L'humain augmenté est-il autonome SOC Une idée à contre-courant ou la prochaine grande victoire pour les MSSP ?
Humains et machines
Au milieu des années 90, j'ai observé avec curiosité une machine IBM battre Gary Kasparov aux échecs. À l'époque, cela ressemblait à un tour de passe-passe informatique amusant, cette machine logicielle intéressante capable de tenir tête au champion du monde. Mais avec le recul, ce moment était un signe avant-coureur clair de ce que nous considérons aujourd'hui comme inévitable : dans tout domaine régi par des règles, des données et la reconnaissance de formes, la triste réalité est que les machines finissent par gagner.
Cybersécuritéainsi que, Security Operations Center (SOC) En particulier, ce système est régi par de telles contraintes. Il est basé sur des règles, gourmand en données et s'appuie de plus en plus sur la reconnaissance de formes pour détecter les attaques. Il nous a fallu quelques décennies pour en arriver là, mais je crois que nous sommes désormais à l'aube d'une transition complète d'un modèle hybride de coopération homme-machine vers ce que nous, chez TAG, appelons une extinction totale. SOCEntièrement automatisé et autonome. Aucun humain n'est requis – du moins, pas au sens traditionnel du terme, celui d'analyste.
Mais voici le hic : ce que certains perçoivent comme une menace pour le SOC La main-d'œuvre peut être l'une des plus grandes opportunités pour MSSPUne nouvelle classe d'humains augmentés et autonomes SOC Des services émergeront, où les MSSP exploiteront et géreront ces «SOC « clouds » pour le compte des entreprises, assurant la supervision, la conformité et le contexte client, tandis que l’IA se charge des tâches les plus complexes.
En fait, cela pourrait être le lien clé entre les humains et les machines – une confluence qui pourrait garantir des parcours de carrière continus pour les experts et une amélioration considérable SOC fonctionnalité. Et n'oubliez pas que l'offensive évolue vers des campagnes d'attaques autonomes, menées par des armes dotées d'IA. Tenter de gérer cela avec des humains, voire des équipes hybrides, est illusoire. SOC L'assistance ne fonctionnera pas. Examinons cela plus en détail.
Phases de la SOC chemin
Ce voyage jusqu'à l'extinction des feux SOC L'opération ne s'est pas déroulée soudainement. La première phase était entièrement manuelle.
Vous vous souvenez de Cliff Stoll qui poursuivait Markus Hess à travers les systèmes de Berkeley à cause d'un problème comptable de 75 cents ?
Ou Bill Cheswick utilisant des pièges à miel chez AT&T pour piéger un curieux pirate informatique nommé Berferd ? Ces gens étaient
légendes, et tout leur travail était fait manuellement, avec un raisonnement humain intelligent au cœur. Ils étaient les
SOC.
Puis vint l'ère hybride des opérations de sécurité. Metasploit de HD Moore a changé la donne pour
analystes. Splunk a amélioré l'analyse des logs. Les outils SOAR ont stimulé la productivité. Mais l'analyste restait assis
le siège central. Nous l'appelons un hybride. SOC ces dernières années, mais je crois que maintenant, l'IA
se trouve au centre de la transition
L'impact de l'IA
L'IA, grâce aux LLM, à l'analyse comportementale et à la conception d'agents autonomes, permet d'éliminer totalement l'intervention humaine. Les plateformes actuelles basées sur l'IA surpassent déjà les humains en matière de détection et de classification des activités malveillantes.
Et ils seront capables de gérer l’assaut des attaques purement basées sur l’IA, un assaut qui ne s’arrêtera jamais,
Ils s'adaptent constamment et apprennent de leurs erreurs. Si cela vous paraît terrifiant, c'est que vous êtes sur la bonne voie. Cela devrait vous aider à comprendre pourquoi la transition vers l'extinction des feux est si importante. SOCs ne sera pas seulement
souhaitable mais sera nécessaire.
L'erreur consiste à supposer que SOC Les tâches de traitement nécessiteront toujours une intervention humaine. Autonome
la prise de décision se produit déjà au point final. SOC est la prochaine étape. Lutter contre cette tendance est un jeu perdu d'avance.
Mais, comme suggéré ci-dessus, il y aura d’énormes opportunités pour les humains de participer – mais à un
contexte de niveau supérieur, y compris la gouvernance, la conservation et le suivi des progrès au quotidien
Opérations. Ils sélectionneront les fournisseurs, remplaceront les outils automatisés, diagnostiqueront les problèmes et s'assureront généralement que l'IA défensive fonctionne comme prévu.
Et comme une telle automatisation s’étendra à tous les types d’entreprises de toutes tailles et de toutes formes, en particulier avec
Avec l'implication du MSSP, il semble possible que davantage d'emplois s'ouvrent aux humains dans ce contexte qu'il n'en existe déjà
aujourd'hui. Les humains seront une interface indispensable dans MSSP pour entrer en contact avec les acheteurs, en particulier ceux qui ont moins
de l'expérience en SOC fonctions, afin de garantir qu'elles soient correctement prises en charge.
On pourrait peut-être dire que, dans le contexte des MSSP, il ne s'agit pas d'une opération entièrement « sans intervention ». Les MSSP seront les mieux placés.
placés pour continuer à utiliser les humains pour vendre et interagir avec leurs clients dans la manière dont l'automatisation est
exploités, réglés et intégrés à leur activité
Une trajectoire proposée
- Manuel (Le français commence à la page neuf) SOC (1985–2010) : Les humains contrôlaient tout.
- Hybride SOC (2010–2025) : Contrôle partagé entre humains et machines.
- Chaînes de vente SOC (2025–2040) : Les machines prennent le pouvoir, les humains supervisent.
L'avenir du SOC
Aux RSSI, nous recommandons ce qui suit : vous devriez commencer à repenser vos projets de construction de grands systèmes. SOC équipes d'analystes. Au lieu de cela, vous devriez commencer à planifier une équipe zéro personne. SOCs. Pour les MSSP, nous vous recommandons vivement de commencer à vous positionner comme les gestionnaires de SOC Vous serez ce lien humain entre la vitesse des machines et la confiance des clients.
Et pour SOC Chers analystes, nous nous attendons à ce que vous passiez bientôt du rôle d'opérateur à celui de superviseur, de celui de répondant à celui de stratège. SOC Du point de vue du traitement quotidien, il se peut que les opérations soient interrompues, mais comme les entreprises ont besoin de gouvernance et que les MSSP sont prêts à intervenir, de nombreux nouveaux types d'emplois et de postes vont se créer, comme nous l'avons constaté pour 100 % des fonctions automatisées.
