Chaim Mazal, Chief AI & Security Officer of Gigamon – Interview Series

Chaim Mazal je Chief AI a Security Officer ve společnosti Gigamon, kde je zodpovědný za globální bezpečnost, informační technologie, síťové operace, řízení, rizika, dodržování předpisů, interní obchodní systémy a bezpečnost produktů. Chaim také vede strategický program AI společnosti, který řídí governance, mezioborové přijetí a bezpečné, odpovědné použití AI. Byl uznán časopisem Security Magazine jako jedna z nejvlivnějších osobností v oblasti bezpečnosti 2025 a je celoživotním členem nadace OWASP a působí v poradních radách včetně Cloudflare, GitLab a Rapid7. V minulosti zastával seniorní vedoucí pozice ve několika lídrech odvětví, naposledy jako SVP of Technology a CISO ve společnosti Kandji.

Gigamon je společnost pro kybernetickou bezpečnost a technologii pozorovatelnosti, která se zaměřuje na poskytování hluboké viditelnosti do síťového provozu v hybridních a multi-cloudových prostředích. Jejich platforma zachycuje a analyzuje data v pohybu, včetně paketů, toků a metadat aplikací, aby poskytla akční přehledy bezpečnostním, cloudovým a IT nástrojům pro monitorování. To umožňuje organizacím detekovat skryté hrozby, zlepšit výkon, udržet soulad a snížit složitost odstraněním slepých míst v stále více distribuovaných a šifrovaných systémech. Společnost Gigamon je důvěryhodná velkými podniky a vládními organizacemi a pomáhá zajišťovat a spravovat moderní digitální infrastrukturu v rozsahu.

Měli jste jedinečnou cestu od strávení času v hackerských fórech jako teenager až po to, že jste se stal Chief AI a Security Officer ve společnosti Gigamon. Jak tyto rané zkušenosti utvořily váš způsob myšlení o moderních kybernetických hrozbách poháněných AI?

Získal jsem svůj první počítač ve věku osmi let a učil se experimentováním, konkrétně zjišťováním, jak funguje DOS, čtením manuálů a nakonec sám učil Visual Basic. Když jsem se více zapojil do internetových komunit, fascinovalo mě, jak lze software manipulovat a kde jsou systémy zranitelné. Tato zvědavost se vyvinula v testování penetrace webových aplikací a zajišťování bezpečnosti vývoje SaaS.

Co je zajímavé u moderních hrozeb, je to, že AI nevytváří nové slabosti, ale zvyšuje objevení a využívání stávajících. Díky tomuto ranému pohledu se na bezpečnost AI dívám tak, že předpokládám adversní použití od samého začátku, což mi pomáhá inženýrsky navrhnout obrany pro naše zákazníky ve společnosti Gigamon.

Pozorovali jste, že AI-generované phishing, ransomware a malware kampaně zkracují dobu do dopadu z týdnů na hodiny. Jaké konkrétní změny vidíte v tom, jak jsou tyto útoky navrhovány a nasazovány?

AI snížila práh pro kyberzločin. Psaní malwaru, vytváření přesvědčivých phishingových kampaní a identifikace zranitelností dříve vyžadovalo hluboké technické znalosti. Nyní lze tyto útoky urychlit a dokonce plně automatizovat pomocí nástrojů AI. Hackeři již nepotřebují silný technický background, aby spustili sofistikované kampaně, protože AI může generovat kód, vylepšovat sociální inženýrství a pomáhat operátorům při řešení problémů v reálném čase.

V důsledku toho se celý bezpečnostní pohled změnil. Bez rámců governance, požadavků na dodržování předpisů nebo etických omezení, která by je zpomalila, mohou útočníci experimentovat, přizpůsobovat se a nasazovat rychlostí a při minimálních nákladech. V důsledku toho se doba do dopadu dramaticky zkrátila a co dříve trvalo týdny, může se nyní stát během hodin. Mezitím jsou многие organizace stále ve fázi přijímání AI pro obranu, což znamená, že některé z nejúčinnějších použití AI jsou目前 poháněny útočníky.

Co zásadně odlišuje kybernetický útok poháněný AI od tradičních automatizovaných hrozeb, a můžete uvést příklad, který tento rozdíl osvětlí?

Co zásadně odlišuje kybernetický útok poháněný AI od tradičních automatizovaných hrozeb, je autonomie a vytrvalost. V minulosti běžely hackeři skript a zastavili se, když selhal. “Čas k životu” byl omezen na dobu, po kterou běžel automatizace. S AI jsou agenti vybaveni cílem a pokud selžou, nezastaví se. Pokračují v iteracích, hledají alternativní cesty k dosažení stejného cíle. Čas k životu je efektivní nekonečný.

Například u produkční závislosti na sestavení mohou útočníci vložit něco tak malého, jako dvě řádky skriptu, zatímco velikost souboru zůstává nezměněna, což znamená, že bajty vypadají identicky. Když je soubor zkompilován a spuštěn, spustí se terminálová instance, která instaluje autonomního agenta do firemního prostředí, který pak vykonává řadu škodlivých úkolů, které mohou iterovat neomezeně. V minulosti byly binární soubory považovány za vektory hrozeb po nasazení. Nyní jsou manipulovány neustále, včetně během procesu sestavení, aby provedly akty povolené AI uvnitř firemních prostředí.

Mnohé organizace stále spoléhají na tradiční bezpečnostní kontroly a zavedené playbooky. Proč tyto přístupy selhávají proti útokům poháněným AI, a kde vidíte nejnebezpečnější slepá místa?

Dosáhli jsme bodu, kdy pokud nemáte inovativní přístup a nezačleníte AI do svých bezpečnostních řešení a operací, jste již pozadu, a to platí pro velké společnosti i startupy. Organizace, které nezačleníte AI do své bezpečnostní strategie, riskují, že budou předstiženy útočníky, kteří se pohybují rychleji a operují v větší škále.

Říkáme, že obrana proti hrozbám poháněným AI nevyžaduje kompletní předefinování technologického stacku. Mnoho nástrojů, které podniky potřebují, je již k dispozici. Skutečný posun je v tom, jak účinně tyto nástroje využijete. Je to o posílení základů, aplikaci stávajících technologií inteligentněji a přizpůsobení obrany tak, aby zohledňovala neškolitele, ale AI-poháněné útočníky.

Útočníci využívají AI kreativně a strategicky. Pokud podniky nebudou mít obdobný strategický přístup, riskují vytvářet obrovská slepá místa. Lídři musí myslet jinak na to, jak nasazují nástroje, které již mají, integrují AI do svých operací a evoluční obrany proti rychlosti a škále dnešních útoků.

AI se zdá snižovat práh pro kyberzločin. Jak tato změna změnila profil dnešních útočníků, a jaké riziko to vytváří pro podniky?

AI umožnila téměř komukoli stát se hackером. S nástroji AI mohou nezkušení aktéři, dokonce i teenager, spustit sofistikované phishingové kampaně, nasadit rootkity a provést ransomware útoky, které dříve vyžadovaly značné technické znalosti.

Tato změna přidává novou úroveň nepředvídatelnosti do bezpečnostního prostředí. Místo toho, aby čelily menšímu počtu vysoce sofistikovaných skupin, nyní podniky čelí širšímu spektru aktérů, kteří experimentují rychle, učí se v reálném čase a spolupracují napříč online komunitami.

Pro organizace to znamená nejen více útoků, ale také větší variabilitu v tom, jak jsou provedeny. Podniky se musí připravit na bezpečnostní prostředí, kde schopnost již není přímo vázána na zkušenosti, a kde kdokoli může provést kampaně, které se rovnají těm historicky pokročilým skupinám.

Zdá se, že AI zrychluje jak útok, tak obranu. Dojde-li k tomu, že obranná AI bude reálně držet krok, nebo vstupujeme do období, kdy útočníci budou mít strukturální výhodu?

AI urychluje obě strany rovnice, ale v blízké budoucnosti si myslím, že útočníci mají výhodu. Nemusejí se řídit žádnými regulatorními omezeními, požadavky na dodržování předpisů nebo etickými zábranami. To znamená, že mohou experimentovat volně a iterovat zrychleným tempem. Na druhé straně musí podniky vyvažovat inovace s governance, soukromím a operačním rizikem, což přirozeně zpomaluje přijetí a implementaci AI.

Říkám, že úspěšné bezpečnostní taktiky nebudou pocházet z používání AI čistě pro prevenci. Bude vyžadovat integraci AI do detekce, vyšetřování a reakčních workflow, které jsou podporovány viditelností v reálném čase. Výhoda není permanentně na straně útočníka, ale zůstane tam, dokud organizace nepřestanou spoléhat se na prevenci. Skutečná škoda nastává, když útočník pronikne do sítě, často žije z prostředků a čeká na to, až bude moci vyextrahovat data. Lídři musí změnit přístup z “můžeme-li zabránit prolomení” na “jak rychle můžeme detekovat a odstranit vetřelce?”

Pohledem na útočníky, jaké druhy AI-poháněných nástrojů získávají trakci, a jak rychle se tyto schopnosti zlepšují?

Je to méně o tom, že jednotlivé nástroje AI pomáhají hackerům, a více o sdílení zdrojů. Místo toho, aby jeden nástroj běžel lineární proces, útočníci používají decentralizované agenty, kteří křížově referencují data a sdílejí informace kolektivně napříč různými nástroji. Výsledek funguje více jako útočný mesh nebo roj, než jako jednorázová schopnost.

Co je nejpozoruhodnější, je tempo zlepšování. Tyto schopnosti se mění denně a mnoho nástrojů, které jsou používány, byly teprve nedávno koncepty. Tempo inovace a iterace uvnitř útočných komunit se zrychluje rapidně, s novými technikami a nástroji, které se objevují téměř v reálném čase.

Ze strany obránců, jaké signály naznačují, že organizace čelí AI-poháněné kampani, spíše než konvenčnímu útoku?

Ze strany obránců je jedním z hlavních signálů, že průzkum již nevyžaduje sekvencí nebo kompartamentalizaci. Historicky by útočníci následovali jasná kroky – shromažďovali informace ve fázích, rozdělovali činnost a cíleně útočili na jeden povrch najednou. Nyní všechny tyto aktivity probíhají současně. Brány e-mailů, externě dostupné služby, účetní aktivita, techniky detekce a vyhnutí se jsou všechny cvičeny najednou, spíše než sekvenčně.

Dalším signálem je sjednocení a koordinace aktivity. Co dříve vypadalo jako kusové, je nyní kondenzováno a sdíleno kolektivně napříč nástroji, funguje více jako roj než jako jednorázový úsilí. Tyto agenty neustále iterují, přizpůsobují se a urychlují rozhodování kolem vektorů hrozeb a nejsou ochotni přijmout odpověď “ne”. Taková úroveň simultánní aktivity, koordinace a vytrvalosti silně naznačuje AI-poháněnou kampaň, spíše než konvenční útok.

Myslíte, že mnoho současných AI bezpečnostních nástrojů tyto hrozby úplně přehlíží. Co se pokoušejí udělat jinak, a které schopnosti jsou nejnaléhavěji potřeba?

Mnohé současné AI bezpečnostní nástroje jsou stále postaveny na chybné předpokladu, že prevence je primárním cílem. Dodavatelé pokračují v позиcionování AI jako lepší způsob, jak blokovat hrozby na periferii, ale útočníci jsou rychlejší, adapťovanější a stále více trpěliví, používají AI, deepfakes a pokročilý malware, který může uniknout kontrolám a zůstat nedetekován po měsíce.

Co je nejnaléhavěji potřeba, je komplexní, reálná viditelnost a silnější detekční a reakční schopnosti. Organizace musí implementovat nepřetržitou hodnocení rizika, udržovat viditelnost do šifrovaného provozu, kde se mnoho hrozeb skrývá, a využívat síťově odvozenou telemetrii a API, aby pochopily, co běží napříč jejich systémy a jak se data pohybují. Odolnost dnes není o tom, aby se zabránilo každé hrozbě, ale o tom, vidět, zastavit a naučit se od hrozeb, než eskalují.

Ohlížející se na příštích šest až dvanáct měsíců, jaké AI-poháněné útočné techniky očekáváte, že se stanou široce rozšířenými, a co by měly bezpečnostní týmy dělat nyní, aby se připravily?

Šest až dvanáct měsíců je obrovský časový úsek v tomto prostředí. Věci se realisticky mění každých šest až dvanáct týdnů. Rychlý pokrok AI činí obtížným předpovědět konkrétní techniky, které útočníci budou používat, takže se должно soustředit méně na hádání, co je další, a více na to, jak se připravit.

Obránci potřebují využít stejné AI-poháněné technologie, které útočníci používají, se silným zaměřením na obranu v hloubce. To znamená používat AI pro křížové referencování konstantních proudů dat napříč koncovými body v reálném čase, spoléhat se na neměnnou síťovou telemetrii, aby identifikovali transakční chování napříč privátním cloudem, veřejným cloudem a prostředím on-prem, a krmit tuto telemetrii do příslušných nástrojů, aby bezpečnostní týmy byli aktivně vědomi, kdy je jejich organizace prohledávána.

Současně je třeba vyřadit z provozu myšlení o perimetrové obraně. Není otázkou, zda dojde k AI-poháněnému prolomení, ale kdy. Prioritou je nyní brzká identifikace, snížení dopadu a včasná náprava. To zahrnuje mít pevný incidentní reakční plán, aplikovat principy nulové důvěry, vynucovat segmentaci sítě, udržovat správu přístupu s kontinuálními recenzemi a dělat dynamické úpravy podle potřeby, aby chránily zákaznická data a omezily dopad.

Děkuji za vhledné interview. Čtenáři, kteří mají zájem o hlubokou pozorovatelnost a AI-poháněnou síťovou bezpečnost, mohou navštívit Gigamon.