Connect with us

访谈

康尼费斯(Conifers)联合创始人兼首席执行官汤姆·芬德林(Tom Findling)- 采访系列

mm
Published
Updated

汤姆·芬德林 是一位战略领导者,具有在市场营销(GTM)、产品和数据科学方面的成功经验。他曾担任IntSights(被Rapid7收购)的首席客户官,并后来担任Rapid7的高级产品总监。他带来了战略愿景和执行能力,领导大规模运营。另外,他还在VMware和SUS担任过GTM和产品职责。

康尼费斯(Conifers) 提供了一种AI驱动的认知安全运营中心(CognitiveSOC)平台,通过与现有工具集成、摄取组织的独特数据和风险配置文件,并不断适应调查工作流程来增强安全运营中心的能力。它解决了常见的挑战,例如过多的警报、对安全运营中心性能的可见性有限以及通用的一刀切系统,通过使调查更深入、建模机构知识和使用反馈循环来提高准确性和降低噪音。该平台旨在提供可衡量的结果,包括三倍的投资回报率和87%的调查时间减少。

您在网络安全领域有着长期的职业生涯,从IntSights到Rapid7——是什么经历最终促使您联合创立康尼费斯,并且您试图解决什么问题?

在我的职业生涯中,我见证了安全运营团队在过多的警报、工具和压力下挣扎。 在IntSights,我观察到人类很难对所产生的智能做出反应。 在Rapid7,我接受了挑战,通过重新设计工作方式和实施数据科学来处理高容量任务,以较少的人员支持更大的客户群体。 那是我开始相信传统方式运行安全运营中心(SOC)不会持续下去的时候。 康尼费斯正是从我们解决这个扩展问题的努力中诞生的。 我们希望建立一个可以处理不断增加的威胁和数据量而不让人员筋疲力尽的解决方案。 因此,我们创建了CognitiveSOC,我们的AI安全运营中心代理平台。

康尼费斯将自己定位为“AI安全运营中心倍增器”。您的CognitiveSOC平台与传统的安全运营中心自动化工具有什么不同?

大多数安全运营中心的自动化工具都是建立在静态剧本之上的。 它们执行一系列预定的步骤,但当攻击者以不可预测的方式行事或环境发生变化时,它们会失败。 CognitiveSOC是一个代理AI平台,可以学习和适应不断变化的环境。 它关联数据,使用机构知识,并得出结论,而无需编写每一步骤的脚本。 该平台支持分析师,而不是取代他们,并且通过反馈和学习不断增强能力,而不是需要手动维护。 这种稳定的能力增长就是它成为真正倍增器的原因。

安全运营中心团队经常抱怨警报疲劳和倦怠。康尼费斯如何在实际上解决这一挑战?

CognitiveSOC通过在警报到达分析师之前减少噪音来解决警报疲劳问题。 它将来自各个工具的不断警报流整合到已经包含相关上下文的调查中。 分析师不再盯着一大堆闪烁的警报,而是审查一组较小的调查,包括历史背景、证据和可能的原因。 分析师可以消化信息并做出决定,而不是追逐原始信号,这有助于减轻疲劳和倦怠。

信任是网络安全中的关键——您的“人工智能在循环中”方法如何建立对人工智能驱动决策的信心?

信任的关键是透明度和控制。 分析师仍然控制着系统,并被呈现推荐和解释,他们可以确认或覆盖并提供评级。 随着时间的推移,当他们看到系统做出准确的判断时,他们可以让它处理更多的操作。 这种方法使团队能够测试和纠正系统,同时保持对人工智能的控制。 我们通过将人工智能视为从分析师那里学习的合作伙伴,而不是一个黑盒子做出不明确的选择来建立信心和采用率。

您的分阶段实施框架允许逐渐采用。为什么您以这种方式设计它,以及它如何帮助组织克服对人工智能的抵制?

我们知道从一开始,采用人工智能的最大障碍将是信任。 如果您走进一个安全运营中心并告诉团队将他们的运营交给人工智能系统,答案将是没有。 通过将采用分为几个阶段,我们允许组织从有限的用例开始,并随着时间的推移扩大规模。 每个阶段都能展示价值并建立信任,这使得下一个阶段更容易被接受。 这种渐进的方法建立信任,用证据取代犹豫,并确保团队感到控制。

指标是证明安全性价值的重要组成部分。组织应该跟踪哪些关键绩效指标(KPI)来衡量实现自主安全运营中心的进展?

最重要的指标是检测、响应和补救的速度,以及质量和原始警报与有意义的上下文调查的比例。 另一个指标是系统在没有人工干预的情况下可以承担多少工作量。 这些指标表明安全运营中心是否变得更加高效、分析师是否被赋予更高价值的工作以及组织是否更接近人工智能承担重担的模式。 跟踪这些数字提供了进展的明确证明。

康尼费斯强调与现有的事件管理系统集成。为什么非破坏性设计是核心设计原则?

安全团队在其工具和流程上投入了大量资金。 大多数现有的技术要求安全运营中心团队“上下文切换”并转到另一个工具来审查和解决警报。 我们通过在分析师已经工作的工具中嵌入来消除这种摩擦。

您认为从今天的半自动安全运营中心到未来人工智能代理拥有更多工具和数据权威的路径是什么?

通往自主安全运营中心的道路始于增强,人工智能在人工监督下分析和调查警报。 从那里,组织转向委托,允许系统自主处理更多用例。 最终阶段是完全自主,人工智能代理被信任以跨环境管理检测和响应,同时人类指导战略并处理独特情况。 今天,大多数团队仍然处于增强阶段,有一些早期的委托,但将常规场景交给人工智能的舒适度正在迅速增长,并将为完全自主奠定基础。

展望五年,您预计安全运营中心运营将如何随着人工智能的成熟而演变,包括技术和分析师角色的变化?

五年后,安全运营中心将运行在看起来更像自主代理而不是仪表板的系统上。 这些代理将检测、响应和适应新威胁,并且还将实时调整策略和共享知识。 随着这种能力的成熟,分析师的角色将转变为监督、战略和复杂调查。 工作将不再是清除无尽的警报,而是将专业知识应用于最有影响力的领域。 结果将是一个感觉更像任务控制室而不是呼叫中心的安全运营中心。

感谢这次精彩的采访,希望了解更多的读者可以访问 康尼费斯(Conifers)

mm

安托万是一位具有远见的领导者和Unite.AI的创始合伙人,他被对塑造和推广AI和机器人人的未来充满不动摇的热情所驱动。作为一位连续创业者,他相信AI将对社会产生与电力一样的颠覆性影响,他经常被听到对颠覆性技术和AGI的潜力大加赞赏。

作为一位未来学家,他致力于探索这些创新将如何塑造我们的世界。另外,他也是Securities.io的创始人,这是一个专注于投资于重新定义未来和重塑整个行业的尖端技术的平台。