Является ли дополненная человеком автономная система SOC Нестандартная идея или следующий крупный успех для MSSP?
Люди и машины
В середине 90-х я с любопытством наблюдал, как компьютер IBM обыграл Гарри Каспарова в шахматы. В то время это казалось забавным фокусом из компьютерного салона – эта интересная программная машина могла противостоять чемпиону мира. Но, оглядываясь назад, я понимаю, что тот момент был явным предвестником того, что мы сейчас принимаем как неизбежное: в любой области, управляемой правилами, данными и распознаванием закономерностей, печальный факт заключается в том, что машины рано или поздно победят.
Информационная безопасность, и Центр оперативного управления безопасностью (SOC) В частности, она подчиняется именно таким ограничениям. Она основана на правилах, требует больших объемов данных и все больше полагается на распознавание образов для выявления атак. Нам потребовалось несколько десятилетий, чтобы прийти к этому, но я считаю, что сейчас мы стоим на пороге полномасштабного перехода от гибридной модели сотрудничества человека и машины к тому, что мы в TAG называем «отключением света». SOCПолностью автоматизированная и автономная система. Человек не требуется – по крайней мере, в традиционном понимании аналитика.
Но вот в чем загвоздка: то, что некоторые воспринимают как угрозу для SOC Рабочая сила может стать одной из самых больших возможностей для ППГЧНовый класс автономных систем, дополненных возможностями человека. SOC Появятся сервисы, где поставщики управляемых услуг безопасности (MSSP) будут управлять этими "сервисами".SOC «Облачные сервисы» от имени предприятий обеспечивают надзор, гарантию соответствия требованиям и контекстную информацию для взаимодействия с клиентами, в то время как ИИ выполняет основную работу.
Фактически, это может быть ключевой связью между людьми и машинами – слиянием, которое может обеспечить дальнейший карьерный рост для экспертов и значительно улучшить SOC функциональность. И помните, что наступление движется в направлении автономных атак, осуществляемых с помощью оружия, оснащенного искусственным интеллектом. Попытка справиться с этим силами человека или даже гибридами. SOC Служба поддержки не сработает. Давайте рассмотрим это подробнее.
Этапы SOC путешествие
Это путешествие к выключению света SOC Операция не была внезапной. Первый этап был полностью ручным.
Помните, как Клифф Столл гнался за Маркусом Хессом по системам Беркли из-за ошибки в бухгалтерском учете стоимостью 75 центов?
Или Билл Чесвик, управляющий ловушками в AT&T, чтобы поймать любопытного хакера по имени Берферд? Эти люди были…
легенды, и вся их работа выполнялась вручную, с использованием разумного человеческого мышления в основе. Они были
SOC.
Затем наступила гибридная эра операций безопасности. Metasploit HD Moore изменил правила игры.
Аналитики. Splunk улучшил анализ журналов. Инструменты SOAR повысили производительность. Но аналитик всё ещё сидел
Центральное сиденье. Мы называем это гибридом. SOC В последние несколько лет, но я считаю, что сейчас ИИ
находится в центре перехода
Влияние ИИ
Благодаря программам магистратуры управления правами (LLM), поведенческому анализу и разработке автономных агентов, искусственный интеллект (ИИ) позволяет полностью исключить человека из процесса. Современные платформы на основе ИИ уже превосходят людей в обнаружении и классификации вредоносной активности.
И они смогут справиться с натиском атак, управляемых исключительно искусственным интеллектом, который никогда не прекратится,
Постоянно корректировать свою работу и учиться на своих ошибках. Если это звучит пугающе, значит, вы на правильном пути к пониманию ситуации. Это должно помочь вам понять, почему переход на отключение света является важным шагом. SOCбудет не только
желательно, но будет необходимо.
Ошибка заключается в предположении, что SOC Для обработки задач всегда потребуется взаимодействие с человеком. Автономный
Принятие решений уже происходит в конечной точке. SOC Следующий шаг. Бороться с этой тенденцией — дело безнадежное.
Но, как было сказано выше, у людей будут огромные возможности для участия – но на определенном уровне.
контекст более высокого уровня, включая управление, курирование и мониторинг прогресса в повседневной работе
Они будут выбирать поставщиков, заменять автоматизированные инструменты, диагностировать проблемы и в целом обеспечивать корректную работу защитного ИИ.
И поскольку такая автоматизация будет распространяться на все типы компаний всех размеров и форм, особенно с
При участии MSSP, кажется возможным, что в этом контексте откроется больше рабочих мест для людей, чем существует
Сегодня. Люди будут необходимым интерфейсом в ППГЧ для связи с покупателями, особенно с теми, у кого меньше
опыт в SOC функции, чтобы обеспечить их надлежащую поддержку.
Можно, пожалуй, сказать, что в контексте MSSP это не совсем «безлюдная» операция. MSSP будут лучшими
возможность продолжать использовать людей для продаж и взаимодействия с клиентами в том виде, в котором это происходит благодаря автоматизации
управляется, настраивается и интегрируется в их бизнес
Предлагаемая траектория
- Ручная SOC (1985–2010): Всеми управляли люди.
- Гибридный SOC (2010–2025): Люди и машины совместно контролируют процесс.
- Автоматизированный SOC (2025–2040): Машины берут верх, люди контролируют ситуацию.
Будущее SOC
Руководителям служб информационной безопасности мы рекомендуем следующее: вам следует переосмыслить планы по созданию крупных объектов. SOC Аналитические команды. Вместо этого вам следует начать планировать работу с нулевым количеством сотрудников. SOCЧто касается MSSP, мы настоятельно рекомендуем вам начать позиционировать себя как менеджеров SOC в облаках. Вы станете тем человеческим мостом между скоростью работы машин и доверием клиентов.
И для SOC Аналитики, мы ожидаем, что вы вскоре перейдете от роли оператора к роли надзирателя, от роли реагирующего к роли стратега. SOC С точки зрения повседневной обработки данных, ситуация может ухудшиться, но поскольку компаниям требуется управление, а поставщики управляемых услуг безопасности (MSSP) готовы прийти на помощь, откроется множество новых типов рабочих мест и позиций, как это уже произошло со 100% автоматизированных функций.
