Liệu con người có phải là người tự chủ được tăng cường năng lực? SOC Một ý tưởng đi ngược xu hướng hay là bước đột phá lớn tiếp theo cho các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP)?
Con người và máy móc
Trở lại giữa những năm 90, tôi đã tò mò theo dõi một cỗ máy IBM đánh bại Gary Kasparov trong môn cờ vua. Vào thời điểm đó, nó giống như một trò ảo thuật khoa học máy tính thú vị, một cỗ máy phần mềm thú vị có thể tự mình đấu lại nhà vô địch thế giới. Nhưng nhìn lại, khoảnh khắc đó là một điềm báo rõ ràng cho điều mà ngày nay chúng ta chấp nhận là không thể tránh khỏi: Trong bất kỳ lĩnh vực nào được quản lý bởi các quy tắc, dữ liệu và nhận dạng mẫu, sự thật đáng buồn là máy móc cuối cùng sẽ chiến thắng.
An ninh mạng, và Trung tâm điều hành an ninh (SOC) Đặc biệt, nó được điều chỉnh bởi chính những ràng buộc đó. Nó dựa trên quy tắc, sử dụng nhiều dữ liệu và ngày càng phụ thuộc vào nhận dạng mẫu để phát hiện các cuộc tấn công. Chúng ta đã mất vài thập kỷ để đến được đây, nhưng tôi tin rằng chúng ta hiện đang đứng trước ngưỡng cửa của một sự chuyển đổi hoàn toàn từ mô hình hợp tác lai giữa con người và máy móc sang cái mà chúng tôi tại TAG gọi là "chế độ tự động hoàn toàn". SOCHoàn toàn tự động và tự chủ. Không cần con người – ít nhất là không theo nghĩa phân tích truyền thống.
Nhưng đây mới là điểm bất ngờ: điều mà một số người coi là mối đe dọa đối với... SOC lực lượng lao động có thể là một trong những cơ hội lớn nhất cho MSSPMột loại hình tự động hóa mới được hỗ trợ bởi con người. SOC các dịch vụ sẽ xuất hiện, trong đó các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) vận hành và quản lý các dịch vụ này.SOC "Đám mây điện toán đám mây" thay mặt cho các doanh nghiệp, cung cấp khả năng giám sát, đảm bảo tuân thủ và bối cảnh hướng đến khách hàng trong khi trí tuệ nhân tạo (AI) đảm nhiệm các công việc phức tạp.
Trên thực tế, đây có thể là mối liên hệ chính giữa con người và máy móc – một sự kết hợp có thể đảm bảo con đường sự nghiệp liên tục cho các chuyên gia và cải thiện đáng kể SOC Chức năng. Và hãy nhớ rằng cuộc tấn công đang hướng tới các chiến dịch tấn công tự động, được điều khiển bởi vũ khí hỗ trợ trí tuệ nhân tạo. Cố gắng xử lý vấn đề này bằng con người hoặc thậm chí là sự kết hợp giữa con người và trí tuệ nhân tạo là điều không khả thi. SOC Việc hỗ trợ sẽ không hiệu quả. Chúng ta hãy xem xét vấn đề này kỹ hơn.
Các giai đoạn của SOC cuộc hành trình
Hành trình đến khi tắt đèn SOC Quá trình vận hành không diễn ra đột ngột. Giai đoạn đầu tiên hoàn toàn được thực hiện thủ công.
Bạn có nhớ Cliff Stoll đã truy đuổi Markus Hess qua hệ thống Berkeley vì lỗi kế toán 75 xu không?
Hay Bill Cheswick điều hành các bẫy mật tại AT&T để bẫy một hacker tò mò tên là Berferd?
truyền thuyết, và tất cả công việc của họ đều được thực hiện thủ công, với lý luận thông minh của con người làm cốt lõi. Họ là
SOC.
Sau đó là kỷ nguyên lai của các hoạt động an ninh. Metasploit của HD Moore đã thay đổi cuộc chơi
Các nhà phân tích. Splunk đã mang đến khả năng phân tích nhật ký tốt hơn. Các công cụ SOAR đã thúc đẩy năng suất. Nhưng các nhà phân tích vẫn ngồi trong
ghế giữa. Chúng tôi gọi đây là ghế lai. SOC trong vài năm qua, nhưng tôi tin rằng hiện nay, AI
nằm ở trung tâm của quá trình chuyển đổi
Tác động của AI
Trí tuệ nhân tạo (AI), thông qua các chương trình LLM, phân tích hành vi và thiết kế tác nhân tự động, mang lại khả năng loại bỏ hoàn toàn sự can thiệp của con người. Các nền tảng AI ngày nay đã vượt trội hơn con người trong việc phát hiện và phân loại hoạt động độc hại.
Và họ sẽ có thể xử lý được sự tấn công dữ dội của các cuộc tấn công hoàn toàn do AI điều khiển, một cuộc tấn công sẽ không bao giờ dừng lại,
Liên tục điều chỉnh và học hỏi từ những sai lầm của mình. Nếu điều này nghe có vẻ đáng sợ, thì bạn đang đi đúng hướng trong việc hiểu vấn đề. Điều này sẽ giúp bạn hiểu tại sao quá trình chuyển sang chế độ tắt đèn lại khó khăn đến vậy. SOCs sẽ không chỉ
mong muốn nhưng sẽ là bắt buộc.
Sai lầm nằm ở chỗ cho rằng SOC Các tác vụ xử lý sẽ luôn cần đến sự tương tác của con người. Tự động
việc ra quyết định đã diễn ra ở điểm cuối. SOC là tiếp theo. Chống lại xu hướng này là một cuộc chơi thua cuộc.
Nhưng, như đã đề xuất ở trên, sẽ có rất nhiều cơ hội để con người tham gia – nhưng ở mức độ
bối cảnh cấp cao hơn, bao gồm quản trị, quản lý và giám sát tiến độ hàng ngày
hoạt động. Họ sẽ lựa chọn nhà cung cấp, thay thế các công cụ tự động, chẩn đoán sự cố và đảm bảo rằng AI phòng thủ hoạt động như mong đợi.
Và vì tự động hóa như vậy sẽ mở rộng đến tất cả các loại công ty ở mọi quy mô và hình dạng, đặc biệt là với
Sự tham gia của MSSP, có vẻ như có thể sẽ có nhiều việc làm hơn sẽ mở ra cho con người trong bối cảnh này hơn là hiện có
ngày nay. Con người sẽ là một giao diện cần thiết trong MSSP để kết nối với người mua, đặc biệt là những người có ít
kinh nghiệm trong SOC các chức năng, để đảm bảo chúng được hỗ trợ đúng cách.
Có lẽ người ta có thể nói rằng, trong bối cảnh MSSP, đây không phải là một hoạt động "tắt đèn" hoàn toàn. MSSP sẽ là lựa chọn tốt nhất
được đặt để tiếp tục sử dụng con người để bán hàng và tương tác với khách hàng của họ theo cách tự động hóa
được vận hành, điều chỉnh và tích hợp vào hoạt động kinh doanh của họ
Một quỹ đạo được đề xuất
- Hướng dẫn sử dụng SOC (1985–2010): Con người điều hành mọi thứ.
- Hỗn hợp SOC (2010–2025): Con người và máy móc cùng chia sẻ quyền kiểm soát.
- Tự động SOC (2025–2040): Máy móc tiếp quản, con người giám sát.
Tương lai của SOC
Đối với các CISO, chúng tôi khuyến nghị như sau: Bạn nên bắt đầu xem xét lại những kế hoạch xây dựng hệ thống quy mô lớn mà bạn đang ấp ủ. SOC các nhóm phân tích. Thay vào đó, bạn nên bắt đầu lập kế hoạch cho mô hình không người. SOCĐối với các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP), chúng tôi đặc biệt khuyến nghị các bạn bắt đầu định vị mình như những người quản lý của... SOC Bạn sẽ là cầu nối giữa tốc độ máy móc và sự tin tưởng của khách hàng.
Va cho SOC Thưa các nhà phân tích, chúng tôi kỳ vọng rằng các bạn sẽ sớm chuyển từ vai trò người điều hành sang người giám sát, từ người phản hồi sang người hoạch định chiến lược. SOC Về mặt xử lý hàng ngày, hệ thống có thể tạm ngừng hoạt động, nhưng với việc các công ty cần quản trị và các nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) sẵn sàng can thiệp, nhiều loại công việc và vị trí mới sẽ xuất hiện, giống như chúng ta đã thấy đối với 100% các chức năng được tự động hóa.
