Перехід Splunk до агентського штучного інтелекту для спостережуваності та операцій безпеки поставив головне питання для CISO: чи зменшать ці можливості операційне навантаження чи створять нові форми складності? Під час нещодавнього .conf25 Splunk у Бостоні Frontier Enterprise поспілкувався з Майклом Феннінгом, керівником відділу інформаційних технологій Splunk, який пояснив, чому зміна може бути як трансформаційною, так і дестабілізуючою.
Чому ви перейшли з Oracle на Splunk?
Мої ролі в Symantec, Microsoft і Oracle були здебільшого зосереджені на виявленні та реагуванні на інциденти. Коли я приєднався до Oracle, мене найняли для запуску виявлення та реагування, а також для створення виявлення та реагування для Oracle Cloud. Ми були клієнтами Splunk в OCI, і коли з’явилася така можливість у Splunk, ми відчували себе особливо добре. Я завжди полягав у виявленні та реагуванні, тому перехід у компанію, яка створює інструменти, на які я покладався протягом усієї своєї кар’єри, мав сенс для мене.
Як безпека змінюється від реактивного до проактивного підходу?
З точки зору розробки продукту, ви чуєте концепцію зміщення ліворуч і праворуч, а також запобігання створенню вразливостей, які можуть виявитися в продукті. Питання полягає в тому, наскільки далеко ви можете просунутися вліво, щоб уникнути ситуації, коли буде виявлено вразливість у чомусь, що вже розгорнуто, або в тому, що збирається випустити, що змушує команди сповільнити запуск.
Інвестиції в концепції безпеки за проектом, які часто називають огорожею, і вбудовування цих елементів керування в процеси розробки та розгортання є надзвичайно корисними. Інциденти траплятимуться завжди. Реагування завжди буде необхідним, і те, як ви реагуєте, стає сигналом для клієнтів про те, наскільки серйозно ви ставитеся до безпеки та наскільки ви прозорі під час інциденту.
Це одна з ширших змін, які ми спостерігаємо. Кілька років тому багато технологічних компаній хотіли замовчувати інциденти та не говорити про них із клієнтами. Тепер прозорість із клієнтами стала невід’ємною частиною підтримки довіри.
Як агентські можливості ШІ Splunk змінять роль CISO?
Кілька різних способів. Один з них – ШІ для безпеки. Як ми можемо застосувати штучний інтелект у нашій організації, щоб стати ефективнішими та підвищити якість нашої роботи? SOC зможуть адаптувати агентські робочі процеси для більш швидкого виявлення та реагування.
Інша сторона — безпека для ШІ. Ми також несемо відповідальність за те, щоб можливості ШІ, про які ви чули, узгоджувалися з принципами безпеки за проектом, які я описав раніше. Ми хочемо випустити можливості ШІ, яким можна довіряти, які, як ми знаємо, безпечні та в яких клієнти можуть бути впевнені. Ми думаємо про обидва аспекти. З точки зору безпеки, це цікаво запроваджувати технологію, водночас гарантуючи, що вона розроблена безпечно.
Чи полегшить агентський ШІ виклики, з якими стикаються CISO?
Так і ні. Вони допоможуть у деяких сферах, але вони також створять нові виклики.
ШІ допоможе нам масштабуватись. Історично організації масштабувалися за допомогою людей, а потім для автоматизації частин роботи з’являлися такі функції, як DevOps, DevSecOps і розробка надійності сайту. Ми були рішучими прихильниками максимальної автоматизації безпеки за допомогою нашої власної автоматизації та використання платформи SOAR. Ми значною мірою покладаємося на SOAR, і це допомогло нам масштабуватися.
AI прискорює автоматизацію та знижує бар’єр для входу в автоматизацію будівель. Можливо, вам знадобиться менше інженерів Python, оскільки AI може допомогти створити автоматизацію, не вимагаючи глибокого досвіду кодування. Де все стає складніше, це ширший ландшафт загроз, створений завдяки інтеграції різних інструментів, які постачаються з ШІ. Ми бачимо такі технології, як MCP, протокол контексту моделі, RAG, LLM і клієнти MCP.
Усе це створює ширший ландшафт загроз, ніж той, з яким ми мали справу раніше. Ці технології застосовуються не лише в групах безпеки, а й у цілих компаніях, і вони створюють нові ризики. Нам потрібно визначити, як захиститися від них, і розробити управління та політику. Організації хочуть швидко запровадити технологію, але робити це потрібно безпечно. Баланс між інноваціями та безпекою є однією з найбільших проблем.
Однією з незвичайних речей штучного інтелекту є те, що він може бути створений соціально. Думати про це круто, але водночас і страшно.
Які проблеми залишаються в тому, як CISO спілкуються з радами директорів і виконавчими командами?
Дозвольте мені трохи більше розповісти про мою роль. До придбання я був заступником CISO, і ми з нашим CISO зустрічалися з радою директорів раз на квартал. У нас була виділена година для обговорення питань безпеки. Ми мали перевагу, тому що ми були охоронною організацією всередині охоронної компанії, тому в раді був досвідчений досвід.
Виклик, зрештою, полягає в тому, що ви працюєте з людьми, і вам потрібно зрозуміти інформацію, яка їм потрібна, щоб оцінити, чи ефективно ви виконуєте свою роботу. У нас був хороший діалог із нашою правлінням і було прозоро щодо того, що вони хотіли бачити та що вони хотіли, щоб обробляли по-іншому.
Більший розрив зв’язку, як правило, з радою директорів чи командою виконавчого керівництва, полягає в тому, щоб з’ясувати, як обговорювати дуже технічні проблеми на висоті, яка резонує з керівниками. Якщо я буду говорити про сервери та інструменти MCP із фінансовим директором, це не матиме резонансу. Що матиме резонанс, так це вплив: чи є фінансовий ризик, репутаційний ризик? Розуміння того, що резонує з ключовими зацікавленими сторонами, є ширшим завданням, незалежно від того, чи йдеться про кібербезпеку.
Коли ви працюєте на технічній посаді, ви звикли до деталей. Більшість людей на цих посадах мають дуже технічну освіту. Зрештою, вам потрібно навчитися передавати повідомлення та необхідні технічні деталі, але не обов’язково на тій глибині, яку ви використовували б у розмові з інженером.
Що означає для SOC стати агентурним?
AI створює можливості для автоматизації завдань, які виконуються дуже ручно. SOC історично мав багато ручних завдань. Якщо спрацьовує попередження, наприклад шкідливе програмне забезпечення на робочій станції, аналітик SOC зазвичай перевіряє, що робив користувач до та після події. Якщо є більше активності, аналітик працює за допомогою подальших ручних перевірок. SOAR допоміг усунути деякі з цих прогалин, визначивши, де можлива автоматизація.
Це можливо, оскільки завдання базується на наступних приписах Runbook або Playbooks на основі типу сповіщення. Штучний інтелект природно підходить для автоматизації цих завдань. Оскільки Splunk створює програмне забезпечення SOC, ми вважаємо, що можемо допомогти покращити якість і швидкість, з якою аналітик SOC може реагувати. Тоді агент штучного інтелекту може допомогти у виявленні, дослідженні та навіть виправленні, наприклад, закрити порт або помістити систему на карантин.
Завдяки штучному інтелекту всюди, де людина виконує ручні завдання, буде можливість збільшити швидкість виконання цих завдань.