Чи є доповнена людиною автономною SOC суперечлива ідея чи наступна велика перемога для MSSP?
Люди та машини
У середині 90-х я з цікавістю спостерігав, як машина IBM перемагає Гарі Каспарова в шахах. Тоді це здавалося кумедним трюком з комп'ютерного салону, ця цікава програмна машина, яка могла б протистояти чемпіону світу. Але, озираючись назад, той момент був чітким передвісником того, що ми зараз сприймаємо як неминуче: у будь-якій галузі, що регулюється правилами, даними та розпізнаванням образів, сумний факт полягає в тому, що машини врешті-решт переможуть.
Кібербезпека, А Центр операцій безпеки (SOC) зокрема, регулюється саме такими обмеженнями. Вона базується на правилах, інтенсивно використовує дані та дедалі більше залежить від розпізнавання образів для виявлення атак. Нам знадобилося кілька десятиліть, щоб дійти до цього, але я вважаю, що зараз ми стоїмо на порозі повноцінного переходу від гібридної моделі співпраці людини та машини до того, що ми в TAG називаємо «відключенням світла». SOC, повністю автоматизований та автономний. Люди не потрібні – принаймні, не в традиційному аналітичному розумінні.
Але ось у чому поворот: те, що деякі вважають загрозою для SOC робоча сила може бути однією з найбільших можливостей для MSSPНовий клас автономних транспортних засобів з доповненою людиною SOC з'являться послуги, де постачальники послуг управління послугами управління (MSSP) керуватимуть цими «SOC хмари» від імені підприємств, забезпечуючи нагляд, гарантію відповідності та взаємодію з клієнтами, поки штучний інтелект виконує важку роботу.
Фактично, це може бути ключовим зв'язком між людьми та машинами – злиттям, яке може забезпечити продовження кар'єрних шляхів для експертів та значно покращити SOC функціональність. І пам’ятайте, що наступ рухається в напрямку автономних атакуючих кампаній, що проводяться за допомогою зброї на базі штучного інтелекту. Намагаючись впоратися з цим за допомогою людських або навіть гібридних SOC підтримка не працюватиме. Давайте розглянемо це детальніше.
Фази SOC подорож
Ця подорож до вимкнення світла SOC Операція не була раптовою. Перший етап був суто ручним.
Пам'ятаєте, як Кліфф Столл ганявся за Маркусом Гессом через системи Берклі через бухгалтерський збій у 75 центів?
Або Білл Чесвік, який керував приманками в AT&T, щоб виманити цікавого хакера на ім'я Берферд? Ці люди були...
легенди, і вся їхня робота виконувалася вручну, з використанням розумного людського мислення в основі. Вони були
SOC.
Потім настала гібридна ера операцій безпеки. Metasploit від HD Moore змінив правила гри.
аналітики. Splunk забезпечив кращий аналіз журналів. Інструменти SOAR підвищили продуктивність. Але аналітик все ще сидів без діла.
центральне сидіння. Ми називали це гібридом SOC протягом останніх кількох років, але я вважаю, що зараз ШІ
знаходиться в центрі переходу
Вплив ШІ
Штучний інтелект, завдяки методам навчання, поведінковому аналізу та розробці автономних агентів, дає змогу повністю виключити оператора з циклу. Сьогоднішні платформи на основі штучного інтелекту вже перевершують людей у виявленні та класифікації шкідливої активності.
І вони зможуть впоратися з натиском атак, керованих виключно штучним інтелектом, який ніколи не припиниться,
постійно адаптуватися та вчитися на своїх помилках. Якщо це звучить лячно, то ви на правильному шляху у своєму розумінні. Це має допомогти вам зрозуміти, чому перехід до вимкнення світла SOCбуде не тільки
бажано, але буде обов'язково.
Помилка полягає в тому, що припускають, що SOC завдання обробки завжди вимагатимуть людського інтерфейсу. Автономний
прийняття рішень вже відбувається на кінцевій точці. SOC далі. Боротьба з цією тенденцією — програшна гра.
Але, як зазначалося вище, для людей будуть величезні можливості для участі – але за певної
контекст вищого рівня, включаючи управління, кураторство та моніторинг прогресу в повсякденній діяльності
операції. Вони вибиратимуть постачальників, замінюватимуть автоматизовані інструменти, діагностуватимуть проблеми та загалом забезпечуватимуть належну роботу захисного штучного інтелекту.
А оскільки така автоматизація пошириться на всі типи компаній будь-якого розміру та форми, особливо з
За участю MSSP, здається можливим, що в цьому контексті для людей відкриється більше робочих місць, ніж існує зараз.
сьогодні. Люди будуть необхідним інтерфейсом у MSSP зв’язатися з покупцями, особливо з тими, що мають менше
досвід в SOC функції, щоб забезпечити їх належну підтримку.
Можна сказати, що в контексті MSSP це не повністю безпрограшна операція. MSSP будуть найкращими.
мають можливість продовжувати використовувати людей для продажу та взаємодії зі своїми клієнтами в процесі автоматизації
керовані, налаштовані та інтегровані в їхній бізнес
Запропонована траєкторія
- Мануал SOC (1985–2010): Люди керували всім.
- гібрид SOC (2010–2025): Люди та машини мали спільний контроль.
- Автоматизований SOC (2025–2040): Машини беруть владу, люди контролюють.
Майбутнє SOC
Для керівників відділу інформаційної безпеки ми рекомендуємо наступне: вам слід почати переглядати плани, які ви могли мати щодо створення великих SOC команди аналітиків. Натомість вам слід почати планувати роботу з нульовим персоналом SOCs. Постачальникам послуг з управління бізнесом (MSSP) наполегливо рекомендуємо почати позиціонувати себе як менеджерів SOC хмари. Ви будете тим людським містком між швидкістю машин і довірою клієнтів.
І для SOC аналітики, ми очікуємо, що ви незабаром перейдете від оператора до наглядача, від реагувача до стратега. SOC З точки зору щоденної обробки, світло може згаснути, але оскільки компаніям потрібне управління та готові постачальники послуг управління бізнесом (MSSP), з'явиться багато нових типів робочих місць та посад, як ми бачили для 100% автоматизованих функцій.
