Connect with us

Carl Froggett, CIO of Deep Instinct – Interview Serie

Interviews

Carl Froggett, CIO of Deep Instinct – Interview Serie

mm
Published
Updated

Carl Froggett, er Chief Information Officer (CIO) af Deep Instinct, et entreprise grundlagt på en simpel præmis: at deep learning, en avanceret undergruppe af AI, kunne anvendes til cybersecurity for at forhindre flere trusler, hurtigere.

Hr. Froggett har en dokumenteret track record i opbygning af hold, systemsarkitektur, stor skala enterprise software implementation samt alignment af processer og værktøjer med forretningskrav. Froggett var tidligere Head of Global Infrastructure Defense, CISO Cyber Security Services at Citi.

Dit baggrund er i finansindustrien, kan du dele din historie om, hvordan du derefter skiftede til cybersecurity?

Jeg begyndte at arbejde med cybersecurity i slutningen af 90’erne, da jeg var hos Citi, og skiftede fra en IT-rolle. Jeg rykkede hurtigt op i en ledelsesposition og anvendte min erfaring i IT-drift til den udviklende og udfordrende verden af cybersecurity. Arbejdende med cybersecurity havde jeg mulighed for at fokusere på innovation samt udvikle og køre teknologi- og cybersecurityløsninger for forskellige forretningsbehov. Under min tid hos Citi omfattede mine ansvarsområder innovation, ingeniørarbejde, levering og drift af globale platforme til Citi’s forretninger og kunder globalt.

Du var en del af Citi i over 25 år og tilbragte meget af denne tid med at lede hold, der var ansvarlige for sikkerhedsstrategier og ingeniøraspekter. Hvad var det, der fristede dig til at tilslutte dig Deep Instinct-startup?

Jeg tilsluttede mig Deep Instinct, fordi jeg ønskede at tage på en ny udfordring og bruge min erfaring på en anden måde. I mere end 15 år var jeg tungt involveret i cyber-startups og FinTech-virksomheder, hvor jeg vejledte og voksede hold for at støtte forretningsvækst, og jeg førte nogle virksomheder gennem til IPO. Jeg var bekendt med Deep Instinct og så deres unikke, disruptive deep learning (DL)-teknologi producere resultater, som ingen anden leverandør kunne. Jeg ønskede at være en del af noget, der ville indlede en ny æra med at beskytte virksomheder mod de skadelige trusler, vi står over for hver dag.

Kan du diskutere, hvorfor Deep Instincts anvendelse af deep learning til cybersecurity er sådan en game changer?

Da Deep Instinct oprindeligt blev dannet, satte virksomheden et ambitiøst mål om at revolutionere cybersecurity-industrien ved at introducere en prevention-first-filosofi i stedet for at være på defensiven med en “detekter, reager, indeholde”-tilgang. Med øgende cyberangreb, som ransomware, zero-day-udnyttelser og andre hidtil usete trusler, fungerer den nuværende reaktive sikkerhedsmodel ikke. Nu, da vi fortsat ser en stigning i trusler i volumen og hastighed på grund af Generative AI, og da angribere genopfinder, innovrer og undgår eksisterende kontroller, har organisationer brug for en predictiv, forebyggende kapacitet for at holde sig et skridt foran de dårlige aktører.

Adversarial AI er på vej op med dårlige aktører, der udnytter WormGPT, FraudGPT, muterende malware og mere. Vi er indtrådt i en afgørende tid, som kræver, at organisationer kæmper AI med AI. Men ikke al AI er skabt lige. Forsvar mod adversarial AI kræver løsninger, der er drevet af en mere sofistikeret form for AI, nemlig deep learning (DL). De fleste cybersecurity-værktøjer udnytter machine learning (ML)-modeller, der præsenterer flere svagheder for sikkerhedshold, når det kommer til at forhindre trusler. For eksempel er disse tilbud trænet på begrænsede undermængder af tilgængelige data (typisk 2-5%), tilbyder kun 50-70% nøjagtighed med ukendte trusler og introducerer mange falske positive. ML-løsninger kræver også massiv menneskelig indgriben og er trænet på små datasæt, hvilket udsætter dem for menneskelig fejl og bias. De er langsomme og uresponsiv, selv på endpoint, og lader trusler ligge, indtil de udføres, i stedet for at tackle dem, mens de er dovne. Det, der gør DL effektivt, er dets evne til at selv-lære, mens det indtager data og arbejder autonomt for at identificere, detektere og forhindre komplicerede trusler.

DL giver ledere mulighed for at skifte fra en traditionel “antagelse om brud” til en predictiv forebyggelse tilgang for at bekæmpe AI-genereret malware effektivt. Denne tilgang hjælper med at identificere og afværge trusler, før de sker. Den leverer en ekstremt høj effektivitet mod kendte og ukendte malware og ekstremt lave falske positive rater i forhold til ML-baserede løsninger. DL-kernen kræver kun en opdatering en eller to gange om året for at opretholde denne effektivitet, og da den fungerer uafhængigt, kræver den ikke konstant cloud-lookup eller intel-deling. Dette gør den ekstremt hurtig og privatlivsvenlig.

Hvordan kan deep learning predictivt forhindre ukendt malware, der aldrig tidligere er blevet mødt?

Ukendt malware skabes på flere måder. En almindelig metode er at ændre hashen i filen, hvilket kan være så lille som at tilføje en byte. Endpoint-sikkerheds løsninger, der afhænger af hash-sortering, er sårbare over for sådanne “mutationer”, fordi deres eksisterende hash-signaturer ikke vil matche disse nye mutationers hashes. Pakning er en anden teknik, hvor binære filer pakkes med en pakker, der giver en generisk lag på den originale fil – tænk på det som en maske. Nye varianter skabes også ved at ændre den originale malware-binarfil selv. Dette gøres på funktioner, som sikkerhedsleverandører måske underskriver, startende fra hardcoded strenge, IP/domænenavne på C&C-servere, registernøgler, filstier, metadata eller selv mutex, certifikater, offset og filendelser, der er korrelerede med de krypterede filer af ransomware. Koden eller dele af koden kan også ændres eller tilføjes, hvilket undgår traditionelle detections-teknikker.

DL er bygget på et neuralt netværk og bruger sin “hjerne” til at træne sig selv på rådata. Et vigtigt punkt her er, at DL-træning forbruger alle tilgængelige data, uden menneskelig indgriben i træningen – en nøgleårsag til, at det er så nøjagtigt. Dette fører til en meget høj effektivitet og en meget lav falsk positiv rate, hvilket gør det hyper-resilient over for ukendte trusler. Med vores DL-ramme, afhænger vi ikke af signaturer eller mønstre, så vores platform er immun over for hash-ændringer. Vi klassificerer også med succes pakket filer – enten ved hjælp af simple og kendte eller selv FUDs.

Under træningsfasen tilføjer vi “støj”, som ændrer de rå data fra filerne, vi føder ind i vores algoritme, for automatisk at generere let “mutationer”, som fødes ind i hver træningscyklus under vores træningsfase. Denne tilgang gør vores platform resistent over for ændringer, der anvendes på de forskellige ukendte malware-varianter, såsom strenge eller selv polymorfi.

En prevention-first-mentalitet er ofte nøgle til cybersecurity, hvordan fokuserer Deep Instinct på at forhindre cyberangreb?

Data er livsblodet for enhver organisation, og beskyttelsen af det bør være det øverste prioritetsområde. Alt, der kræves, er en enkelt skadelig fil for at blive brudt. I årevis har “antagelse om brud” været den de facto sikkerhedsmentalitet, hvor man accepterer, at data vil blive adgang til af trusler. Men denne mentalitet og de værktøjer, der er baseret på denne mentalitet, har ikke kunnet levere tilstrækkelig datasikkerhed, og angribere udnytter fuldt ud denne passive tilgang. Vores seneste forskning fandt, at der var flere ransomware-episoder i første halvår af 2023 end i hele 2022. At tackle denne skiftende trusselslandsbygning kræver ikke kun en afvigelse fra “antagelse om brud”-mentaliteten, men også, at virksomhederne har brug for en helt ny tilgang og arsenal af forebyggende foranstaltninger. Truslen er ny og ukendt, og den er hurtig, hvilket er årsagen til, at vi ser disse resultater i ransomware-episoder. Ligesom signaturer ikke kunne holde trit med den skiftende trusselslandsbygning, kan hverken nogen eksisterende løsning baseret på ML.

Ved Deep Instinct udnytter vi kraften af DL til at levere en prevention-first-tilgang til datasikkerhed. Deep Instinct Predictive Prevention Platform er den første og eneste løsning baseret på vores unikke DL-ramme specifikt designed til cybersecurity. Det er den mest effektive, effektive og pålidelige cybersecurity-løsning på markedet, der forhindrer >99% af zero-day, ransomware og andre ukendte trusler i <20 millisekunder med den laveste (<0,1%) falske positive rate. Vi har allerede anvendt vores unikke DL-ramme til at sikre applikationer og endpoints, og senest udvidede vi funktionerne til lagringsbeskyttelse med lanceringen af Deep Instinct Prevention for Storage.

En skiftning mod predictiv forebyggelse til datasikkerhed er påkrævet for at holde trit med sårbarheder, begrænse falske positive og lette sikkerhedsholdets stress. Vi er i frontlinjen af denne mission, og det begynder at få trækkraft, da flere legacy-virksomheder nu annoncerer prevention-first-kapaciteter.

Kan du diskutere, hvilken type træningsdata, der anvendes til at træne jeres modeller?

Ligesom andre AI- og ML-modeller træner vores model på data. Det, der gør vores model unik, er, at den ikke har brug for data eller filer fra kunder for at lære og vokse. Denne unikke privatlivsaspekt giver vores kunder en ekstra sikkerhedsfornemmelse, når de implementerer vores løsninger. Vi abonnerer på mere end 50 feeds, som vi downloader filer fra for at træne vores model. Derefter validerer og klassificerer vi data selv med algoritmer, vi har udviklet internt.

På grund af denne træningsmodel behøver vi kun at oprette 2-3 nye “hjerner” om året i gennemsnit. Disse nye hjerner udgives uafhængigt, hvilket reducerer den operationelle påvirkning på vores kunder betydeligt. Det kræver heller ikke konstant opdatering for at holde trit med den udviklende trusselslandsbygning. Dette er fordelene ved, at platformen er drevet af DL, og det giver os mulighed for at levere en proaktiv, prevention-first-tilgang, hvorimod andre løsninger, der udnytter AI og ML, giver reaktive kapaciteter.

Når repositoryet er klar, opbygger vi datasæt ved hjælp af alle filtyper med skadelige og uskadelige klassificeringer samt andre metadata. Derefter træner vi en hjerne på alle tilgængelige data – vi afviser ikke noget data under træningsprocessen, hvilket bidrager til lave falske positive og en høj effektivitet. Denne data lærer kontinuerligt på egen hånd uden vores input. Vi justerer resultaterne for at undervise hjernen, og derefter fortsætter den med at lære. Det er meget ligesom, hvordan et menneskehjerne fungerer, og hvordan vi lærer – jo mere, vi bliver undervist, jo mere nøjagtige og intelligente bliver vi. Men vi er ekstremt omhyggelige med at undgå overfitting, så vores DL-hjerne ikke blot husker dataene, men forstår og lærer dem.

Når vi har en ekstremt høj effektivitet, opretter vi en inferensmodel, der udgives til kunder. Når modellen er udgivet på dette stadium, kan den ikke lære nye ting. Men den har mulighed for at interagere med nye data og ukendte trusler og afgøre, om de er skadelige af natur. Det giver i virkeligheden en “zero day”-beslutning om alt, den ser.

Deep Instinct kører i en klients container-miljø, hvorfor er dette vigtigt?

En af vores platformløsninger, Deep Instinct Prevention for Applications (DPA), tilbyder mulighed for at udnytte vores DL-kapaciteter gennem en API / iCAP-grænseflade. Denne fleksibilitet giver organisationer mulighed for at indbygge vores revolutionerende kapaciteter i applikationer og infrastruktur, hvilket betyder, at vi kan udvide vores rækkevidde til at forhindre trusler ved hjælp af en forsvar-i-dybde-cyber-strategi. Dette er en unik differentiator. DPA kører i en container (som vi leverer), og er i tråd med de moderne digitaliseringsstrategier, vores kunder implementerer, såsom migration til on-premises eller cloud-container-miljøer for deres applikationer og tjenester. Generelt er disse kunder også i færd med at implementere en “shift left”-tilgang med DevOps. Vores API-orienterede service-model komplementerer dette ved at aktivere Agile-udvikling og -tjenester til at forhindre trusler.

Med denne tilgang integrerer Deep Instinct nærmest i en organisations teknologi-strategi, ved at udnytte eksisterende tjenester uden nye hardware- eller logistik-bekymringer og uden nye operationelle omkostninger, hvilket resulterer i en meget lav TCO. Vi udnytter alle fordelene, der tilbydes af containere, herunder massiv auto-skalerbarhed på krav, resiliens, lav latency og let opgradering. Dette giver en prevention-first-cybersecurity-strategi, der indbygger trusselsforebyggelse i applikationer og infrastruktur i massiv skala, med effektiviteter, som legacy-løsninger ikke kan opnå. På grund af DL-karakteristika har vi fordelene ved lav latency, høj effektivitet / lav falsk positiv rate, kombineret med at være privatlivs-sensitiv – ingen fil eller data forlader nogensinde containeren, som altid er under kundens kontrol. Vores produkt har ikke brug for at dele med cloud, gøre analyser eller dele filer/data, hvilket gør det unikt i forhold til enhver eksisterende produkt.

Generative AI tilbyder potentialet for at skala cyber-angreb, hvordan opretholder Deep Instinct den nødvendige hastighed for at afværge disse angreb?

Vores DL-ramme er bygget på neurale netværk, og dens “hjerne” fortsætter med at lære og træne sig selv på rådata. Hastigheden og nøjagtigheden, hvormed vores ramme fungerer, er resultatet af, at hjernen er trænet på hundredvis af millioner af eksempler. Da disse træningsdatasæt vokser, bliver neurale netværk fortsat klogere, hvilket giver det mulighed for at være mere detaljeret i forståelsen af, hvad der kendetegner en skadelig fil. Fordi det kan genkende byggestenene i skadelige filer på et mere detaljeret niveau end nogen anden løsning, stopper DL kendte, ukendte og zero-day-trusler med bedre nøjagtighed og hastighed end andre etablerede cybersecurity-produkter. Dette kombineret med, at vores “hjerne” ikke kræver nogen cloud-baseret analyse eller lookup, gør det unikt. ML alene var aldrig nok, hvilket er årsagen til, at vi har cloud-analyser for at understøtte ML – men dette gør det langsomt og reaktivt. DL har blot ikke denne begrænsning.

Hvad er nogle af de største trusler, der forstærkes med Generative AI, som virksomheder bør være opmærksomme på?

Phishing-e-mails er blevet langt mere sofistikerede takket være udviklingen af AI. Tidligere var phishing-e-mails typisk lette at spotte, da de ofte var præget af grammatiske fejl. Men nu bruger truslerne værktøjer som ChatGPT til at skabe mere indgående, grammatisk korrekte e-mails på flere sprog, som er sværere for spam-filtre og læsere at fange.

Et andet eksempel er deep fakes, der er blevet langt mere realistiske og overbevisende takket være AI’s sofistikerede niveau. Audio-AI-værktøjer bruges også til at simulere chefernes stemmer inden for en virksomhed, hvilket efterlader falske voicemails til medarbejdere.

Som nævnt ovenfor bruger angribere AI til at skabe ukendt malware, der kan ændre sin adfærd for at omgå sikkerheds-løsninger, undgå detection og sprede sig mere effektivt. Angribere vil fortsætte med at udnytte AI ikke kun til at bygge nye, sofistikerede, unikke og hidtil usete malware, der kan omgå eksisterende løsninger, men også til at automatisere “end-to-end”-angrebskæden. Dette vil betydeligt reducere deres omkostninger, øge deres skala og samtidig resultere i angreb, der har mere sofistikerede og succesfulde kampagner. Cybervirksomheden må omvurderer eksisterende løsninger, træning og opmærksomhedsprogrammer, som vi har afhængt af i de sidste 15 år. Som vi kan se i de dataudfald i år alene, fejler de allerede, og det vil blive værre.

Kunne du kort sammenfatte de typer af løsninger, der tilbydes af Deep Instinct, når det kommer til applikations-, endpoint- og lagringsløsninger?

Deep Instinct Predictive Prevention Platform er den første og eneste løsning baseret på en unik DL-ramme specifikt designed til at løse dagens cybersecurity-udfordringer – nemlig at forhindre trusler, før de kan udføres og lande i jeres miljø. Platformen har tre søjler:

  1. Agentless, i en containeriseret miljø, forbundet via API eller ICAP: Deep Instinct Prevention for Applications er en agentless-løsning, der forhindrer ransomware, zero-day-trusler og andre ukendte malware, før de når jeres applikationer, uden at påvirke brugeroplevelsen.
  2. Agent-baseret på endpoint: Deep Instinct Prevention for Endpoints er en selvstændig pre-execution prevention-first-platform – ikke på-execution som de fleste løsninger i dag. Eller det kan give en reel trusselsforebyggelseslag til at supplere eksisterende EDR-løsninger. Det forhindrer kendte og ukendte, zero-day og ransomware-trusler pre-execution, før nogen skadelig aktivitet, og reducerer betydeligt volumen af alarmer og reducerer falske positive, så SOC-hold kan udelukkende fokusere på højtroværdige, legitime trusler.
  3. En prevention-first-tilgang til lagringsbeskyttelse: Deep Instinct Prevention for Storage tilbyder en predictiv forebyggelse tilgang til at stoppe ransomware, zero-day-trusler og andre ukendte malware fra at infiltrere lagringsmiljøer – uanset om data er gemt på-premises eller i cloud. Det giver en hurtig, ekstremt høj effektiv løsning på den centraliserede lagring for kunderne og forhindrer, at lagringen bliver et sprednings- og distributionspunkt for nogen trusler.

Tak for den gode gennemgang, læsere, der ønsker at lære mere, skal besøge Deep Instinct.

mm

Antoine er en visionær leder og medstifter af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for AI og robotteknologi. En serieiværksætter, han tror, at AI vil være lige så omvæltende for samfundet som elektricitet, og bliver ofte fanget i at tale begejstret om potentialet for omvæltende teknologier og AGI.

Som en futurist, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han grundlægger af Securities.io, en platform, der fokuserer på at investere i skærende teknologier, der gendefinerer fremtiden og omformer hele sektorer.