The Synergy of Human and Machine(Tools) in Modern Security Operations

Security operations can be divided into two essential components: human and machine.

The machine component is centered around automation, traditionally driven by databases and logical rules. In modern security operations, this has evolved to incorporate AI, particularly through large language models (LLMs), which combine logic and data processing into a powerful automated system. Machines are responsible for executing predefined tasks, analyzing data streams, and responding to threats automatically.

The human component involves the expertise, judgment, and decision-making capabilities of people. Security professionals—such as managers, architects, engineers, and analysts—are responsible for configuring and overseeing the machines. Humans are essential for setting security objectives, defining policies, and determining the specific use cases that the tools need to address. This requires continuous learning, staying informed about the latest threats, and understanding how global and industry-specific events impact their organization.

In a Security Operations Center (SOC), machines (tools) and humans (experts) must work together seamlessly. Machines provide the speed and efficiency needed to process vast amounts of data, while humans offer the critical thinking and contextual understanding necessary to interpret business decisions and act on that data effectively.

While machines enhance their capabilities by integrating data through APIs, humans must build their knowledge by studying articles, journals, and delving into region-specific, sector-specific, and organization-specific incidents. This knowledge allows them to configure and control the machines effectively, ensuring that the SOC can identify, protect against, detect, and respond to threats in a coordinated manner.

In essence, machines provide the automation, but it is the human element that gives direction, context, and strategic oversight, ensuring that security operations are not just reactive, but proactive and aligned with the organization's goals.

يمكن تقسيم عمليات الأمن إلى عنصرين أساسيين: الإنسان والآلة.

يدور العنصر الآلي حول الأتمتة، والتي كانت مدفوعة تقليديًا بقواعد البيانات والقواعد المنطقية. في عمليات الأمن الحديثة، تطور هذا ليشمل الذكاء الاصطناعي، وخاصة من خلال نماذج اللغة الكبيرة (LLMs)، والتي تجمع بين المنطق ومعالجة البيانات في نظام آلي قوي. الآلات مسؤولة عن تنفيذ المهام المحددة مسبقًا، وتحليل تدفقات البيانات، والاستجابة للتهديدات تلقائيًا.

يتضمن العنصر البشري الخبرة والحكم وقدرات اتخاذ القرار لدى الأشخاص. يتحمل المتخصصون في الأمن - مثل المديرين والمهندسين المعماريين والمهندسين والمحللين - مسؤولية تكوين الآلات والإشراف عليها. البشر ضروريون لتحديد أهداف الأمن، وتحديد السياسات، وتحديد حالات الاستخدام المحددة التي تحتاج الأدوات إلى معالجتها. يتطلب هذا التعلم المستمر، والبقاء على اطلاع بأحدث التهديدات، وفهم كيفية تأثير الأحداث العالمية والخاصة بالصناعة على مؤسستهم.

في مركز عمليات الأمن (SOC)، يجب أن تعمل الآلات (الأدوات) والبشر (الخبراء) معًا بسلاسة. توفر الآلات السرعة والكفاءة اللازمتين لمعالجة كميات هائلة من البيانات، في حين يقدم البشر التفكير النقدي والفهم السياقي اللازمين لتفسير قرارات العمل والتصرف بناءً على تلك البيانات بشكل فعال.

بينما تعمل الآلات على تعزيز قدراتها من خلال دمج البيانات من خلال واجهات برمجة التطبيقات، يتعين على البشر بناء معرفتهم من خلال دراسة المقالات والمجلات والبحث في الحوادث الخاصة بالمنطقة والقطاع والمنظمة. تتيح لهم هذه المعرفة تكوين الآلات والتحكم فيها بشكل فعال، مما يضمن قدرة مركز العمليات الأمنية على تحديد التهديدات والحماية منها واكتشافها والاستجابة لها بطريقة منسقة.

في الأساس، توفر الآلات الأتمتة، لكن العنصر البشري هو الذي يعطي التوجيه والسياق والإشراف الاستراتيجي، مما يضمن أن عمليات الأمن ليست مجرد عمليات تفاعلية، بل استباقية ومتوافقة مع أهداف المنظمة.