Elizabeth Nammour, CEO & Founder of Teleskope – Interview Series

Elizabeth Nammour, CEO og grundlægger af Teleskope, er en sikkerhedsingeniør, der er blevet grundlægger, hvis karriere omfatter data sikkerhed, softwareingeniør og innovationsroller i nogle af verdens største teknologivirksomheder. Mens hun arbejdede som senior softwareingeniør fokuseret på data sikkerhed hos Airbnb, stod hun over for den operationelle udfordring at forstå og kontrollere enorme, hurtigt voksende dataejendomme, der var spredt over dusinvis af systemer. Denne erfaring, kombineret med tidligere tekniske og strategiske roller hos Amazon og Booz Allen Hamilton, formede hendes syn på, hvordan moderne organisationer kæmper med at styre følsomme data i stor målestok og førte til sidst til, at hun opbyggede en virksomhed, der adresse denne lukning.

Teleskope er en moderne data sikkerhedsplatform, der er designed til at hjælpe organisationer med at kontinuerligt forstå, hvor deres data bor, hvordan den bruges, og hvilke risici den skaber, når miljøer bliver mere komplekse. Bygget med udviklere og sikkerhedsteams i mente, lægger platformen vægt på præcis data synlighed, automatiseret afhjælpning og politikstyret kontroller på tværs af cloud, SaaS og hybrid miljøer. Ved at gå ud over statiske audits og manuelle processer, sigter Teleskope på at give organisationer en praktisk grundlag for at styre data spredning, samtidig med at de muliggør ansvarlig AI-adopter.

Du grundlagde Teleskope efter at have bygget interne data sikkerhedsværktøjer hos Airbnb for at katalogisere og klassificere data i enorme målestok. Hvad var det, der overbeviste dig om, at dette behøvede at være en virksomhed og ikke et internt projekt, og hvordan formede disse tidlige lektioner din produkttese?

Da jeg havde bygget dette produkt hos AirBnB, havde jeg muligheden for at skrive en post på AirBnB’s blog kaldet “Automatisering af data beskyttelse i stor målestok”. Jeg havde aldrig rigtig forventet noget at komme ud af det, men sikkerhedsfællesskabet svarede virkelig positivt, og jeg begyndte at blive kontaktet af praktikere over hele verden. Jeg havde definitivt dette øjeblik, hvor jeg indså, at så mange delte de samme udfordringer, jeg stod over for, og at dette produkt var noget, markedet virkelig bad om. Jeg lænede meget på feedback fra ligemænd i de tidlige dage, og selv Teleskope v1.0 var langt bedre end det, jeg havde bygget hos AirBnB. I dag er vores produkt større og mere betydningsfuldt, end jeg kunne have forestillet mig dengang.

Din multi-model klassificeringspipeline kombinerer traditionel ML, format-specifikke modeller og GenAI-validering. Kan du føre os igennem beslutningslogikken og hvordan du reducerer falske positiver/negativer i stor målestok?

Jeg ville bestemt anbefale at læse vores blog, som jeg skrev sammen med vores chef for Data Science, Ivan, om data klassificering. Jeg vil først sige, at dette er en kunst, så meget som det er en videnskab. Der er en enorm mængde nuancer – hver gang du finder en følsom dataenhed, vil konteksten være unik. Mens omfanget af data har gjort dette problem uendelig mere udfordrende, fordi scanning af petabyte af produktionsdata kræver meget beregning og meget tid. Grundlæggende er der en grund til, at dette fortsat er set som et stort set uløst problem.

Hvor kunsten kommer ind, er ved at finde ud af, hvordan man balancerer alle kompromiserne – hastighed, latency, nøjagtighed, omkostninger og bredde (i data butikker, filformater, sprog osv.). Vi har altid troet, at svaret må være kreativt og må være multi-modal. Dette er hvorfor vi har valgt denne tilgang, kombinerer mange af de tilgængelige klassificeringsmetoder for at have en dynamisk og nuanceret tilgang, der, for at sammenfatte det, er bygget til at bruge den letteste metode mulig, uden at ofre nøjagtighed. Denne dynamiske tilgang låter os scanne data 10-20 gange hurtigere end værktøjer, der afhænger af en størrelse, der passer til alle LLM’er, mens vi også leverer langt mere nøjagtige resultater end REGEX eller konventionelle kontekstbaserede tilgange.

Du introducerede for nylig Prism, der fokuserer på forretningsniveau dataforståelse og GenAI-baseret afhjælpning. Hvilke nye brugsområder låser dette op i forhold til elementniveau PII-detektering, og hvordan beskytter du mod hallucination i afhjælpningshandlinger?

Da jeg først satte mig for at løse udfordringen med data klassificering og beskyttelse, var min fokus på at reducere faktiske falske positive resultater. For eksempel, hvordan sikrer vi, at mindst 95% af tiden, når vi flagger noget som et sociale sikkerhedsnummer, skal det vise sig at være et rigtigt SSN. For nogle år siden ville selv 80% nøjagtighed på tværs af forskellige dataelementtyper have været en forbedring.

Men ved at arbejde tæt med vores kunder i det sidste år, blev det klart, at “støj”, der overvælder hold, ikke kun skyldes ukorrekte dataenheds klassificeringer (de traditionelle “falske positiver”). Støjen er ofte lige så meget om at blive overvældet af irrelevante varslinger, som det er med at få falske varslinger. Det, Prism gør, er det låser op for vores evne til at overveje langt mere kontekst – ikke kun “hvad er denne data” eller “hvem har adgang til denne fil”, men også “hvad, praktisk talt, er denne fil”. Ved at kombinere dette med information, vi kan indtage om, hvad en given forretning faktisk gør og bekymrer sig om, kan vi levere et produkt, der tilfredsstiller hver virksomheds forskellige definitioner af “følsomme” data.

At fange denne niveau af nuanceret kontekst er en sand game-changer. At gemme hundredvis af SSN’er i en Google Doc i din personlige drive, for eksempel, kan være en stor risiko og overtrædelse af din datastyringspolitik. Men at have en mappe i en sikker HR-drive fuld af dine medarbejderes W2’er? Det er forventet adfærd. Sikkerhedshold vil have varslinger om det førstnævnte, men at få en varsel for hver medarbejders W2, som er gemt korrekt, er bare støj. At forstå, hvor og i hvilken kontekst følsomme data bor, kræver mere end bare en enheds klassificeringsmodel.

Vi arbejder med et multinationalt kemiselskab, Chevron Philips Chemicals. Denne forretning ville aldrig købe et privatværktøj eller et standard DSPM, fordi de ikke ser forbrugerdata risiko som en prioritet. Hvad de dog bekymrer sig om, er immaterielle aktiver i form af proprietære kemiske formler. Ved at kunne kondensere essensen af et dokument til en liste over grupperede mærker, kan vi ikke kun detektere unikke følsomme elementer, men også finde eksempler på disse dataaktiver, der er i “forkerte” steder. Ved at kombinere denne kontekst med vores automatiserede afhjælpning, kan vi derefter tage handling til at arkivere, slette, redigere eller flytte disse filer til deres rette placering. Ingen i data sikkerheds markedet laver dette arbejde.

Teleskope fremhæver kontinuerlig opdagelse på tværs af multi-cloud, on-prem og tredjeparts systemer – herunder skygge data. Hvad ser “komplet kort” dækning ud til, og hvor hurtigt kan du overflade ukendte butikker i en grøn felt installation?

“Komplet” er et svært ord her – i virkeligheden er det en bar, der konstant flytter sig, selv på en daglig basis. Det er så svært at styre data spredning. Vores mål har altid været, at Teleskope skal eksistere, hvor vores kunders data eksisterer. Vi er ultimativt et integrationsbaseret produkt på mange måder – vi har bygget dusinvis af proprietære dataforbindelser for at kunne kravle, scanne og klassificere data på tværs af en bred vifte af SaaS-værktøjer, cloud data butikker og on-premise systemer. De fleste kunder starter med nogle forbindelser, som de ser som højeste risiko, eller hvor de har mindst synlighed, så i virkeligheden er vi sjældent overalt, hvor en virksomheds data bor. Men inden for hver datakilde er vi konstant kravlede deres miljø for at overflade nye konti, tabeller, nye blobs, filer, meddelelser osv. Så hvor vi er, finder vi data, nye og gamle, i næsten realtid.

Til AI sikkerhed og styring, hvordan sporer du afstamning mellem træningsdata, modeller, prompts og output for revision?

Vi har virkelig tre kerne måder, vi understøtter AI sikkerhed og styring på. Først er vores evne til at anvende vores klassificerings- og afhjælpningsteknologi til data i bevægelse via vores API’er. Når virksomheder genererer eller forbereder data til at træne deres egne modeller, har de brug for en måde at sikre, at data er fri for PII eller andre følsomme data. Så vi plugger direkte ind i en data pipeline og kan rense data, mens de flyttes eller kopieres ind i en træningsæt, og sikre, at modellerne aldrig er i risiko for at producere følsomme data.

Anden, ser vi vores kerneprodukt som en muliggører for AI adoption. Hver virksomhed er under pres for at udnytte AI-værktøjer til at operere mere effektivt og til at holde trit med markedet. Et godt eksempel på dette er M365’s Copilot, som giver en smart søgefunktion og gør det lettere at finde filer eller data. Men disse værktøjer gør det også lettere at finde følsomme data, og så har vi mange virksomheder, der kommer til os og siger “vi skal implementere dette AI-værktøj, men vi er bange for, hvad det vil afsløre.” De har brug for Teleskope til at komme ind, scanne deres miljø og automatisk gennemtvinge deres datastyrings- og sikkerheds politikker, så de kan adoptere AI med tillid.

Til sidst er vi faktisk ved at bygge integrationer til AI-værktøjer, som vil redigere eller karantæne prompts, der indeholder følsomme data, før de kan lække ind i offentlige AI-værktøjer som ChatGPT. Masser af virksomheder forbinder bare brugen af disse værktøjer, men der er en måde at adoptere dem sikkert, så du kan sikre, at ingen følsomme data (defineret af hver virksomhed) bliver eksfiltreret.

Redaktion og “afhjælpning ved kilde” er kerne til din tilgang. Hvad er din filosofi om auto-afhjælpning vs. menneske-i-løkken, og hvor tegner du sikkerhedsgrænser?

Vi indså for et par år siden, at så nødvendig, dataopdagelse og klassificering har været, kun giver halvdelen af historien. At finde data risiko er det første skridt, men at løse og afhjælpe denne risiko er det faktiske slutmål. Vores kunder starter normalt med at evaluere Teleskopes fund i vores datakatalog, derefter flytter de til afhjælpning med et menneske-i-løkken, før de flytter til fuldt automatiseret afhjælpning. Vi er meget bevidste om, at der altid vil være nogle handlinger, som hold aldrig vil være 100% komfortable med at automatisere fuldstændigt. At slette data fra en produktionsdatabase, for eksempel, kunne være meget problematisk. Men i mange tilfælde ser vi kunder, der adopterer fuld automation til ting som at ophæve tilladelser, flytte data rundt, gennemtvinge arkiverings- eller retentionspolitikker osv.

Mange DSPM/DLP-værktøjer kæmper med realtidsbeskyttelse. Hvad skulle ændre sig arkitektonisk for at gøre “realtid” en selvfølge, og hvad latenser og gennemstrømning kan virksomheder forvente i produktion?

For at tackle det reale problem var det vigtigt at bryde opgaven ned i dens kernekomponenter. Forskellige situationer kræver forskellige typer latenser, men målet er altid at give den mest nøjagtige indsigt på den hurtigste mulige måde. Dette betyder, at en fleksibel arkitektur, der ville låse os til at parallelisere vores lav-latenssystem for at imødekomme forskellige gennemstrømningskrav. Når en virksomhed har Teleskope kørende i deres miljø, klassificeres og beskyttes data lige i deres infrastruktur, hvilket reducerer latens og udgående dataflow. Denne faktiske kendsgerning låter os give afhjælpning i højrisiko-scenarier i under-sekund-tidsrammer.

Privatliv og overholdelse: du hævder kontinuerlig overvågning og automatisk kortlægning til rammer/regler. Hvordan holder du kortlægningerne aktuelle, når love udvikler sig, og hvor tilpasselige er kontroller for forskellige regioner eller forretningsenheder?

Ærligt talt har vores fokus virkelig skiftet væk fra at tjekke afkrydsningsfelter og hen imod dybt at forstå, hvad vores kunder bekymrer sig om. I nogle tilfælde vil de gerne kortlægge 100% til de nyeste regler, der kommer ud, og vi overvåger konstant disse ændringer og inkorporerer dem i vores produkt. Men, sandt at sige, er de fleste virksomheder så langt væk fra at være i stand til at overholde disse love fuldstændigt, at vi må møde dem, hvor de er, og sikre, at vi kan få dem fra punkt A til B til C, før vi bekymrer os om at komme til Z. Måden, vi gør dette på, er ved først at forstå, hvad overholdelse betyder for den pågældende virksomhed (igen, et fremstillingsfirma måske ikke ser noget som GDPR som en stor bekymring), og sikre, at vi kan forme produktet omkring deres specifikke risikoprofiler og behov.

GenAI-adopter: hvordan bruger kunder Teleskope til at skabe “sikre input” og “sikre output” uden at nedgrade udviklerhastighed? Er der nogen mønstre, du anbefaler?

Kunder integrerer Teleskopes Redact API i deres trænings- og inferensrørledninger for at sikre, at følsomme data aldrig flyder til generative AI-modeller. Redaktionsprocessen er abstraheret væk fra udviklere, og udviklerhastigheden bevares ved at udføre redigering før inferens og genoplive data herefter.

Set fremad, har du talt om et slut til slut “agentic” data sikkerhedsplatform med autonom afhjælpning. Hvad vil være milepæle, der signalerer, at industrien er klar til fuldstændigt autonom data beskyttelse?

Vi ved med sikkerhed, at industrien er klar til dette. Andre områder af cybersikkerhed, som SOC, har allerede vist en komplet skift mod agentic AI som en måde at skala kapaciteten af sikkerhedshold på. Vi har en kø af kunder, der beder om at være designpartnere for dette arbejde, så vi ved, at mange virksomheder føler den samme smerte ved at skulle manuelt triage, undersøge, tage en beslutning og derefter udføre, bare for at løse en enkelt billet. Vi har absolut overbevisning om, at dette er, hvor markedet er på vej, og vi er fast besluttede på at lede denne skift.

Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge Teleskope.