Thinking Fast and Slow ในห้อง SOC: เมื่อเราต้องแยกแยะระหว่าง 'AI อัตโนมัติ' กับ 'AI ผู้ช่วย'


เมื่อไม่กี่วันก่อน ผมมีโอกาสได้นั่งคุยกับ CISO (ผู้อำนวยการฝ่ายความปลอดภัยสารสนเทศ) ของบริษัทยักษ์ใหญ่ระดับ Fortune 50 เกี่ยวกับการวางระบบ AI ในศูนย์ SOC (Security Operations Center) ทีมของเขาเก่งมากครับ มีการนำโมเดลล้ำๆ อย่าง Claude เข้ามาช่วยวิเคราะห์และสืบสวนภัยคุกคามแล้ว แต่ในขณะที่กำลังดูโครงสร้างระบบร่วมกัน ผมก็สะดุดใจกับปัญหาใหญ่อย่างหนึ่ง

ระบบที่พวกเขาออกแบบมานั้น มันทำงานได้ดีเยี่ยมกับแจ้งเตือน (Alerts) เพียงแค่ไม่กี่เปอร์เซ็นที่ต้องใช้ "มนุษย์" ในการตัดสินใจอย่างลึกซึ้ง แต่ระบบนี้กำลังปล่อยปะละเลยแจ้งเตือนที่เหลืออีกมหาศาล

ระหว่างนั่งเครื่องบินกลับบ้าน ผมเลยหยิบหนังสือระดับตำนานอย่าง "Thinking Fast and Slow" ของ Daniel Kahneman นักจิตวิทยาเจ้าของรางวัลโนเบลสาขาเศรษฐศาสตร์ขึ้นมาอ่านอีกครั้ง และมันทำให้ผมตระหนักว่า นี่แหละคือคำตอบของสิ่งที่ระบบความปลอดภัยไซเบอร์กำลังทำผิดพลาดอยู่ในปัจจุบัน

คานีแมนบอกว่า สมองของมนุษย์เราแบ่งการทำงานออกเป็น 2 ระบบที่ทำงานคู่ขนานกัน

  • System 1 (สมองคิดเร็ว): ทำงานอัตโนมัติ รวดเร็ว ไร้จิตสำนึก คอยจับแพทเทิร์นสิ่งรอบตัวเพื่อช่วยให้เรารอดชีวิต (มนุษย์ใช้ระบบนี้ถึง 95% ของชีวิตประจำวัน)
  • System 2 (สมองคิดช้า): ทำงานช้า ตรรกะสูง ต้องใช้ความพยายามอย่างมาก เช่น การอ่านสัญญาซับซ้อน หรือการตัดสินใจภายใต้ความกดดัน (เราใช้แค่ 5%) ซึ่งสมองส่วนนี้มีพลังงานจำกัด ถ้าใช้มันหนักเกินไป มันจะล้า และ System 1 จะเข้ามาคุมทันที
จุดสำคัญคือ: ความผิดพลาดของมนุษย์มักเกิดจากการ "ใช้สมองผิดประเภทกับงาน" การเอาสมองคิดช้าไปทำเรื่องที่ควรเป็นอัตโนมัติจะทำให้คนเบิร์นเอาท์ ส่วนการเอาสมองคิดเร็วไปตัดสินใจเรื่องซับซ้อนก็จะเกิดความผิดพลาดแบบมั่นใจผิดๆ

ตัวเลขที่ไม่ใช่เรื่องบังเอิญ 98% vs 2%

งานวิจัยจากการวิเคราะห์การแจ้งเตือนภัยคุกคามกว่า 25 ล้านครั้งในองค์กร พบว่า 98% ของ Alert ทั้งหมดสามารถจัดการได้โดยอัตโนมัติ และมีเพียง 2% เท่านั้นที่จำเป็นต้องให้มนุษย์เข้ามาตรวจสอบจริงๆ

สัดส่วนนี้มันแทบจะเท่ากับทฤษฎี System 1 และ System 2 ของคานีแมนแป๊ะๆ แต่สิ่งที่ CISO ส่วนใหญ่กำลังทำคือ การสร้าง SOC ที่มี "สมองก้อนเดียว" โดยบังคับให้ทีมวิเคราะห์ (Analysts) ใช้สมอง System 2 ไล่ตรวจงานที่เป็น System 1 ทั้งวัน ผลลัพธ์คือคนทำงานล้า เพลีย และภัยคุกคามรุนแรงต่ำ (Low-severity) กว่า 54 เคสต่อปี (ในองค์กรที่มี 450,000 Alerts/ปี) ก็จะหลุดรอดสายตาไป เพราะพลังงานสมองของมนุษย์หมดเกลี้ยงตั้งแต่ต้นวัน

System 1 สมองส่วนหน้าของ SOC สำหรับ Alert 98%

งานคัดกรอง Alert ส่วนใหญ่เป็นเรื่องของ System 1 ครับ เช่น ไฟล์นี้อันตรายไหม? ไอพีนี้เคยมีประวัติหรือเปล่า? การล็อกอินนี้ผิดปกติจากเดิมไหม? คำถามเหล่านี้ไม่ต้องใช้การตีความลึกซึ้ง แต่ต้องการ "คำตอบที่เร็วและครอบคลุม 100%"

ตรงนี้แหละครับที่เป็นหน้าที่ของ Autonomous AI (AI อัตโนมัติ) มันต้องทำงานอยู่เบื้องหลังตลอด 24 ชั่วโมง สแกนความจำ วิเคราะห์ไฟล์ ตรวจสอบพฤติกรรมข้ามระบบ ทั้ง Network, Cloud และ Endpoint แล้วทำการ "ตัดสิน (Verdict)" และปิดเคสที่เป็น Noise (สัญญาณรบกวน) ทิ้งไปทันที โดยไม่ต้องรอให้มนุษย์สั่งการ เพื่อคัดเหลือแค่ 2% ที่เป็นเนื้อน้ำส่งต่อให้มนุษย์

System 2 สมองคิดช้าของ SOC สำหรับอีก 2% ที่เหลือ

นี่คือจุดที่ AI Copilot (เช่น Claude, Codex, Corsor) ควรอยู่ครับ ไม่ใช่เพราะมันทำงานช้า แต่เพราะงานที่มันทำต้องการความละเอียด ละเมียด และการคิดวิเคราะห์ขั้นสูง เช่น การสืบสวนเคสที่ซับซ้อน การเขียนกฎการตรวจจับใหม่ๆ (Detection Rules) หรือการล่าภัยคุกคาม (Threat Hunting)

เมื่อ AI Copilot รับช่วงต่อจาก Autonomous AI มันจะไม่เริ่มจาก Alert ดิบๆ ที่ไม่มีหัวนอนปลายเท้า แต่จะเริ่มจาก "แฟ้มคดีที่สรุปหลักฐานมาให้พร้อมแล้ว" มนุษย์มีหน้าที่แค่ใช้ความคิดสร้างสรรค์ บริบทขององค์กร และวิจารณญาณในการตัดสินใจ จากเดินที่ต้องสลับหน้าจอไปมาทั้งวัน ก็จะเหลือแค่การตรวจสอบและอนุมัติ ซึ่งตอบโจทย์ที่มนุษย์ควรทำจริงๆ

ยิ่งไปกว่านั้น ทุกๆ การตัดสินใจของสมอง System 2 (มนุษย์ + Copilot) จะถูกส่งกลับไปเป็นบทเรียนให้สมอง System 1 (Autonomous AI) ฉลาดขึ้นและแม่นยำขึ้นในเดือนถัดไป เป็นวงจรที่พัฒนาตัวเองอย่างไม่มีที่สิ้นสุด

2 โมเดลความล้มเหลวที่เกิดขึ้นในปัจจุบัน

  1. ใช้คนทำ System 1: ปล่อยให้ Analyst นั่งกดปิด Alert มือเป็นระบิงวันละหลายร้อยครั้ง ผลคือสมองล้า คัดกรองลวกๆ ภัยคุกคามหลุดรอด และแก้ปัญหาด้วยการเพิ่มคน ซึ่งเป็นการแก้ปัญหาไม่ถูกจุด
  2. ใช้ Frontier AI ล้ำ มาทำ System 1: เอาโมเดลใหญ่ๆ แพงๆ มาสั่งให้สแกน Alert ดิบทุกตัว ซึ่งนอกจากต้องใช้มนุษย์คอยป้อนคำสั่ง (Prompt) ตลอดเวลาแล้ว ค่า Token ยังแพงมหาศาลจนใช้งานจริงในระดับโปรดักชันไม่ได้ สุดท้ายองค์กรก็ต้องแอบปิด Alert ระดับต่ำไปอยู่ดี

บทสรุปของ SOC ยุคใหม่

ศูนย์ SOC ที่จะอยู่รอดประสบความสำเร็จนี้นับจากนี้ คือศูนย์ที่เลียนแบบโครงสร้างสมองมนุษย์ได้อย่างถูกต้องครับ

  • System 1 (Autonomous AI): ตรวจสอบทุกสิ่ง 100% ตัดสินใจใน 2 นาที แม่นยำ 98% โดยไม่ต้องรอคำสั่ง
  • System 2 (Analyst + Copilot): นำข้อมูลที่ผ่านการกรองแล้วมาวิเคราะห์เชิงลึก วางกลยุทธ์ และควบคุมภาพรวม
และที่สำคัญ องค์กรอำนวยความสะดวกให้ข้อมูลและการเรียนรู้เหล่านี้เก็บไว้ใน "ฐานข้อมูลของตัวเอง" (In-house) ไม่ใช่โยนไปให้ผู้ให้บริการภายนอก (MDR) ทั้งหมด เพราะถ้าเราไม่เป็นเจ้าของข้อมูลความรู้ (Knowledfe Layer) นี้ สมองคิดช้า (System 2) ของเราก็จะไม่เติบโตและไม่มีวัตถุดิบในการทำงานครับ

ในโลกไซเบอร์ยุคปัจจุบัน ทีมที่ชนะไม่่ทีมที่มีคนเยอะที่สุด หรือมี AI โมเดลที่ฉลาดที่สุด แต่คือทีมที่จัดวางโครงสร้างให้ AI ทำหน้าที่ปฏิบัติการ (Execute) และให้มนุษย์ทำหน้าที่ควบคุมดูแล (Supervise) อย่างลงตัวที่สุดครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก