Czy człowiek jest autonomiczny? SOC kontrowersyjny pomysł czy kolejny wielki sukces dla MSSP?
Ludzie i maszyny
W połowie lat 90. z ciekawością obserwowałem, jak maszyna IBM pokonuje Gary'ego Kasparowa w szachach. Wtedy wydawało mi się to zabawnym trikiem z salonów informatyki, interesującą maszyną programową, która mogła rywalizować z mistrzem świata. Ale patrząc z perspektywy czasu, ten moment był wyraźnym zwiastunem tego, co dziś uznajemy za nieuniknione: w każdej dziedzinie rządzonej regułami, danymi i rozpoznawaniem wzorców, smutną prawdą jest to, że maszyny w końcu wygrają.
Bezpieczeństwo cybernetycznei Centrum Operacji Bezpieczeństwa (SOC) w szczególności, podlega właśnie takim ograniczeniom. Jest oparty na regułach, wymaga dużych ilości danych i coraz bardziej polega na rozpoznawaniu wzorców w celu wykrywania ataków. Dotarcie do tego punktu zajęło nam kilka dekad, ale uważam, że obecnie stoimy u progu pełnego przejścia od hybrydowego modelu współpracy człowiek-maszyna do tego, co w TAG nazywamy „wyłączeniem świateł”. SOC, w pełni zautomatyzowane i autonomiczne. Nie wymaga udziału człowieka – przynajmniej nie w tradycyjnym rozumieniu analityka.
Ale jest pewien haczyk: to, co niektórzy postrzegają jako zagrożenie dla SOC siła robocza może być jedną z największych szans dla MSSP. Nowa klasa autonomicznych systemów wspomaganych przez człowieka SOC powstaną usługi, w których dostawcy usług MSSP będą nimi zarządzać i zarządzać nimiSOC „chmury” w imieniu przedsiębiorstw, zapewniające nadzór, zapewnienie zgodności i kontekst skierowany do klienta, podczas gdy sztuczna inteligencja wykonuje większość zadań.
W rzeczywistości może to być kluczowe połączenie między ludźmi a maszynami – połączenie, które może zapewnić ekspertom dalsze ścieżki kariery i znacznie poprawić SOC Funkcjonalność. I pamiętajmy, że ofensywa zmierza w kierunku autonomicznych kampanii ataków, prowadzonych z użyciem broni wspomaganej sztuczną inteligencją. Próbujemy sobie z tym poradzić za pomocą broni ludzkiej, a nawet hybrydowej. SOC wsparcie nie zadziała. Przyjrzyjmy się temu bliżej.
Fazy SOC podróż
Ta podróż do zgaszenia świateł SOC Operacja nie była nagła. Pierwsza faza była całkowicie ręczna.
Pamiętasz, jak Cliff Stoll ścigał Markusa Hessa w systemach Berkeley z powodu błędu księgowego na 75 centów?
A może Bill Cheswick zarządzał pułapkami honeypot w AT&T, żeby złapać ciekawskiego hakera o nazwisku Berferd? Ci ludzie byli…
legendy, a cała ich praca była wykonywana ręcznie, a jej podstawą było sprytne, ludzkie rozumowanie. Byli
SOC.
Potem nadeszła era hybrydowych operacji bezpieczeństwa. Metasploit HD Moore’a był przełomem dla
Analitycy. Splunk wprowadził lepszą analizę logów. Narzędzia SOAR zwiększyły produktywność. Ale analityk wciąż siedział
środkowe siedzenie. Nazywaliśmy to hybrydą SOC przez ostatnie kilka lat, ale wierzę, że teraz sztuczna inteligencja
znajduje się w centrum przejścia
Wpływ sztucznej inteligencji
Sztuczna inteligencja, dzięki modelom LLM, analizie behawioralnej i projektowaniu autonomicznych agentów, umożliwia całkowite wyeliminowanie operatora z pętli. Dzisiejsze platformy oparte na sztucznej inteligencji już teraz przewyższają ludzi w wykrywaniu i klasyfikowaniu złośliwych działań.
Będą w stanie poradzić sobie z nawałą ataków opartych wyłącznie na sztucznej inteligencji, która nigdy się nie skończy,
Ciągle się dostosowują i uczą się na swoich błędach. Jeśli brzmi to przerażająco, to jesteś na dobrej drodze do zrozumienia. Powinno to pomóc ci zrozumieć, dlaczego przejście na tryb „światła zgaszone”… SOCnie będzie tylko
pożądane, ale będzie wymagane.
Błąd polega na założeniu, że SOC Zadania przetwarzania zawsze będą wymagać interfejsu ludzkiego. Autonomiczne
podejmowanie decyzji odbywa się już w punkcie końcowym. SOC Następnym krokiem jest walka z tym trendem. Walka z nim to przegrana gra.
Jak jednak wspomniano powyżej, ludzie będą mieli ogromne możliwości uczestnictwa – ale w
kontekst wyższego poziomu, obejmujący zarządzanie, nadzór i monitorowanie postępów w codziennym życiu
operacji. Będą wybierać dostawców, wymieniać zautomatyzowane narzędzia, diagnozować problemy i ogólnie upewniać się, że defensywna sztuczna inteligencja działa zgodnie z oczekiwaniami.
A ponieważ taka automatyzacja będzie obejmować wszystkie rodzaje firm, niezależnie od ich wielkości i kształtu, zwłaszcza
W kontekście zaangażowania MSSP wydaje się możliwe, że w tym kontekście powstanie więcej miejsc pracy dla ludzi niż obecnie
dzisiaj. Ludzie będą niezbędnym interfejsem w MSSP nawiązać kontakt z kupującymi, zwłaszcza tymi, którzy mają mniej
doświadczenie w SOC funkcje, aby zapewnić ich właściwe wsparcie.
Można by rzec, że w kontekście MSSP nie jest to operacja całkowicie „z wyłączeniem świateł”. Najlepiej sprawdzą się MSSP
możliwość dalszego wykorzystywania ludzi do sprzedaży i interakcji z klientami w sposób, w jaki działa automatyzacja
obsługiwane, dostrajane i integrowane z ich działalnością
Proponowana trajektoria
- Instrukcja obsługi SOC (1985–2010): Wszystkim rządzili ludzie.
- Hybrydowy SOC (2010–2025): Ludzie i maszyny dzielili kontrolę.
- zautomatyzowane SOC (2025–2040): Maszyny przejmują władzę, ludzie sprawują nadzór.
Przyszłość SOC
Dyrektorom ds. bezpieczeństwa informacji zalecamy następujące działania: Należy zacząć na nowo rozważać plany dotyczące tworzenia dużych systemów SOC zespoły analityków. Zamiast tego powinieneś zacząć planować na poziomie zero-osobowym SOCs. Zdecydowanie zalecamy, abyście jako dostawcy usług MSSP zaczęli pozycjonować się jako menedżerowie SOC chmury. Będziesz tym ludzkim mostem między szybkością maszyny a zaufaniem klienta.
I dla SOC Analitycy, spodziewamy się, że wkrótce przejdziecie z roli operatora do roli nadzorcy, z osoby reagującej na rolę stratega. SOC W kontekście codziennego przetwarzania światła mogą zgasnąć, ale ponieważ firmy potrzebują zarządzania i dostawców usług zarządzanych (MSSP) gotowych do działania, pojawi się wiele nowych typów stanowisk pracy, tak jak to miało miejsce w przypadku 100% funkcji zautomatyzowanych.
