản phẩm tại VMware và SUS.

Conifers cung cấp một nền tảng CognitiveSOC được hỗ trợ bởi AI, giúp nâng cao năng lực của các trung tâm điều hành an ninh bằng cách tích hợp với các công cụ hiện có, tiếp nhận dữ liệu và hồ sơ rủi ro riêng của tổ chức, đồng thời liên tục thích ứng các quy trình điều tra. Nó giải quyết các thách thức phổ biến như khối lượng cảnh báo quá tải, tầm nhìn hạn chế vào hiệu suất SOC và các hệ thống chung chung “một kích cỡ phù hợp cho tất cả” bằng cách cho phép điều tra sâu hơn, mô hình hóa kiến thức thể chế và sử dụng các vòng phản hồi để cải thiện độ chính xác và giảm thiểu nhiễu. Nền tảng được thiết kế để mang lại kết quả có thể đo lường được, bao gồm lợi tức đầu tư gấp ba lần và giảm 87% thời gian điều tra.

Ông đã có một sự nghiệp dài trong lĩnh vực an ninh mạng, từ IntSights đến Rapid7—những trải nghiệm nào cuối cùng đã dẫn dắt ông đồng sáng lập Conifers, và vấn đề nào ông đặt ra để giải quyết?

Trong suốt sự nghiệp của mình, tôi đã chứng kiến các đội ngũ vận hành an ninh vật lộn dưới áp lực của quá nhiều cảnh báo, công cụ và sức ép. Tại IntSights, tôi quan sát thấy con người khó hành động dựa trên thông tin tình báo được tạo ra như thế nào. Tại Rapid7, tôi đảm nhận thách thức mở rộng quy mô đội ngũ của chúng tôi với ít người hơn để hỗ trợ một cơ sở khách hàng lớn hơn bằng cách thiết kế lại cách thức công việc được thực hiện và triển khai khoa học dữ liệu để xử lý các nhiệm vụ khối lượng lớn. Đó là khi tôi bắt đầu tin rằng việc vận hành một trung tâm điều hành an ninh (SOC) theo cách truyền thống sẽ không thể kéo dài. Conifers ra đời từ những nỗ lực của chúng tôi để giải quyết vấn đề mở rộng quy mô đó. Chúng tôi muốn xây dựng một giải pháp có thể mở rộng để đối phó với khối lượng mối đe dọa và dữ liệu ngày càng tăng mà không làm kiệt sức con người. Vì vậy, chúng tôi đã tạo ra CognitiveSOC, nền tảng tác nhân AI SOC của chúng tôi.

Conifers định vị mình là một “bội số lực lượng AI SOC.” Nền tảng CognitiveSOC của ông khác biệt như thế nào so với các công cụ tự động hóa SOC truyền thống?

Hầu hết các công cụ tự động hóa trong SOC đều được xây dựng dựa trên các kịch bản tĩnh. Chúng thực hiện một loạt các bước được định sẵn nhưng thất bại khi kẻ tấn công hành động theo những cách không thể đoán trước hoặc khi môi trường thay đổi. CognitiveSOC là một nền tảng AI tác nhân có thể học và thích ứng với các môi trường thay đổi. Nó tương quan dữ liệu, sử dụng kiến thức thể chế và đưa ra kết luận mà không cần viết kịch bản cho từng bước của quy trình. Nền tảng hỗ trợ các nhà phân tích thay vì thay thế họ và liên tục trở nên mạnh mẽ hơn thông qua phản hồi và học hỏi thay vì yêu cầu bảo trì thủ công. Sự tăng trưởng ổn định về khả năng đó chính là điều biến nó thành một bội số lực lượng thực sự.

Các đội SOC thường phàn nàn về tình trạng mệt mỏi cảnh báo và kiệt sức. Conifers giải quyết thách thức này như thế nào trên thực tế?

CognitiveSOC giải quyết tình trạng mệt mỏi cảnh báo bằng cách giảm thiểu nhiễu trước khi nó đến tay nhà phân tích. Nó tiếp nhận dòng cảnh báo liên tục từ khắp các công cụ và hợp nhất chúng thành các cuộc điều tra đã chứa sẵn ngữ cảnh liên quan. Thay vì một nhà phân tích nhìn chằm chằm vào một trận lũ các báo động nhấp nháy, họ đang xem xét một tập hợp nhỏ hơn nhiều các cuộc điều tra bao gồm ngữ cảnh lịch sử, bằng chứng và nguyên nhân có khả năng. Các nhà phân tích sau đó có thể tiêu hóa thông tin và đưa ra quyết định thay vì đuổi theo các tín hiệu thô, điều này giúp giảm bớt mệt mỏi và kiệt sức.

Sự tin tưởng là rất quan trọng trong an ninh mạng—cách tiếp cận có con người trong vòng lặp của ông xây dựng niềm tin vào việc ra quyết định dựa trên AI như thế nào?

Chìa khóa của sự tin tưởng là tính minh bạch và kiểm soát. Các nhà phân tích vẫn nắm quyền kiểm soát hệ thống và được trình bày các khuyến nghị cùng lời giải thích mà họ có thể xác nhận hoặc ghi đè lên và cung cấp một đánh giá. Theo thời gian, khi họ thấy hệ thống đưa ra các phán đoán chính xác, họ có thể cho phép nó xử lý nhiều hành động hơn một cách tự động. Cách tiếp cận này cho phép các đội ngũ kiểm tra và sửa chữa hệ thống trong khi vẫn giữ quyền lực trong tay con người. Chúng tôi xây dựng sự tin tưởng và chấp nhận bằng cách coi AI như một đối tác học hỏi từ các nhà phân tích thay vì một hộp đen đưa ra các lựa chọn không giải thích được.

Khung triển khai theo giai đoạn của ông cho phép áp dụng dần dần. Tại sao ông thiết kế nó theo cách này, và nó giúp các tổ chức vượt qua sự kháng cự với AI như thế nào?

Chúng tôi biết ngay từ đầu rằng rào cản lớn nhất đối với việc áp dụng sẽ là sự tin tưởng khi áp dụng AI. Nếu bạn bước vào một SOC và nói với đội ngũ hãy giao hoạt động của họ cho một hệ thống AI, câu trả lời sẽ là không. Bằng cách chia việc áp dụng thành các giai đoạn, chúng tôi cho phép các tổ chức bắt đầu nhỏ với một số trường hợp sử dụng hạn chế và mở rộng chúng theo thời gian. Mỗi giai đoạn chứng minh giá trị và xây dựng niềm tin, điều này làm cho giai đoạn tiếp theo dễ chấp nhận hơn. Con đường dần dần này xây dựng niềm tin, thay thế sự do dự bằng bằng chứng và đảm bảo rằng các đội ngũ cảm thấy mình đang kiểm soát.

Số liệu là một phần quan trọng trong việc chứng minh giá trị trong an ninh. Các tổ chức nên theo dõi những KPI nào để đo lường tiến trình hướng tới một SOC tự động?

Các thước đo quan trọng nhất là tốc độ phát hiện, phản hồi và khắc phục, cũng như chất lượng và tỷ lệ giữa cảnh báo thô so với các cuộc điều tra có ý nghĩa, có ngữ cảnh. Một thước đo khác là khối lượng công việc mà hệ thống có thể đảm nhận mà không có sự can thiệp của con người. Những chỉ số này cho thấy liệu SOC có đang trở nên hiệu quả hơn không, liệu các nhà phân tích có được trao quyền để tập trung vào công việc có giá trị cao hơn không, và liệu tổ chức có đang tiến gần hơn đến một mô hình mà AI đảm nhận phần việc nặng nhọc hay không. Theo dõi những con số đó cung cấp bằng chứng rõ ràng về tiến bộ.

Conifers nhấn mạnh khả năng tích hợp với các hệ thống quản lý sự cố hiện có. Tại sao nguyên tắc không gây gián đoạn lại là một nguyên tắc thiết kế cốt lõi như vậy?

Các đội ngũ an ninh đã đầu tư rất nhiều vào công cụ và quy trình của họ. Hầu hết công nghệ hiện có yêu cầu các đội SOC “chuyển đổi ngữ cảnh” và chuyển sang một công cụ khác để xem xét và xử lý cảnh báo. Chúng tôi loại bỏ ma sát đó bằng cách gặp gỡ các nhà phân tích ngay tại nơi họ đang làm việc, được nhúng trong các công cụ mà họ đã sử dụng.

Ông nhìn thấy con đường theo giai đoạn nào từ các SOC bán tự động ngày nay đến một tương lai nơi các tác nhân AI nắm giữ nhiều quyền hơn đối với công cụ và dữ liệu?

Con đường hướng tới một SOC tự động bắt đầu với sự tăng cường, nơi AI phân tích và điều tra các cảnh báo dưới sự giám sát của con người. Từ đó, các tổ chức chuyển sang ủy quyền, cho phép hệ thống xử lý ngày càng nhiều trường hợp sử dụng một cách tự chủ. Giai đoạn cuối cùng là tự động hoàn toàn, khi các tác nhân AI được tin tưởng để quản lý việc phát hiện và phản hồi trên khắp các môi trường trong khi con người hướng dẫn chiến lược và xử lý các tình huống độc đáo. Ngày nay, hầu hết các đội ngũ vẫn đang trong giai đoạn tăng cường với một số ủy quyền ban đầu, nhưng sự thoải mái khi giao phó các kịch bản thường lệ đang phát triển nhanh chóng và sẽ đặt nền móng cho sự tự động hoàn toàn.

Nhìn trước năm năm nữa, ông kỳ vọng hoạt động SOC sẽ phát triển như thế nào khi AI trưởng thành—cả về mặt công nghệ và vai trò của nhà phân tích?

Trong năm năm tới, các SOC sẽ chạy trên các hệ thống trông giống các tác nhân tự trị hơn là các bảng điều khiển. Những tác nhân này sẽ phát hiện, phản hồi và thích ứng với các mối đe dọa mới, và chúng cũng sẽ điều chỉnh chính sách và chia sẻ kiến thức giữa các tổ chức trong thời gian thực. Khi khả năng đó trưởng thành, vai trò của nhà phân tích sẽ chuyển sang giám sát, chiến lược và các cuộc điều tra phức tạp. Công việc sẽ ít liên quan đến việc xóa bỏ vô tận các cảnh báo và nhiều hơn về việc áp dụng chuyên môn ở nơi nó có tác động lớn nhất. Kết quả sẽ là một SOC cảm giác ít giống một trung tâm cuộc gọi và giống một phòng điều khiển sứ mệnh hơn.

Cảm ơn vì cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm nên truy cập Conifers.

Related Topics:
mm

//www.futurist.ai">nhà tương lai học, ông tận tâm khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên phong đang định nghĩa lại tương lai và định hình lại toàn bộ các lĩnh vực.