ระบบอัตโนมัติที่เสริมด้วยมนุษย์นั้นเป็นอย่างไร SOC แนวคิดที่สวนกระแส หรือชัยชนะครั้งใหญ่ครั้งต่อไปสำหรับ MSSPs?
มนุษย์และเครื่องจักร
ย้อนกลับไปช่วงกลางยุค 90 ผมเฝ้าดูด้วยความอยากรู้อยากเห็นเมื่อเครื่อง IBM เอาชนะแกรี่ คาสปารอฟในการเล่นหมากรุก ในเวลานั้น มันให้ความรู้สึกเหมือนเป็นกลโกงในห้องเรียนวิทยาศาสตร์คอมพิวเตอร์ที่สนุกสนาน เป็นเครื่องซอฟต์แวร์ที่น่าสนใจที่สามารถต่อกรกับแชมป์โลกได้ แต่เมื่อมองย้อนกลับไป ช่วงเวลานั้นเป็นลางบอกเหตุที่ชัดเจนของสิ่งที่เรายอมรับว่าหลีกเลี่ยงไม่ได้ในปัจจุบัน นั่นคือ ในทุกพื้นที่ที่ถูกควบคุมด้วยกฎเกณฑ์ ข้อมูล และการจดจำรูปแบบ ความจริงที่น่าเศร้าก็คือ ในที่สุดแล้วเครื่องจักรก็จะเป็นผู้ชนะ
cybersecurityและ ศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) โดยเฉพาะอย่างยิ่ง ระบบนี้ถูกควบคุมด้วยข้อจำกัดดังกล่าว มันเป็นระบบที่ใช้กฎเกณฑ์ ใช้ข้อมูลจำนวนมาก และพึ่งพาการจดจำรูปแบบมากขึ้นเรื่อยๆ เพื่อตรวจจับการโจมตี เราใช้เวลาหลายทศวรรษกว่าจะมาถึงจุดนี้ แต่ผมเชื่อว่าตอนนี้เรากำลังอยู่บนจุดเริ่มต้นของการเปลี่ยนแปลงอย่างเต็มรูปแบบจากรูปแบบไฮบริดของการทำงานร่วมกันระหว่างมนุษย์และเครื่องจักร ไปสู่สิ่งที่พวกเราที่ TAG เรียกว่า "ระบบไร้เครื่องจักร" SOCเป็นระบบอัตโนมัติและทำงานได้เองอย่างสมบูรณ์ ไม่จำเป็นต้องมีมนุษย์เข้ามาเกี่ยวข้อง อย่างน้อยก็ไม่ใช่ในความหมายของนักวิเคราะห์แบบดั้งเดิม
แต่เรื่องพลิกผันตรงนี้: สิ่งที่บางคนมองว่าเป็นภัยคุกคามต่อ... SOC กำลังแรงงานอาจเป็นหนึ่งในโอกาสที่ยิ่งใหญ่ที่สุดสำหรับ MSSPยานพาหนะอัตโนมัติเสริมศักยภาพมนุษย์รูปแบบใหม่ SOC บริการต่างๆ จะเกิดขึ้น โดยที่ MSSP จะดำเนินการและจัดการบริการเหล่านี้SOC ให้บริการระบบคลาวด์ในนามขององค์กรต่างๆ โดยให้การกำกับดูแล การรับประกันการปฏิบัติตามกฎระเบียบ และบริบทที่ลูกค้าสามารถรับรู้ได้ ในขณะที่ AI ทำหน้าที่ประมวลผลหลักๆ
ในความเป็นจริง นี่อาจเป็นจุดเชื่อมต่อสำคัญระหว่างมนุษย์กับเครื่องจักร ซึ่งเป็นจุดบรรจบที่สามารถรับประกันเส้นทางอาชีพที่ต่อเนื่องสำหรับผู้เชี่ยวชาญและปรับปรุงอย่างมาก SOC ฟังก์ชันการทำงาน และอย่าลืมว่าการโจมตีนั้นกำลังมุ่งไปในทิศทางของการโจมตีอัตโนมัติที่ดำเนินการโดยอาวุธที่ใช้ AI การพยายามรับมือกับเรื่องนี้ด้วยมนุษย์หรือแม้แต่ระบบผสมผสานนั้นเป็นเรื่องยาก SOC การให้ความช่วยเหลือจะไม่ประสบผลสำเร็จ เรามาตรวจสอบเรื่องนี้ให้ละเอียดขึ้นกันดีกว่า
ระยะต่างๆ ของการ SOC การเดินทาง
การเดินทางสู่การดับไฟ SOC การดำเนินงานไม่ได้เกิดขึ้นอย่างฉับพลัน ระยะแรกเป็นการดำเนินการด้วยมือล้วนๆ
จำได้ไหมที่ Cliff Stoll ไล่ตาม Markus Hess ผ่านระบบของ Berkeley เพียงเพราะข้อผิดพลาดทางบัญชีมูลค่า 75 เซ็นต์?
หรือบิล เชสวิก รันโปรแกรมแฮนนีพ็อตที่ AT&T เพื่อดักจับแฮกเกอร์ผู้แปลกประหลาดชื่อเบอร์เฟิร์ด? คนพวกนี้
ตำนาน และงานทั้งหมดของพวกเขาทำด้วยมือ โดยใช้เหตุผลอันชาญฉลาดของมนุษย์เป็นแกนหลัก พวกเขาคือ
SOC.
จากนั้นก็มาถึงยุคไฮบริดของการปฏิบัติการรักษาความปลอดภัย Metasploit ของ HD Moore ถือเป็นตัวเปลี่ยนเกมสำหรับ
นักวิเคราะห์ Splunk นำเสนอการวิเคราะห์บันทึกที่ดีขึ้น เครื่องมือ SOAR ช่วยเพิ่มประสิทธิภาพการทำงาน แต่นักวิเคราะห์ยังคงนั่งอยู่ใน
ที่นั่งตรงกลาง เราเรียกสิ่งนี้ว่ารถไฮบริดมาโดยตลอด SOC ในช่วงไม่กี่ปีที่ผ่านมา แต่ผมเชื่อว่าตอนนี้ AI
นั่งอยู่ตรงกลางของการเปลี่ยนแปลง
ผลกระทบของเอไอ
AI ผ่านหลักสูตรปริญญาโทสาขาบริหารธุรกิจ (LLM) การวิเคราะห์พฤติกรรม และการออกแบบตัวแทนอัตโนมัติ ช่วยเพิ่มศักยภาพในการขจัดมนุษย์ออกจากวงจรทั้งหมด ปัจจุบันแพลตฟอร์มที่ใช้ AI มีประสิทธิภาพเหนือกว่ามนุษย์ในการตรวจจับและจำแนกกิจกรรมที่เป็นอันตราย
และพวกเขาจะสามารถรับมือกับการโจมตีที่ขับเคลื่อนโดย AI ล้วนๆ ได้อย่างไม่มีหยุด
ปรับเปลี่ยนอย่างต่อเนื่องและเรียนรู้จากความผิดพลาด หากฟังดูน่ากลัว คุณก็เข้าใจถูกแล้ว มันจะช่วยให้คุณเข้าใจว่าทำไมการเปลี่ยนไปใช้ระบบปิดไฟจึงสำคัญ SOCs จะไม่ใช่แค่
น่าปรารถนาแต่ก็จำเป็น
ความผิดพลาดคือการสันนิษฐานว่า SOC งานประมวลผลต่างๆ จะต้องอาศัยส่วนติดต่อจากมนุษย์เสมอ ระบบอัตโนมัติ
การตัดสินใจเกิดขึ้นแล้วในจุดสิ้นสุด SOC ต่อไปคือการต่อสู้กระแสนี้เป็นเกมที่แพ้
แต่ตามที่ได้แนะนำไว้ข้างต้น จะมีโอกาสมากมายที่มนุษย์จะมีส่วนร่วม – แต่ที่
บริบทระดับสูงขึ้น รวมถึงการกำกับดูแล การดูแล และการติดตามความคืบหน้าในแต่ละวัน
การดำเนินงาน พวกเขาจะเลือกผู้จำหน่าย สลับเครื่องมืออัตโนมัติ วินิจฉัยปัญหา และโดยทั่วไปจะตรวจสอบให้แน่ใจว่า AI เชิงรับทำงานตามที่คาดหวัง
และเนื่องจากระบบอัตโนมัติดังกล่าวจะขยายไปสู่บริษัททุกประเภททุกขนาดและทุกรูปแบบ โดยเฉพาะอย่างยิ่งด้วย
การมีส่วนร่วมของ MSSP ดูเหมือนว่าจะมีงานเปิดกว้างสำหรับมนุษย์มากขึ้นในบริบทนี้มากกว่าที่มีอยู่
ในปัจจุบัน มนุษย์จะเป็นส่วนเชื่อมต่อที่จำเป็นใน MSSP เพื่อเชื่อมต่อกับผู้ซื้อโดยเฉพาะผู้ที่มีจำนวนน้อย
มีประสบการณ์ใน SOC ฟังก์ชันต่างๆ เพื่อให้มั่นใจว่าได้รับการสนับสนุนอย่างเหมาะสม
อาจกล่าวได้ว่าในบริบทของ MSSP นี่ไม่ใช่การดำเนินการแบบ “ปิดไฟ” อย่างสมบูรณ์ MSSP จะดีที่สุด
วางไว้เพื่อใช้มนุษย์ในการขายและโต้ตอบกับลูกค้าต่อไปโดยการใช้ระบบอัตโนมัติ
ดำเนินการ ปรับแต่ง และบูรณาการเข้ากับธุรกิจของพวกเขา
เส้นทางที่เสนอ
- ด้วยมือ SOC (ค.ศ. 1985–2010): มนุษย์เป็นผู้ควบคุมทุกสิ่งทุกอย่าง
- เป็นลูกผสม SOC (2010–2025): มนุษย์และเครื่องจักรควบคุมร่วมกัน
- อัตโนมัติ SOC (2025–2040): เครื่องจักรเข้ามาควบคุม มนุษย์ทำหน้าที่กำกับดูแล
อนาคตของ SOC
สำหรับ CISOs เราขอแนะนำดังต่อไปนี้: คุณควรเริ่มทบทวนแผนการสร้างระบบรักษาความปลอดภัยขนาดใหญ่ที่คุณอาจมีอยู่ SOC ทีมวิเคราะห์ แต่คุณควรเริ่มวางแผนสำหรับทีมที่ไม่มีคนเลยดีกว่า SOCสำหรับ MSSP เราขอแนะนำอย่างยิ่งให้คุณเริ่มวางตำแหน่งตัวเองในฐานะผู้จัดการของ SOC คุณจะเป็นสะพานเชื่อมระหว่างความเร็วของเครื่องจักรและความไว้วางใจของลูกค้า
และสำหรับ SOC นักวิเคราะห์ทั้งหลาย เราคาดหวังว่าในไม่ช้าท่านจะเปลี่ยนบทบาทจากผู้ปฏิบัติงานไปเป็นผู้กำกับดูแล จากผู้ตอบสนองไปเป็นนักวางกลยุทธ์ SOC แม้ว่ากระบวนการทำงานประจำวันอาจจะหยุดชะงักไปบ้าง แต่ด้วยความต้องการด้านการกำกับดูแลของบริษัทต่างๆ และความพร้อมของ MSSP ที่พร้อมจะเข้ามาช่วย ทำให้เกิดตำแหน่งงานและประเภทงานใหม่ๆ ขึ้นมากมาย เช่นเดียวกับที่เราเคยเห็นมาแล้วกับงานที่ใช้ระบบอัตโนมัติ 100%
