Connect with us

Carl Froggett, CIO of Deep Instinct – Interview Series

Rozhovory

Carl Froggett, CIO of Deep Instinct – Interview Series

mm
Published
Updated

Carl Froggett, je Chief Information Officer (CIO) společnosti Deep Instinct, podniku založeného na jednoduchém předpokladu: že deep learning, pokročilý podmnožina AI, může být aplikován na kybernetickou bezpečnost, aby zabránil více hrozbám, rychleji.

Pan Froggett má prokázanou historii budování týmů, architektury systémů, implementace softwaru pro velké podniky, jakož i sladění procesů a nástrojů s obchodními požadavky. Froggett dříve působil jako Head of Global Infrastructure Defense, CISO Cyber Security Services at Citi.

Vaše pozadí je ve finančním průmyslu, můžete sdílet svou historii, jak jste přešli do kybernetické bezpečnosti?

Začal jsem pracovat v kybernetické bezpečnosti na konci 90. let, když jsem byl v Citi, přecházel z role IT. Rychle jsem se dostal do vedoucí pozice, aplikoval jsem své zkušenosti z IT operací na se vyvíjející a náročnou oblast kybernetické bezpečnosti. Pracoval jsem v kybernetické bezpečnosti, měl jsem příležitost se zaměřit na inovace, a také nasazovat a provozovat technologická a kybernetická bezpečnostní řešení pro různé obchodní potřeby. Během svého působení v Citi, moje odpovědnosti zahrnovaly inovace, inženýrství, dodání a provoz globálních platforem pro podniky a zákazníky Citi po celém světě.

Byl jste součástí Citi více než 25 let a strávil jste většinu tohoto času vedením týmů odpovědných za bezpečnostní strategie a inženýrské aspekty. Co vás přimělo k přechodu do startupu Deep Instinct?

Připojil jsem se k Deep Instinct, protože jsem chtěl přijmout novou výzvu a použít své zkušenosti jiným způsobem. Během 15+ let jsem byl silně zapojen do kybernetických startupů a FinTech společností, mentoroval a rozšiřoval týmy, aby podporovaly obchodní růst, a některé společnosti jsem vedl až k IPO. Byl jsem seznámen s Deep Instinct a viděl, jak jejich unikátní, disruptivní deep learning (DL) technologie produkuje výsledky, které žádný jiný dodavatel nemůže. Chtěl jsem být součástí něčeho, co by mohlo zahájit novou éru ochrany firem proti škodlivým hrozbám, kterým čelíme každý den.

Můžete diskutovat, proč aplikace Deep Instinct deep learningu v kybernetické bezpečnosti je takovým game changerem?

Když Deep Instinct inicializoval, společnost si stanovila ambiciózní cíl revoluční kybernetické bezpečnostní odvětví, zavedením filozofie prevence jako prvního kroku, místo toho, aby byl na zadní noze s přístupem „zachytit, zareagovat, omezit“. S rostoucím počtem kybernetických útoků, jako je ransomware, zero-day exploitations a další dosud neviděné hrozby, status quo reaktivního bezpečnostního modelu nefunguje. Nyní, když pokračujeme ve vidění růstu hrozeb v objemu a rychlosti kvůli Generative AI, a když útočníci znovu vynalézají, inovují a obcházejí stávající kontroly, organizace potřebují prediktivní, preventivní schopnost, aby zůstaly o krok před špatnými aktéry.

Adversarial AI je na vzestupu s špatnými aktéry, kteří využívají WormGPT, FraudGPT, mutující malware a další. Vstoupili jsme do zásadního času, který vyžaduje, aby organizace bojovaly proti AI s AI. Ale ne všechny AI jsou vytvořeny stejně. Obrana proti adversarial AI vyžaduje řešení, která jsou poháněna pokročilejší formou AI, konkrétně deep learning (DL). Většina kybernetických bezpečnostních nástrojů využívá modely strojového učení (ML), které představují několik nedostatků pro bezpečnostní týmy, pokud jde o prevenci hrozeb. Například tyto nabídky jsou trénovány na omezených podmnožinách dostupných dat (obvykle 2-5%), nabízejí pouze 50-70% přesnost s neznámými hrozbami a zavádějí mnoho falešných pozitiv. Řešení ML také vyžadují značnou lidskou intervenci a jsou trénovány na malých datových sadách, vystavují je lidskému zkreslení a chybám. Jsou pomalé a nečinné, i na koncovém bodě, umožňují hrozbám setrvat, dokud se nespustí, místo aby s nimi nakládaly, zatímco jsou nečinné. To, co dělá DL efektivní, je jeho schopnost se samo-učit, jak spotřebuje data a pracuje autonomně, aby identifikoval, detekoval a zabránil složitým hrozbám.

DL umožňuje lídrům posunout se z tradiční „předpokládané porušení“ mentality na prediktivní preventivní přístup k boji proti AI-generovanému malwaru. Tento přístup pomáhá identifikovat a zmírnit hrozby, dříve než k nim dojde. Poskytuje extrémně vysokou míru účinnosti proti známým a neznámým malwarům a extrémně nízkou míru falešných pozitiv ve srovnání s ML-založenými řešeními. Jádro DL vyžaduje pouze aktualizaci jednou nebo dvakrát ročně, aby udrželo účinnost, a jelikož funguje nezávisle, nevyžaduje žádné trvalé cloudové vyhledávání nebo sdílení inteligence. To jej činí extrémně rychlým a citlivým na soukromí.

Jak je deep learning schopen prediktivně zabránit neznámému malwaru, který nebyl dříve setkán?

Neznámý malware je vytvořen několika způsoby. Jednou z běžných metod je změna hashu v souboru, což může být tak malé, jako přidání jednoho bytu. Řešení pro ochranu koncových bodů, které spoléhají na hash blacklisting, jsou zranitelná vůči takovým „mutacím“, protože jejich stávající hashové signatury nebudou odpovídat novým mutacím. Balení je další technikou, při které jsou binární soubory zabalené do packeru, který poskytuje obecnou vrstvu nad původním souborem — můžete si to představit jako masku. Nové varianty jsou také vytvořeny úpravou původního malwarového binárního souboru. To se provádí na funkcích, které bezpečnostní dodavatelé mohou podepsat, počínaje pevně zakódovanými řetězci, IP/adresami C&C serverů, registračními klíči, cestami souborů, metadaty nebo dokonce mutexy, certifikáty, offsety, jakož i příponami souborů, které jsou korelovány s šifrovanými soubory ransomwarem. Kód nebo jeho části mohou být také změněny nebo přidány, což umožňuje obcházet tradiční detekční techniky.

DL je založen na neuronové síti a používá svou „mozek“, aby se neustále učil na surových datech. Důležitým bodem je, že DL trénink spotřebuje vše dostupné údaje, bez jakékoliv lidské intervence ve výcviku — klíčový důvod, proč je tak přesný. To vede k velmi vysoké míře účinnosti a velmi nízké míře falešných pozitiv, což z něj činí hyper odolný vůči neznámým hrozbám. S naším DL rámcem, nezávisle na signaturách nebo vzorcích, takže naše platforma je imunní vůči modifikacím hashu. Úspěšně klasifikujeme zabalené soubory — ať už se jedná o jednoduché a známé, nebo dokonce FUDs.

Během fáze tréninku přidáváme „šum“, který mění surová data ze souborů, které krmit naše algoritmy, aby automaticky generovaly malé „mutace“, které jsou krmeny v každém tréninkovém cyklu během naší fáze tréninku. Tento přístup činí naši platformu odolnou vůči modifikacím, které jsou aplikovány na různé neznámé malwarové varianty, jako jsou řetězce nebo dokonce polymorfismus.

Přístup prevence jako první je často klíčem k kybernetické bezpečnosti, jak se Deep Instinct zaměřuje na prevenci kybernetických útoků?

Data jsou životní krví každé organizace a jejich ochrana by měla být prioritou. Stačí jeden škodlivý soubor, aby došlo k porušení. Během let byl „předpokládané porušení“ de facto bezpečnostním mentalitou, přijímající nevyhnutelnost, že data budou přístupná hrozbám. Nicméně, tato mentalita a nástroje založené na této mentalitě, selhaly ve poskytování dostatečné ochrany dat, a útočníci plně využívají tohoto pasivního přístupu. Naše nedávný výzkum ukázal, že bylo více incidentů ransomwaru v prvním pololetí 2023 než za celý rok 2022. Efektivní řešení této měnící se hrozby nevyžaduje pouze posun od „předpokládaného porušení“ mentality: znamená to, že společnosti potřebují zcela nový přístup a arzenál preventivních opatření. Hrozba je nová a neznámá, a je rychlá, což je důvod, proč vidíme tyto výsledky v incidentech ransomwaru. Stejně jako signatury nemohly držet krok s měnící se hrozbou, ani žádné stávající řešení založené na ML.

V Deep Instinct, využíváme sílu DL, aby poskytla preventivní přístup k ochraně dat. Deep Instinct Predictive Prevention Platform je první a jediné řešení založené na našem unikátním DL rámci, speciálně navrženém pro kybernetickou bezpečnost. Je to nejefektivnější, nejúčinnější a nejvíce důvěryhodné kybernetické bezpečnostní řešení na trhu, zabráňuje >99% zero-day, ransomwaru a dalších neznámých hrozeb v <20 milisekundách s nejnižší (<0,1%) mírou falešných pozitiv. Už jsme aplikovali náš unikátní DL rámec na zabezpečení aplikací a koncových bodů, a nedávno jsme rozšířili naše schopnosti o ochranu úložiště se spuštěním Deep Instinct Prevention for Storage.

Posun směrem k prediktivní prevenci pro ochranu dat je vyžadován, aby zůstal před zranitelnostmi, omezit falešné pozitivy a zmírnit stres bezpečnostních týmů. Jsme na předním místě této mise a začíná získávat trakci, protože více legacy dodavatelů nyní propaguje preventivní prvky.

Můžete diskutovat, jaký typ tréninkových dat je použit k trénování vašich modelů?

Jako ostatní AI a ML modely, náš model trénuje na datech. To, co činí náš model unikátním, je, že nepotřebuje data nebo soubory od zákazníků, aby se učil a rostl. Tento unikátní aspekt soukromí poskytuje našim zákazníkům další pocit bezpečí, když nasazují naše řešení. Přihlašujeme se k více než 50 kanálům, ze kterých stahujeme soubory, abychom trénovali náš model. Odtud validačně klasifikujeme data sami pomocí algoritmů, které jsme vyvinuli interně.

Vzhledem k tomuto tréninkovému modelu, musíme vytvořit pouze 2-3 nová „mozky“ ročně. Tato nová „mozka“ jsou distribuována nezávisle, což významně snižuje jakýkoli provozní dopad na naše zákazníky. To také nevyžaduje žádné trvalé aktualizace, aby držely krok s měnící se hrozbou. To je výhoda platformy poháněné DL a umožňuje nám poskytovat proaktivní, preventivní přístup, zatímco jiná řešení, která využívají AI a ML, poskytují reaktivní schopnosti.

Jakmile je repozitář připraven, vytváříme datové sady pomocí všech typů souborů s klasifikacemi malwaru a benigních, spolu s dalšími metadaty. Odtud dále trénujeme „mozek“ na všech dostupných datech — během tréninkového procesu neodmítáme žádná data, což přispívá k nízké míře falešných pozitiv a vysoké míře účinnosti. Tato data se neustále učí sama, bez našeho vstupu. Upřesňujeme výsledky, aby „mozek“ učil a pak pokračoval v učení. Je to velmi podobné tomu, jak funguje lidský mozek a jak se učíme — čím více se učíme, tím přesnější a chytřejší se stáváme. Nicméně, jsme extrémně opatrní, abychom se vyhnuli přeučení, aby náš DL „mozek“ nezapamatoval data místo toho, aby je pochopil.

Jakmile máme extrémně vysokou míru účinnosti, vytváříme inferenční model, který je nasazen u zákazníků. Když je model nasazen v této fázi, nemůže se učit nové věci. Nicméně, má schopnost interagovat s novými daty a neznámými hrozbami a určit, zda jsou škodlivé povahy. V podstatě činí „nultý den“ rozhodnutí o všem, co vidí.

Deep Instinct běží v kontejnerovém prostředí klienta, proč je to důležité?

Jedno z našich platformových řešení, Deep Instinct Prevention for Applications (DPA), nabízí možnost využít naše DL schopnosti prostřednictvím API / iCAP rozhraní. Tato flexibilita umožňuje organizacím vložit naše revoluční schopnosti do aplikací a infrastruktury, což znamená, že můžeme rozšířit naše dosah, aby zabránilo hrozbám pomocí obrany v hloubce kybernetické strategie. To je unikátní odlišovatel. DPA běží v kontejneru (který poskytujeme), a zarovnává se s moderními digitalizačními strategiemi, které naši zákazníci implementují, jako je migrace do kontejnerových prostředí pro aplikace a služby. Obecně, tito zákazníci také přijímají „shift left“ s DevOps. Naše API-orientovaný servisní model doplňuje to, aby umožnil agilní vývoj a služby, aby zabránil hrozbám.

S tímto přístupem Deep Instinct bezproblémově integruje do technologické strategie organizace, využívá stávající služby bez nových hardwarových nebo logistických starostí a bez nových provozních nákladů, což vede k velmi nízkým TCO. Využíváme všech výhod, které kontejnery nabízejí, včetně masivního auto-škálování na vyžádání, odolnosti, nízké latence a snadných upgradů. To umožňuje preventivní kybernetickou bezpečnostní strategii, vkládání ochrany hrozeb do aplikací a infrastruktury ve velkém měřítku, s eficencí, kterou stávající řešení nemohou dosáhnout. Díky charakteristikám DL, máme výhodu nízké latence, vysoké míry účinnosti / nízké míry falešných pozitiv, v kombinaci s citlivostí na soukromí – žádný soubor nebo data nikdy neopouští kontejner, který je vždy pod kontrolou zákazníka. Naše produkt nepotřebuje sdílet s cloudem, provádět analýzy nebo sdílet soubory / data, což z něj činí unikátní ve srovnání s jakýmkoliv stávajícím produktem.

Generative AI nabízí potenciál pro škálování kybernetických útoků, jak Deep Instinct udržuje rychlost, která je potřebná k odražení těchto útoků?

Náš DL rámec je založen na neuronových sítích, takže jeho „mozek“ pokračuje v učení a tréninku na surových datech. Rychlost a přesnost, s jakou náš rámec funguje, je výsledkem „mozku“, který je trénován na stovkách milionů vzorků. Jak tyto tréninkové datové sady rostou, neuronová síť pokračuje v tom, aby se stala chytřejší, což jí umožňuje být mnohem více detailní v pochopení toho, co činí soubor škodlivým. Protože může rozpoznat stavební bloky škodlivých souborů na úrovni detailu, než jakýkoli jiný řešení, DL zastavuje známé, neznámé a zero-day hrozby s lepší přesností a rychlostí než jiná etablovaná kybernetická bezpečnostní produkty. To, v kombinaci s tím, že náš „mozek“ nevyžaduje žádné cloudové analýzy nebo vyhledávání, činí jej unikátním. ML samo o sobě nebylo nikdy dostatečně dobré, což je důvod, proč máme cloudové analýzy, aby podpořily ML — ale to činí jej pomalým a reaktivním. DL prostě nemá tuto omezení.

Jaké jsou některé z největších hrozeb, které jsou zesíleny Generative AI, které by podniky měly vzít na vědomí?

Phishingové e-maily se staly mnohem sofistikovanějšími díky vývoji AI. Předtím byly phishingové e-maily obvykle snadno rozpoznatelné, protože byly obvykle prosáklé gramatickými chybami. Ale nyní útočníci používají nástroje, jako je ChatGPT, aby vytvořili více propracované, gramaticky správné e-maily v různých jazycích, které jsou obtížnější pro spamové filtry a čtenáře.

Jiným příkladem jsou deep fakes, které se staly mnohem realističtějšími a uvěřitelnějšími díky sofistikovanosti AI. Audio AI nástroje jsou také používány k simulaci hlasů výkonných ředitelů uvnitř společnosti, zanechávajících podvodné hlasové zprávy pro zaměstnance.

Jak je zmíněno výše, útočníci používají AI k vytváření neznámého malwaru, který může měnit své chování, aby obešel bezpečnostní řešení, vyhnul se detekci a šířil se efektivněji. Útočníci budou pokračovat v využívání AI, nejen k vytváření nových, sofistikovaných a dříve neviděných malwarů, které obejdou stávající řešení, ale také k automatizaci „konec-konec“ útočného řetězce. To bude významně snižovat jejich náklady, zvyšovat jejich rozsah a zároveň vést k útokům s více sofistikovanými a úspěšnými kampaněmi. Kybernetický průmysl musí přehodnotit stávající řešení, trénink a programy osvěty, na kterých jsme se spoléhali po dobu 15 let. Jak můžeme vidět v porušování letos, již selhávají a bude hůř.

Můžete stručně shrnout typy řešení, které nabízí Deep Instinct, pokud jde o aplikace, koncové body a úložiště?

Deep Instinct Predictive Prevention Platform je první a jediné řešení založené na unikátním DL rámci, speciálně navrženém pro řešení dnešních kybernetických bezpečnostních výzev — konkrétně, prevenci hrozeb, dříve než mohou spustit a přistát ve vašem prostředí. Platforma má tři pilíře:

  1. Bez agenta, v kontejnerovém prostředí, připojeném prostřednictvím API nebo ICAP: Deep Instinct Prevention for Applications je bezagentní řešení, které zabraňuje ransomwaru, zero-day hrozbám a jiným neznámým malwarům, dříve než dosáhnou vašich aplikací, bez dopadu na uživatelský zážitek.
  2. Založené na agentovi na koncovém bodě: Deep Instinct Prevention for Endpoints je samostatná platforma prevence před spuštěním — ne na spuštění, jako většina řešení dnes. Nebo může poskytnout skutečnou vrstvu prevence hrozeb, aby doplnila jakékoli stávající EDR řešení. Zabraňuje známým a neznámým, zero-day a ransomwarovým hrozbám před spuštěním, dříve než dojde k jakékoli škodlivé činnosti, což významně snižuje objem upozornění a snižuje falešné pozitivy, aby SOC týmy mohly se soustředit výhradně na vysoce věrohodné, legitimní hrozby.
  3. Prevence jako první přístup k ochraně úložiště: Deep Instinct Prevention for Storage nabízí prediktivní preventivní přístup k zastavení ransomwaru, zero-day hrozbám a jiným neznámým malwarům z infiltrace úložištních prostředí — ať už jsou data uložena místně nebo v cloudu. Poskytuje rychlé, extrémně účinné řešení pro centralizované úložiště pro zákazníky, aby zabránilo úložišti stát se místem propagace a distribuce pro jakékoli hrozby.

Děkuji za skvělou recenzi, čtenáři, kteří chtějí se dozvědět více, by měli navštívit Deep Instinct.

mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.