Ang autonomous na SOC na pinalaki ng tao ay isang kontrarian na ideya o ang susunod na malaking panalo para sa mga MSSP?
Mga Tao at Makina
Noong kalagitnaan ng dekada 90, nanood ako nang may pagkamausisa habang tinalo ng makina ng IBM si Gary Kasparov sa chess. Noong panahong iyon, parang isang masayang computer science parlor trick, itong kawili-wiling software machine na kayang humawak ng sarili nitong laban sa world champion. Ngunit sa pagbabalik-tanaw, ang sandaling iyon ay isang malinaw na harbinger ng kung ano ang tinatanggap namin ngayon bilang hindi maiiwasan: Sa anumang domain na pinamamahalaan ng mga panuntunan, data, at pagkilala sa pattern, ang nakalulungkot na katotohanan ay ang mga makina ay mananalo sa kalaunan.
Cybersecurity, at ang Security Operations Center (SOC) sa partikular, ay pinamamahalaan ng ganoong mga hadlang. Ito ay batay sa mga panuntunan, data-intensive, at lalong umaasa sa pattern recognition upang makita ang mga pag-atake. Inabot kami ng ilang dekada bago makarating dito, ngunit naniniwala ako na nasa threshold na kami ngayon ng isang ganap na paglipat mula sa isang hybrid na modelo ng pakikipagtulungan ng tao-machine tungo sa tinatawag namin sa TAG na isang lights-out SOC, ganap na awtomatiko at nagsasarili. Walang kinakailangang tao - hindi bababa sa, hindi sa tradisyonal na kahulugan ng analyst.
Ngunit narito ang twist: kung ano ang nakikita ng ilan bilang isang banta sa SOC workforce ay maaaring isa sa mga pinakadakilang pagkakataon para sa Ang mga MSSP. May lalabas na bagong klase ng mga serbisyong SOC na pinalaki ng tao, kung saan pinapatakbo at pinamamahalaan ng mga MSSP ang "SOC cloud" na ito sa ngalan ng mga negosyo, na nagbibigay ng pangangasiwa, katiyakan sa pagsunod, at kontekstong nakaharap sa customer habang ginagawa ng AI ang mabigat na pag-angat.
Sa katunayan, maaaring ito ang pangunahing koneksyon sa pagitan ng mga tao at mga makina - isang pagsasama na maaaring matiyak ang patuloy na mga landas sa karera para sa mga eksperto at lubos na mapabuti SOC functionality. At tandaan na ang pagkakasala ay lumilipat sa direksyon ng mga autonomous na kampanya sa pag-atake, na pinapatakbo ng mga armas na pinagana ng AI. Ang pagsisikap na hawakan ito sa suporta ng tao o kahit hybrid na SOC ay hindi gagana. Suriin natin ito nang mas malalim.
Mga yugto ng paglalakbay ng SOC
Ang paglalakbay na ito sa pagpapatakbo ng SOC na patayin ang mga ilaw ay hindi biglaan. Ang unang yugto ay manu-mano lamang.
Tandaan na hinahabol ni Cliff Stoll si Markus Hess sa pamamagitan ng mga sistema ng Berkeley sa isang 75-cent accounting glitch?
O si Bill Cheswick ay nagpapatakbo ng mga honeypot sa AT&T upang bitag ang isang mausisa na hacker na nagngangalang Berferd? Ang mga taong ito noon
mga alamat, at ang lahat ng kanilang gawain ay ginawa nang manu-mano, na may matalinong pangangatuwiran ng tao sa kaibuturan. Sila ay ang
SOC.
Pagkatapos ay dumating ang hybrid na panahon ng mga operasyong panseguridad. Ang Metasploit ng HD Moore ay isang game-changer para sa
mga analyst. Ang Splunk ay nagdala ng mas mahusay na pagsusuri sa log. Ang mga tool ng SOAR ay nagpalakas ng pagiging produktibo. Ngunit nakaupo pa rin ang analyst
ang gitnang upuan. Tinatawag namin itong hybrid SOC sa nakalipas na ilang taon, ngunit naniniwala ako na ngayon, AI
nakaupo sa gitna ng paglipat
Ang epekto ng AI
Ang AI, sa pamamagitan ng LLMs, behavioral analysis, at autonomous na disenyo ng ahente, ay nagdadala ng kapasidad na ganap na alisin ang operator ng tao mula sa loop. Ang mga platform na nakabatay sa AI ngayon ay higit na mahusay ang pagganap ng mga tao sa pag-detect at pag-uuri ng malisyosong aktibidad.
At kakayanin nila ang pagsalakay ng puro AI-driven na pag-atake, isang hindi titigil,
patuloy na mag-adjust, at matuto mula sa kanilang mga pagkakamali. Kung ito ay nakakatakot, kung gayon ikaw ay nasa tamang landas sa iyong pang-unawa. Ito ay dapat makatulong sa iyo na makita kung bakit ang paglipat sa mga lights-out na SOC ay hindi lamang
kanais-nais ngunit kakailanganin.
Ang pagkakamali ay ipagpalagay na ang mga gawain sa pagproseso ng SOC ay palaging mangangailangan ng isang interface ng tao. Autonomous
ang paggawa ng desisyon ay nangyayari na sa dulo. Ang SOC ay susunod. Ang pakikipaglaban sa trend na ito ay isang talo na laro.
Ngunit, tulad ng iminungkahing sa itaas, magkakaroon ng napakalaking pagkakataon para sa mga tao na lumahok - ngunit sa isang
mas mataas na antas na konteksto, kabilang ang pamamahala, curation, at pagsubaybay sa pag-unlad sa pang-araw-araw
mga operasyon. Pipiliin nila ang mga vendor, magpapalit ng mga automated na tool, mag-diagnose ng mga problema, at sa pangkalahatan ay titiyakin na gumagana ang defensive AI gaya ng inaasahan.
At dahil aabot ang naturang automation sa lahat ng uri ng kumpanya sa lahat ng laki, at hugis, lalo na sa
Ang pakikilahok ng MSSP, tila posible na mas maraming trabaho ang magbubukas para sa mga tao sa kontekstong ito kaysa sa umiiral
ngayon. Ang mga tao ay magiging isang kinakailangang interface sa Ang mga MSSP upang kumonekta sa mga mamimili, lalo na sa mga mas mababa
karanasan sa mga function ng SOC, upang matiyak na maayos na sinusuportahan ang mga ito.
Maaaring sabihin ng isa, marahil, na sa konteksto ng MSSP, ito ay hindi isang ganap na "pamatay ng mga ilaw" na operasyon. Ang mga MSSP ay magiging pinakamahusay
inilagay upang patuloy na gamitin ang mga tao upang magbenta at makipag-ugnayan sa kanilang mga customer sa kung paano ang automation
pinamamahalaan, nakatutok, at isinama sa kanilang negosyo
Isang iminungkahing tilapon
- Manual SOC (1985–2010): Pinapatakbo ng tao ang lahat.
- Hybrid SOC (2010–2025): Nagbahagi ng kontrol ang mga tao at makina.
- Automated SOC (2025–2040): Ang mga makina ang pumalit, ang mga tao ang nangangasiwa.
Ang kinabukasan ng SOC
Para sa mga CISO, inirerekumenda namin ang sumusunod: Dapat mong simulang pag-isipang muli ang mga planong iyon na maaaring mayroon ka para sa pagbuo ng malalaking SOC analyst team. Sa halip, dapat mong simulan ang pagpaplano para sa mga zero-person SOC. Para sa mga MSSP, lubos naming inirerekomenda na simulan mo ang pagpoposisyon sa iyong sarili bilang mga tagapamahala ng SOC clouds. Ikaw ang magiging tulay ng tao sa pagitan ng bilis ng makina at tiwala ng customer.
At para sa mga analyst ng SOC, inaasahan namin na malapit na kayong mag-pivot mula sa operator hanggang sa overseer, mula sa responder hanggang sa strategist. Maaaring mamatay ang mga ilaw ng SOC mula sa pang-araw-araw na pananaw sa pagpoproseso, ngunit sa mga kumpanyang nangangailangan ng pamamahala at mga MSSP na handang pumasok, maraming bagong uri ng trabaho at posisyon ang magbubukas, tulad ng nakita nating nangyari para sa 100% ng mga function na awtomatiko.
