Свържете се с нас
   Интервюта  
Карл Фрогет, CIO на Deep Instinct – Серия интервюта
 mm
Публикуван
 Преди 6 месеца
 on
   
 
Карл Фрогет,  е главен информационен директор (CIO) на Дълбок инстинкт, предприятие основано на проста предпоставка: това дълбоко учене, усъвършенствано подмножество на AI, може да се приложи към киберсигурността, за да предотврати повече заплахи, по-бързо.
Г-н Фрогет има доказан опит в изграждането на екипи, системна архитектура, широкомащабно внедряване на корпоративен софтуер, както и привеждане на процеси и инструменти в съответствие с бизнес изискванията. Фрогет е бил бивш ръководител на глобалната инфраструктурна защита, CISO Cyber ​​Security Services в Citi.
Вашият опит е във финансовата индустрия, бихте ли споделили историята си за това как след това преминахте към киберсигурността?
Започнах да работя в областта на киберсигурността в края на 90-те, когато бях в Citi, преминавайки от ИТ роля. Бързо се преместих в лидерска позиция, прилагайки опита си в ИТ операциите в развиващия се и изпълнен с предизвикателства свят на киберсигурността. Работейки в областта на киберсигурността, имах възможността да се съсредоточа върху иновациите, като същевременно внедрявам и управлявам технологии и решения за киберсигурност за различни бизнес нужди. По време на престоя ми в Citi моите отговорности включваха иновации, инженеринг, доставка и операции на глобални платформи за бизнеса и клиентите на Citi в световен мащаб.
Вие бяхте част от Citi повече от 25 години и прекарахте голяма част от това време, ръководейки екипи, отговорни за стратегиите за сигурност и инженерните аспекти. Какво ви примами да се присъедините към стартъпа Deep Instinct?
Присъединих се към Deep Instinct, защото исках да поема ново предизвикателство и да използвам опита си по различен начин. В продължение на 15+ години бях активно ангажиран в киберстартъпи и FinTech компании, като наставлявах и развивах екипи в подкрепа на растежа на бизнеса, извеждайки някои компании до IPO. Бях запознат с Deep Instinct и видях, че тяхната уникална, разрушителна технология за дълбоко обучение (DL) дава резултати, които никой друг доставчик не би могъл. Исках да бъда част от нещо, което ще постави началото на нова ера на защита на компаниите срещу злонамерените заплахи, с които се сблъскваме всеки ден.
Можете ли да обсъдите защо приложението на Deep Instinct за задълбочено обучение към киберсигурността е такава промяна на играта?
Когато Deep Instinct първоначално се формира, компанията си постави амбициозна цел да революционизира индустрията за киберсигурност, като въведе философия на първо място за превенция, вместо да бъде на заден крак с подхода „откриване, реагиране, ограничаване“. С увеличаващите се кибератаки, като рансъмуер, експлоатация от нулев ден и други невиждани досега заплахи, реакционният модел на сигурност на статуквото не работи. Сега, докато продължаваме да виждаме заплахите да нарастват в обем и скорост поради Generative AI и докато атакуващите преоткриват, обновяват и избягват съществуващите контроли, организациите се нуждаят от предсказваща, превантивна способност, за да бъдат една крачка пред лошите участници.
Състезателният AI е във възход с лоши актьори, които използват WormGPT, FraudGPT, мутиращ злонамерен софтуер и др. Навлязохме в ключово време, което изисква от организациите да се борят с AI с AI. Но не всеки AI е създаден еднакъв. Защитата срещу конкурентен AI изисква решения, които се захранват от по-сложна форма на AI, а именно дълбоко обучение (DL). Повечето инструменти за киберсигурност използват модели на машинно обучение (ML), които представят няколко недостатъка на екипите по сигурността, когато става въпрос за предотвратяване на заплахи. Например, тези предложения се обучават на ограничени подгрупи от налични данни (обикновено 2-5%), предлагат само 50-70% точност с неизвестни заплахи и въвеждат много фалшиви положителни резултати. Решенията за машинно обучение също изискват тежка човешка намеса и се обучават върху малки набори от данни, което ги излага на човешки пристрастия и грешки. Те са бавни и неотзивчиви дори в крайната точка, оставяйки заплахите да се задържат, докато не се изпълнят, вместо да се справят с тях, докато са латентни. Това, което прави DL ефективен, е способността му да се самообучава, докато поглъща данни и работи автономно за идентифициране, откриване и предотвратяване на сложни заплахи.
DL позволява на лидерите да преминат от традиционния манталитет на „предполагане на нарушение“ към подход за предсказуема превенция за ефективна борба с генерирания от AI зловреден софтуер. Този подход помага да се идентифицират и смекчат заплахите, преди да се случат. Той осигурява изключително висок процент на ефикасност срещу познат и неизвестен злонамерен софтуер и изключително ниски проценти на фалшиво положителни резултати спрямо решения, базирани на машинно обучение. DL ядрото изисква актуализация само веднъж или два пъти годишно, за да поддържа тази ефикасност и тъй като работи независимо, не изисква постоянни търсения в облака или споделяне на информация. Това го прави изключително бърз и лесен за поверителност.
Как задълбоченото обучение е в състояние предсказуемо да предотврати неизвестен зловреден софтуер, който никога преди не е бил срещан?
Неизвестният злонамерен софтуер се създава по няколко начина. Един често срещан метод е промяна на хеша във файла, който може да бъде толкова малък, колкото добавянето на байт. Решенията за сигурност на крайните точки, които разчитат на хеш черни списъци, са уязвими към такива „мутации“, тъй като техните съществуващи хеширащи сигнатури няма да съответстват на хешовете на тези нови мутации. Пакетирането е друга техника, при която бинарните файлове се пакетират с пакет, който предоставя общ слой върху оригиналния файл - мислете за това като за маска. Създават се и нови варианти чрез модифициране на самия оригинален двоичен файл на зловреден софтуер. Това се прави върху функциите, които доставчиците на сигурност могат да подписват, като се започне от твърдо кодирани низове, имена на IP/домейни на C&C сървъри, ключове в регистъра, файлови пътища, метаданни или дори мутекси, сертификати, отмествания, както и файлови разширения, които са свързани с криптираните файлове от ransomware. Кодът или части от код също могат да бъдат променяни или добавяни, което избягва традиционните техники за откриване.
DL е изграден върху невронна мрежа и използва своя „мозък“, за да се обучава непрекъснато върху необработени данни. Важен момент тук е, че DL обучението използва всички налични данни, без човешка намеса в обучението - ключова причина, поради която е толкова точно. Това води до много висок процент на ефикасност и много нисък процент на фалшиви положителни резултати, което го прави свръхустойчив на неизвестни заплахи. С нашата DL рамка ние не разчитаме на подписи или шаблони, така че нашата платформа е имунизирана срещу хеш модификации. Ние също така успешно класифицираме опаковани файлове - независимо дали използваме прости и известни, или дори FUD.
По време на фазата на обучение добавяме „шум“, който променя необработените данни от файловете, които подаваме в нашия алгоритъм, за да генерираме автоматично леки „мутации“, които се подават във всеки цикъл на обучение по време на нашата фаза на обучение. Този подход прави нашата платформа устойчива на модификации, които се прилагат към различни неизвестни варианти на зловреден софтуер, като низове или дори полиморфизъм.
Нагласата за превенция на първо място често е ключова за киберсигурността, как Deep Instinct се фокусира върху предотвратяването на кибератаки?
Данните са жизнената сила на всяка организация и защитата им трябва да бъде от първостепенно значение. Необходим е само един злонамерен файл, за да бъде пробит. В продължение на години „предполагаем пробив“ е де факто нагласата за сигурност, приемаща неизбежността данните да бъдат достъпни от заплахи. Въпреки това, този начин на мислене и инструментите, базирани на този манталитет, не успяха да осигурят адекватна сигурност на данните и нападателите се възползват напълно от този пасивен подход. Нашите скорошни проучвания установи, че през първата половина на 2023 г. е имало повече инциденти с рансъмуер, отколкото през цялата 2022 г. Ефективното справяне с този променящ се пейзаж на заплахите не изисква просто отдалечаване от мисленето на „предполагане на нарушение“: това означава, че компаниите се нуждаят от изцяло нов подход и арсенал от превантивни мерки. Заплахата е нова и неизвестна и е бърза, поради което виждаме тези резултати при инциденти с ransomware. Точно както подписите не могат да се справят с променящия се пейзаж на заплахите, нито всяко съществуващо решение, базирано на ML.
В Deep Instinct използваме силата на DL, за да предоставим подход на първо място за превенция към сигурността на данните. The Платформа за предсказуема превенция на Deep Instinct е първото и единствено решение, базирано на нашата уникална DL рамка, специално проектирана за киберсигурност. Това е най-ефикасното, ефективно и надеждно решение за киберсигурност на пазара, предотвратяващо >99% от нулевия ден, ransomware и други неизвестни заплахи за <20 милисекунди с най-ниския процент на фалшиви положителни резултати в индустрията (<0.1%). Вече приложихме нашата уникална DL рамка за защита приложения намлява крайни точки, а наскоро разшири възможностите за защита на съхранението с пускането на Deep Instinct Prevention за съхранение.
Необходима е промяна към предсказуема превенция за сигурността на данните, за да се изпревари уязвимостите, да се ограничат фалшивите положителни резултати и да се облекчи стресът на екипа по сигурността. Ние сме в челните редици на тази мисия и тя започва да набира скорост, тъй като все повече наследени доставчици рекламират възможностите за превенция на първо място.
Можете ли да обсъдите какъв тип данни за обучение се използват за обучение на вашите модели?
Подобно на други AI и ML модели, нашият модел се обучава върху данни. Това, което прави нашия модел уникален е, че не се нуждае от данни или файлове от клиенти, за да се учи и да расте. Този уникален аспект на поверителност дава на нашите клиенти допълнително чувство за сигурност, когато внедряват нашите решения. Ние се абонираме за повече от 50 емисии, от които изтегляме файлове, за да обучим нашия модел. Оттам ние сами валидираме и класифицираме данните с алгоритми, които сме разработили вътрешно.
Поради този модел на обучение трябва да създаваме средно само 2-3 нови „мозъци“ годишно. Тези нови мозъци се изтласкват независимо, като значително намаляват всякакво оперативно въздействие върху нашите клиенти. Освен това не изисква постоянни актуализации, за да бъде в крак с променящия се пейзаж на заплахите. Това е предимството на платформата, която се захранва от DL и ни позволява да осигурим проактивен подход, насочен първо към превенцията, докато други решения, които използват AI и ML, предоставят реакционни способности.
След като хранилището е готово, ние изграждаме набори от данни, използвайки всички типове файлове със злонамерени и доброкачествени класификации заедно с други метаданни. Оттам нататък обучаваме мозъка на всички налични данни – не изхвърляме никакви данни по време на процеса на обучение, което допринася за ниски фалшиви положителни резултати и висока степен на ефикасност. Тези данни непрекъснато се учат сами без нашия принос. Ние променяме резултатите, за да научим мозъка и след това той продължава да учи. Това е много подобно на това как работи човешкият мозък и как учим – колкото повече ни учат, толкова по-точни и по-умни ставаме. Ние обаче сме изключително внимателни, за да избегнем пренастройването, за да попречим на нашия DL мозък да запаметява данните, вместо да ги учи и разбира.
След като постигнем изключително високо ниво на ефикасност, ние създаваме модел за изводи, който се прилага на клиентите. Когато моделът е разгърнат на този етап, той не може да научи нови неща. Той обаче има способността да взаимодейства с нови данни и неизвестни заплахи и да определя дали те са злонамерени по природа. По същество той взема решение за „нулев ден“ за всичко, което вижда.
Deep Instinct работи в клиентска контейнерна среда, защо е важно това?
Едно от нашите платформени решения, Deep Instinct Prevention for Applications (DPA), предлага възможност за използване на нашите DL възможности чрез API/iCAP интерфейс. Тази гъвкавост позволява на организациите да вграждат нашите революционни възможности в приложения и инфраструктура, което означава, че можем да разширим обхвата си, за да предотвратим заплахи, използвайки кибер стратегия за задълбочена защита. Това е уникален диференциатор. DPA работи в контейнер (който предоставяме) и е в съответствие със съвременните стратегии за дигитализация, които нашите клиенти прилагат, като мигриране към локални или облачни контейнерни среди за техните приложения и услуги. Като цяло, тези клиенти също приемат „изместване наляво“ с DevOps. Нашият API-ориентиран модел на услуги допълва това, като позволява Agile разработка и услуги за предотвратяване на заплахи.
С този подход Deep Instinct безпроблемно се интегрира в технологичната стратегия на организацията, използвайки съществуващи услуги без проблеми с нов хардуер или логистика и без нови оперативни разходи, което води до много ниска TCO. Ние използваме всички предимства, които контейнерите предлагат, включително масивно автоматично мащабиране при поискване, устойчивост, ниска латентност и лесни надстройки. Това дава възможност за стратегия за киберсигурност на първо място в превенцията, вграждайки предотвратяване на заплахи в приложения и инфраструктура в огромен мащаб, с ефективност, която наследените решения не могат да постигнат. Благодарение на характеристиките на DL ние имаме предимството на ниска латентност, висока ефикасност/нисък процент на фалшиви положителни резултати, комбинирани с чувствителност към поверителността – нито един файл или данни никога не напускат контейнера, който винаги е под контрола на клиента. Нашият продукт не трябва да споделя с облака, да прави анализи или да споделя файловете/данните, което го прави уникален в сравнение с всеки съществуващ продукт.
Generative AI предлага потенциал за мащабиране на кибератаки, как Deep Instinct поддържа скоростта, необходима за отклоняване на тези атаки?
Нашата DL рамка е изградена върху невронни мрежи, така че нейният „мозък“ продължава да се учи и да се обучава на необработени данни. Скоростта и точността, с която работи нашата рамка, е резултат от обучението на мозъка върху стотици милиони проби. Тъй като тези набори от данни за обучение растат, невронната мрежа непрекъснато става по-интелигентна, което й позволява да бъде много по-подробна в разбирането какво прави злонамерен файл. Тъй като може да разпознае градивните елементи на злонамерените файлове на по-подробно ниво от всяко друго решение, DL спира известни, неизвестни и заплахи от нулев ден с по-добра точност и скорост от други утвърдени продукти за киберсигурност. Това, съчетано с факта, че нашият „мозък“ не изисква никакви базирани на облак анализи или търсения, го прави уникален. ML сам по себе си никога не е бил достатъчно добър, поради което разполагаме с облачен анализ в основата на ML – но това го прави бавен и реактивен. DL просто няма това ограничение.
Кои са някои от най-големите заплахи, които се усилват с Generative AI, които предприятията трябва да вземат под внимание?
Фишинг имейлите станаха много по-сложни благодарение на еволюцията на AI. Преди фишинг имейлите обикновено бяха лесни за забелязване, тъй като обикновено бяха изпъстрени с граматически грешки. Но сега заплахите използват инструменти като ChatGPT, за да създават по-задълбочени, граматически правилни имейли на различни езици, които са по-трудни за улавяне от спам филтрите и читателите.
Друг пример са дълбоките фалшификати, които са станали много по-реалистични и правдоподобни поради сложността на AI. Аудио AI инструментите също се използват за симулиране на гласове на ръководители в компания, оставяйки измамни гласови съобщения за служителите.
Както беше отбелязано по-горе, нападателите използват AI, за да създадат неизвестен зловреден софтуер, който може да промени поведението си, за да заобиколи решенията за сигурност, да избегне откриването и да се разпространява по-ефективно. Нападателите ще продължат да използват AI не само за изграждане на нов, усъвършенстван, уникален и неизвестен досега злонамерен софтуер, който ще заобиколи съществуващите решения, но и за автоматизиране на веригата на атаки „от край до край“. Това ще намали значително техните разходи, ще увеличи техния мащаб и в същото време ще доведе до атаки с по-сложни и успешни кампании. Кибериндустрията трябва да преосмисли съществуващите решения, обучения и програми за информираност, на които сме разчитали през последните 15 години. Както можем да видим в нарушенията само тази година, те вече се провалят и ще става още по-лошо.
Бихте ли обобщили накратко типовете решения, предлагани от Deep Instinct, когато става въпрос за приложения, крайни точки и решения за съхранение?
Платформата за предсказуема превенция Deep Instinct е първото и единствено решение, базирано на уникална DL рамка, специално проектирана за решаване на днешните предизвикателства пред киберсигурността — а именно предотвратяване на заплахи, преди да могат да се изпълнят и да достигнат до вашата среда. Платформата има три стълба:
  1. Без агент, в контейнерна среда, свързана чрез API или ICAP: Deep Instinct Prevention за приложения е решение без агенти, което предотвратява рансъмуер, заплахи от нулев ден и друг неизвестен злонамерен софтуер, преди да достигнат до вашите приложения, без да оказва влияние върху потребителското изживяване.
  2. Базирано на агент на крайната точка: Deep Instinct Prevention за крайни точки е самостоятелна първа платформа за предотвратяване преди изпълнение — не при изпълнение като повечето решения днес. Или може да осигури действителен слой за предотвратяване на заплахи допълват всички съществуващи EDR решения. Предотвратява предварителното изпълнение на известни и неизвестни, заплахи от нулевия ден и рансъмуер, преди каквато и да е злонамерена дейност, като значително намалява обема на сигналите и фалшивите положителни сигнали, така че екипите на SOC да могат да се съсредоточат изключително върху висококачествени, легитимни заплахи.
  3. Подход на първо място за превенция към защита на съхранението: Deep Instinct Prevention for Storage предлага предсказуем превантивен подход за спиране на рансъмуер, заплахи от нулев ден и друг неизвестен злонамерен софтуер от проникване в среди за съхранение – независимо дали данните се съхраняват на място или в облака. Осигуряването на бързо, изключително високоефективно решение за централизираното хранилище за клиентите предотвратява превръщането на хранилището в точка за разпространение и разпространение на всякакви заплахи.
Благодарим ви за страхотния преглед, читателите, които искат да научат повече, трябва да го посетят Дълбок инстинкт.
       
 Свързани теми:
 mm
Основател на unite.AI и член на Технологичен съвет на Forbes, Антоан е а футурист който е страстен за бъдещето на AI и роботиката.
Той е и основател на Ценни книжа.io, уебсайт, който се фокусира върху инвестирането в революционни технологии.