Czy autonomiczny system SOC wspomagany przez człowieka to kontrowersyjny pomysł czy kolejny wielki sukces dla dostawców usług MSSP?
Ludzie i maszyny
W połowie lat 90. z ciekawością obserwowałem, jak maszyna IBM pokonuje Gary'ego Kasparowa w szachach. Wtedy wydawało mi się to zabawnym trikiem z salonów informatyki, interesującą maszyną programową, która mogła rywalizować z mistrzem świata. Ale patrząc z perspektywy czasu, ten moment był wyraźnym zwiastunem tego, co dziś uznajemy za nieuniknione: w każdej dziedzinie rządzonej regułami, danymi i rozpoznawaniem wzorców, smutną prawdą jest to, że maszyny w końcu wygrają.
Bezpieczeństwo cybernetycznei Centrum Operacji Bezpieczeństwa (SOC) w szczególności, podlega właśnie takim ograniczeniom. Jest oparty na regułach, intensywnie przetwarza dane i coraz bardziej polega na rozpoznawaniu wzorców w celu wykrywania ataków. Dotarcie do tego punktu zajęło nam kilka dekad, ale uważam, że obecnie jesteśmy u progu pełnego przejścia od hybrydowego modelu współpracy człowiek-maszyna do tego, co w TAG nazywamy w pełni zautomatyzowanym i autonomicznym centrum operacyjnym (SOC) działającym bez żadnych ograniczeń. Nie wymaga udziału człowieka – przynajmniej nie w tradycyjnym rozumieniu analityka.
Ale jest pewien haczyk: to, co niektórzy postrzegają jako zagrożenie dla pracowników SOC, może być jedną z największych szans dla MSSPPojawi się nowa klasa autonomicznych usług SOC wspomaganych przez człowieka, w ramach których dostawcy usług MSSP będą zarządzać tymi „chmurami SOC” w imieniu przedsiębiorstw, zapewniając nadzór, zapewnienie zgodności i kontekst dla klienta, podczas gdy sztuczna inteligencja wykona większość zadań.
W rzeczywistości może to być kluczowe połączenie między ludźmi a maszynami – połączenie, które może zapewnić ekspertom dalsze ścieżki kariery i znacznie poprawić SOC Funkcjonalność. I pamiętajmy, że ofensywa zmierza w kierunku autonomicznych kampanii ataków, prowadzonych przez broń z obsługą sztucznej inteligencji. Próba poradzenia sobie z tym przy pomocy ludzkiego, a nawet hybrydowego wsparcia SOC, nie przyniesie rezultatu. Przyjrzyjmy się temu bliżej.
Fazy podróży SOC
Ta podróż do pełnego uruchomienia systemu operacyjnego nie była nagła. Pierwsza faza była całkowicie ręczna.
Pamiętasz, jak Cliff Stoll ścigał Markusa Hessa w systemach Berkeley z powodu błędu księgowego na 75 centów?
A może Bill Cheswick zarządzał pułapkami honeypot w AT&T, żeby złapać ciekawskiego hakera o nazwisku Berferd? Ci ludzie byli…
legendy, a cała ich praca była wykonywana ręcznie, a jej podstawą było sprytne, ludzkie rozumowanie. Byli
SOC.
Potem nadeszła era hybrydowych operacji bezpieczeństwa. Metasploit HD Moore’a był przełomem dla
Analitycy. Splunk wprowadził lepszą analizę logów. Narzędzia SOAR zwiększyły produktywność. Ale analityk wciąż siedział
środkowe siedzenie. Przez ostatnie kilka lat nazywaliśmy to hybrydowym SOC, ale uważam, że teraz sztuczna inteligencja
znajduje się w centrum przejścia
Wpływ sztucznej inteligencji
Sztuczna inteligencja, dzięki modelom LLM, analizie behawioralnej i projektowaniu autonomicznych agentów, umożliwia całkowite wyeliminowanie operatora z pętli. Dzisiejsze platformy oparte na sztucznej inteligencji już teraz przewyższają ludzi w wykrywaniu i klasyfikowaniu złośliwych działań.
Będą w stanie poradzić sobie z nawałą ataków opartych wyłącznie na sztucznej inteligencji, która nigdy się nie skończy,
Ciągle się dostosowują i uczą się na swoich błędach. Jeśli brzmi to przerażająco, to jesteś na dobrej drodze do zrozumienia. Powinno to pomóc Ci zrozumieć, dlaczego przejście na systemy SOC z funkcją wyłączania oświetlenia będzie nie tylko
pożądane, ale będzie wymagane.
Błąd polega na założeniu, że zadania przetwarzania SOC zawsze będą wymagały interfejsu użytkownika. Autonomiczne
podejmowanie decyzji odbywa się już w punkcie końcowym. SOC Następnym krokiem jest walka z tym trendem. Walka z nim to przegrana gra.
Jak jednak wspomniano powyżej, ludzie będą mieli ogromne możliwości uczestnictwa – ale w
kontekst wyższego poziomu, obejmujący zarządzanie, nadzór i monitorowanie postępów w codziennym życiu
operacji. Będą wybierać dostawców, wymieniać zautomatyzowane narzędzia, diagnozować problemy i ogólnie upewniać się, że defensywna sztuczna inteligencja działa zgodnie z oczekiwaniami.
A ponieważ taka automatyzacja będzie obejmować wszystkie rodzaje firm, niezależnie od ich wielkości i kształtu, zwłaszcza
W kontekście zaangażowania MSSP wydaje się możliwe, że w tym kontekście powstanie więcej miejsc pracy dla ludzi niż obecnie
dzisiaj. Ludzie będą niezbędnym interfejsem w MSSP nawiązać kontakt z kupującymi, zwłaszcza tymi, którzy mają mniej
doświadczenie w zakresie funkcji SOC, aby zapewnić ich właściwe wsparcie.
Można by rzec, że w kontekście MSSP nie jest to operacja całkowicie „z wyłączeniem świateł”. Najlepiej sprawdzą się MSSP
możliwość dalszego wykorzystywania ludzi do sprzedaży i interakcji z klientami w sposób, w jaki działa automatyzacja
obsługiwane, dostrajane i integrowane z ich działalnością
Proponowana trajektoria
- Manual SOC (1985–2010): Wszystkim rządzili ludzie.
- Hybrydowy SOC (2010–2025): Ludzie i maszyny dzielą kontrolę.
- Zautomatyzowany SOC (2025–2040): maszyny przejmują kontrolę, ludzie sprawują nadzór.
Przyszłość SOC
Dla CISO zalecamy następujące działania: Powinniście zacząć od nowa rozważać plany dotyczące tworzenia dużych zespołów analityków SOC. Zamiast tego powinniście zacząć planować SOC bezosobowe. Dostawcom usług zarządzanych (MSSP) zdecydowanie zalecamy, abyście zaczęli pozycjonować się jako menedżerowie chmur SOC. Będziecie tym ludzkim mostem między szybkością maszyn a zaufaniem klientów.
Analitycy SOC spodziewają się, że wkrótce przejdą od roli operatora do nadzorcy, od osoby reagującej do stratega. W kontekście codziennego przetwarzania światła SOC mogą zgasnąć, ale firmy potrzebujące zarządzania i gotowych do działania dostawców usług bezpieczeństwa (MSSP) będą mogły otworzyć wiele nowych stanowisk pracy, tak jak to miało miejsce w przypadku 100% funkcji zautomatyzowanych.
