L'autonomo potenziato dall'uomo è SOC un'idea anticonformista o la prossima grande vittoria per gli MSSP?
Umani e macchine
A metà degli anni '90, osservavo con curiosità una macchina IBM battere Gary Kasparov a scacchi. All'epoca, sembrava un divertente gioco di prestigio da salotto di informatica, questa interessante macchina software in grado di tenere testa al campione del mondo. Ma ripensandoci, quel momento fu un chiaro presagio di ciò che oggi accettiamo come inevitabile: in qualsiasi ambito governato da regole, dati e riconoscimento di schemi, la triste realtà è che alla fine saranno le macchine a vincere.
Cybersecurity Centro operativo di sicurezza (SOC) In particolare, è governato proprio da tali vincoli. È basato su regole, ad alta intensità di dati e sempre più dipendente dal riconoscimento di pattern per individuare gli attacchi. Ci sono voluti alcuni decenni per arrivarci, ma credo che ora siamo sulla soglia di una transizione completa da un modello ibrido di cooperazione uomo-macchina a quello che noi di TAG chiamiamo un modello "lights-out". SOC, completamente automatizzato e autonomo. Non è richiesto alcun intervento umano, almeno non nel senso tradizionale del termine.
Ma ecco il colpo di scena: ciò che alcuni vedono come una minaccia per l' SOC la forza lavoro può essere una delle più grandi opportunità per MSSPUna nuova classe di veicoli autonomi potenziati dall'uomo SOC emergeranno servizi in cui gli MSSP gestiranno e gestiranno questi "SOC "cloud" per conto delle aziende, fornendo supervisione, garanzia di conformità e contesto rivolto al cliente, mentre l'intelligenza artificiale fa il lavoro pesante.
In effetti, questa potrebbe essere la connessione chiave tra esseri umani e macchine: una confluenza che potrebbe garantire percorsi di carriera continui per gli esperti e un notevole miglioramento SOC funzionalità. E ricordate che l'offensiva si sta muovendo verso campagne di attacco autonome, gestite da armi basate sull'intelligenza artificiale. Cercare di gestire questa situazione con armi umane o persino ibride SOC il supporto non funzionerà. Esaminiamo la questione più in dettaglio.
Fasi del SOC viaggio
Questo viaggio verso lo spegnimento delle luci SOC L'operazione non è stata improvvisa. La prima fase è stata puramente manuale.
Ricordate Cliff Stoll che inseguì Markus Hess nei sistemi di Berkeley per un errore contabile da 75 centesimi?
O Bill Cheswick che gestiva honeypot presso AT&T per intrappolare un hacker curioso di nome Berferd? Queste persone erano
leggende, e tutto il loro lavoro è stato fatto manualmente, con un ragionamento umano intelligente al centro. Erano gli
SOC.
Poi è arrivata l'era ibrida delle operazioni di sicurezza. Metasploit di HD Moore ha segnato una svolta per
analisti. Splunk ha migliorato l'analisi dei log. Gli strumenti SOAR hanno aumentato la produttività. Ma l'analista è rimasto seduto
il sedile centrale. Lo abbiamo chiamato ibrido SOC negli ultimi anni, ma credo che ora l'IA
si trova al centro della transizione
L'impatto dell'intelligenza artificiale
L'intelligenza artificiale, attraverso LLM, analisi comportamentale e progettazione di agenti autonomi, offre la capacità di eliminare completamente l'operatore umano dal ciclo. Le piattaforme basate sull'intelligenza artificiale odierne sono già più performanti degli esseri umani nel rilevare e classificare attività dannose.
E saranno in grado di gestire l'assalto di attacchi puramente guidati dall'intelligenza artificiale, che non si fermerà mai,
adattarsi continuamente e imparare dai propri errori. Se questo ti sembra terrificante, allora sei sulla strada giusta. Dovrebbe aiutarti a capire perché la transizione verso la modalità "lights-out" SOCnon sarà solo
auspicabile ma sarà richiesto.
L'errore è presumere che SOC le attività di elaborazione richiederanno sempre un'interfaccia umana. Autonomo
il processo decisionale avviene già al punto finale. SOC è il prossimo. Combattere questa tendenza è una partita persa.
Ma, come suggerito sopra, ci saranno enormi opportunità per gli esseri umani di partecipare, ma a un
contesto di livello superiore, tra cui governance, cura e monitoraggio dei progressi quotidiani
operazioni. Selezioneranno i fornitori, sostituiranno gli strumenti automatizzati, diagnosticheranno i problemi e, in generale, garantiranno che l'IA difensiva funzioni come previsto.
E poiché tale automazione si estenderà a tutti i tipi di aziende di tutte le dimensioni e forme, in particolare con
Con il coinvolgimento dell'MSSP, sembra possibile che in questo contesto si apriranno più posti di lavoro per gli esseri umani di quanti ne esistano
oggi. Gli esseri umani saranno un'interfaccia necessaria in MSSP per entrare in contatto con gli acquirenti, soprattutto quelli con meno
esperienza in SOC funzioni, per garantire che siano adeguatamente supportate.
Si potrebbe dire, forse, che nel contesto MSSP, questa non è un'operazione completamente "a luci spente". Gli MSSP saranno i migliori
posizionati per continuare a utilizzare gli esseri umani per vendere e interagire con i propri clienti nel modo in cui l'automazione è
gestito, messo a punto e integrato nella loro attività
Una traiettoria proposta
- Manuale SOC (1985–2010): Gli esseri umani gestivano tutto.
- IBRIDO SOC (2010–2025): Umani e macchine condividono il controllo.
- Automatizzata SOC (2025–2040): Le macchine prendono il sopravvento, gli esseri umani supervisionano.
Il futuro del SOC
Per i CISO, consigliamo quanto segue: dovreste iniziare a riconsiderare i piani che potreste avere per la creazione di grandi SOC team di analisti. Dovresti invece iniziare a pianificare team con zero persone SOCs. Per gli MSSP, consigliamo vivamente di iniziare a posizionarvi come gestori di SOC nuvole. Sarai quel ponte umano tra la velocità della macchina e la fiducia del cliente.
E per SOC analisti, ci aspettiamo che presto passerete da operatore a supervisore, da soccorritore a stratega. SOC le luci potrebbero spegnersi dal punto di vista dell'elaborazione quotidiana, ma con le aziende che necessitano di governance e gli MSSP pronti a intervenire, si apriranno molti nuovi tipi di lavori e posizioni, proprio come abbiamo visto accadere per il 100% delle funzioni automatizzate.
