Connect with us

Chaim Mazal, Chief AI & Security Officer von Gigamon – Interview-Reihe

Interviews

Chaim Mazal, Chief AI & Security Officer von Gigamon – Interview-Reihe

mm
Published
Updated

Chaim Mazal ist Chief AI und Security Officer bei Gigamon, verantwortlich für die globale Sicherheit, Informationstechnologie, Netzwerkbetrieb, Governance, Risiko, Compliance, interne Geschäftssysteme und Produktsicherheit. Chaim leitet auch das strategische AI-Programm des Unternehmens, das Governance, cross-funktionale Akzeptanz und sichere, verantwortungsvolle Nutzung von AI vorantreibt. Als einer der einflussreichsten Menschen im Bereich Sicherheit 2025, ausgezeichnet von Security Magazine, ist er lebenslanger Mitglied der OWASP Foundation und sitzt in Beratungsgremien, einschließlich Cloudflare, GitLab und Rapid7. Zuvor hatte er Führungspositionen bei mehreren Branchenführern inne, zuletzt als SVP of Technology und CISO bei Kandji.

Gigamon ist ein Unternehmen für Cybersicherheit und Observability-Technologie, das sich auf die Bereitstellung tiefer Einblicke in Netzwerkverkehr in hybriden und Multi-Cloud-Umgebungen konzentriert. Seine Plattform erfassen und analysieren Daten in Bewegung, einschließlich Pakete, Flüsse und Anwendungs-Metadaten, um handlungsfähige Erkenntnisse für Sicherheits-, Cloud- und IT-Überwachungstools zu liefern. Dies ermöglicht es Organisationen, versteckte Bedrohungen zu erkennen, die Leistung zu verbessern, die Einhaltung von Vorschriften zu gewährleisten und die Komplexität durch die Beseitigung von Blindpunkten in zunehmend verteilten und verschlüsselten Systemen zu reduzieren. Vertrauenswürdig von großen Unternehmen und Regierungsorganisationen, hilft Gigamon, moderne digitale Infrastrukturen im großen Maßstab zu sichern und zu verwalten.

Sie haben eine einzigartige Reise von der Teilnahme an Hacker-Foren als Teenager bis hin zur Position des Chief AI und Security Officer bei Gigamon hinter sich. Wie haben diese frühen Erfahrungen Ihre Sicht auf moderne AI-getriebene Cyber-Bedrohungen geprägt?

Ich bekam meinen ersten Computer im Alter von acht und lernte durch Experimente, nämlich durch das Ausprobieren von DOS, das Lesen von Handbüchern und schließlich durch das Selbststudium von Visual Basic. Als ich tiefer in Internet-Communities eintauchte, war ich fasziniert von der Art und Weise, wie Software manipuliert und wo Systeme anfällig waren. Diese Neugier entwickelte sich zu Web-Anwendung-Penetrationstests und der Sicherung von SaaS-Entwicklungslebenszyklen.

Was interessant an modernen Bedrohungen ist, ist, dass AI keine neuen Schwachstellen erfindet, sondern die Entdeckung und Ausnutzung bestehender Schwachstellen skaliert. Aufgrund dieser frühen Perspektive gehe ich bei der AI-Sicherheit davon aus, dass sie von Anfang an adversativ genutzt wird, was mir hilft, Verteidigungen für unsere Kunden bei Gigamon umzukehren.

Sie haben beobachtet, dass AI-generierte Phishing-, Ransomware- und Malware-Kampagnen die Zeit bis zum Eintritt von Wochen auf Stunden verkürzen. Welche konkreten Änderungen sehen Sie in der Art und Weise, wie diese Angriffe konzipiert und eingesetzt werden?

AI hat die Hürde für Cyberkriminalität gesenkt. Das Schreiben von Malware, das Erstellen überzeugender Phishing-Kampagnen und das Identifizieren von Schwachstellen erforderten früher umfassende technische Expertise. Jetzt können diese Angriffe durch AI-Tools beschleunigt und sogar vollständig automatisiert werden. Hacker benötigen keine starke technische Grundlage mehr, um komplexe Kampagnen zu starten, da AI Code generieren, soziale Ingenieurskunst-Nachrichten verfeinern und Betreibern helfen kann, in Echtzeit zu troubleshooten.

Als Ergebnis dieser erhöhten Zugänglichkeit hat sich das gesamte Bedrohungslandschaft verschoben. Ohne Governance-Rahmen, Compliance-Anforderungen oder ethische Einschränkungen, die sie verlangsamen, können Angreifer experimentieren, anpassen und bereitstellen, und das mit geringen Kosten. Als Ergebnis ist die Zeit bis zum Eintritt dramatisch geschrumpft, und was früher Wochen dauerte, kann jetzt in Stunden geschehen. Währenddessen sind viele Organisationen noch in den Anfängen der Einführung von AI zur Verteidigung, was bedeutet, dass einige der effektivsten AI-Anwendungsfälle derzeit von Bedrohungsakteuren angetrieben werden.

Was trennt grundlegend einen AI-getriebenen Cyberangriff von traditionellen automatisierten Bedrohungen, und können Sie ein Beispiel nennen, das diesen Unterschied verdeutlicht?

Was grundlegend einen AI-getriebenen Cyberangriff von traditionellen automatisierten Bedrohungen trennt, ist Autonomie und Beharrlichkeit. In der Vergangenheit liefen Hacker ein Skript ab und hörten auf, wenn es fehlschlug. Die “Lebensdauer” war begrenzt auf die Zeit, die das Skript benötigte, um abzulaufen. Mit AI werden Agenten ein Ziel gegeben und, wenn sie fehlschlagen, hören sie nicht auf. Sie setzen ihre Bemühungen fort, alternative Pfade zu finden, um das gleiche Ziel zu erreichen. Die Lebensdauer ist effektiv unendlich.

Zum Beispiel kann bei einer Produktionsbuild-Abhängigkeit ein Angreifer etwas so Kleines wie zwei Zeilen Skript hinzufügen, während die Dateigröße unverändert bleibt, was bedeutet, dass die Bytes identisch erscheinen. Wenn die Datei kompiliert und ausgeführt wird, startet sie eine Terminal-Instanz, die einen autonomen Agenten in die Unternehmensumgebung installiert, der dann eine Reihe von bösartigen Aufgaben ausführt, die unbegrenzt iterieren können. In der Vergangenheit wurden Binaries als Bedrohungsvektoren nach der Bereitstellung angesehen. Jetzt werden sie während des Build-Prozesses selbst manipuliert, um AI-aktivierte Aktionen innerhalb von Unternehmensumgebungen auszuführen.

Viele Organisationen verlassen sich noch auf herkömmliche Sicherheitskontrollen und etablierte Spielbücher. Warum scheitern diese Ansätze gegenüber AI-aktivierte Angriffe, und wo sehen Sie die gefährlichsten Blindpunkte?

Wir haben einen Punkt erreicht, an dem Sie, wenn Sie nicht innovativ sind und AI sorgfältig in Ihre Sicherheitslösungen und -betrieb integrieren, bereits hinterherhinken, und das gilt für große Unternehmen und Start-ups gleichermaßen. Organisationen, die es versäumen, AI in ihre Sicherheitsstrategie zu integrieren, riskieren, von Angreifern überholt zu werden, die schneller und im größeren Maßstab agieren.

Das Verteidigen gegen AI-getriebene Bedrohungen erfordert jedoch nicht unbedingt eine komplette Neuerfindung des Technologie-Stapels. Viele der Tools, die Unternehmen benötigen, sind bereits vorhanden. Der eigentliche Wandel liegt in der effektiven Nutzung dieser Tools. Es geht darum, die Grundlagen zu stärken, bestehende Technologien intelligenter einzusetzen und Verteidigungen anzupassen, um mit der Geschwindigkeit und dem Umfang heutiger Angriffe Schritt zu halten.

Bedrohungsakteure nutzen AI kreativ und strategisch. Wenn Unternehmen nicht in ähnlicher Weise strategisch vorgehen, riskieren sie, massive Blindpunkte zu schaffen. Führungskräfte müssen anders über die Einsetzung der Tools nachdenken, die sie bereits haben, AI in ihre Betriebe integrieren und ihre Spielbücher anpassen, um gegen die Geschwindigkeit und den Umfang heutiger Angriffe zu verteidigen.

AI scheint die Hürde für Cyberkriminalität zu senken. Wie hat sich diese Verschiebung das Profil des heutigen Angreifers verändert, und welche Risiken ergeben sich daraus für Unternehmen?

AI hat es ermöglicht, dass fast jeder ein Hacker werden kann. Mit AI-Tools können unerfahrene Akteure, sogar Teenager, jetzt komplexe Phishing-Kampagnen starten, Rootkits bereitstellen und Ransomware-Angriffe durchführen, die früher umfassende technische Expertise erforderten.

Diese Verschiebung fügt dem Bedrohungslandschaft eine neue Ebene der Unvorhersehbarkeit hinzu. Anstatt einer kleinen Anzahl hochentwickelter Gruppen stehen Unternehmen jetzt einem breiteren Spektrum von Akteuren gegenüber, die schnell experimentieren, in Echtzeit lernen und in Online-Communities zusammenarbeiten.

Für Organisationen bedeutet dies nicht nur mehr Angriffe, sondern auch eine größere Variabilität in der Art und Weise, wie sie durchgeführt werden. Unternehmen müssen sich auf eine Bedrohungsumgebung vorbereiten, in der Fähigkeit nicht mehr direkt mit Erfahrung verbunden ist und jeder komplexe Kampagnen durchführen kann, die historisch fortschrittlichen Gruppen entsprechen.

Basierend auf dem, was Sie in Angreifer-Communities sehen, welche AI-getriebenen Tools gewinnen an Zugkraft, und wie schnell verbessern sich diese Fähigkeiten?

Es geht weniger um einzelne AI-Tools, die Hackern helfen, und mehr um das Teilen von Ressourcen. Anstatt eines einzelnen Tools, das einen linearen Prozess ausführt, nutzen Angreifer dezentralisierte Agenten, die Daten kreuzweise abgleichen und kollektiv über verschiedene Tooling teilen. Das Ergebnis funktioniert mehr wie ein Angriffs-Netz oder ein Schwarm als wie eine Einzel-Fähigkeit.

Was am meisten auffällt, ist die Geschwindigkeit der Verbesserung. Diese Fähigkeiten ändern sich täglich, und viele der Tools, die genutzt werden, waren erst vor Wochen Proof-of-Concepts. Der Innovations- und Iterationsprozess innerhalb von Angreifer-Communities beschleunigt sich rasant, mit neuen Techniken und Tooling, die fast in Echtzeit entstehen.

Aus Sicht eines Verteidigers, welche Signale deuten darauf hin, dass eine Organisation einem AI-getriebenen Angriff gegenübersteht und nicht einem herkömmlichen Angriff?

Aus Sicht eines Verteidigers ist ein wichtiges Signal, dass die Aufklärung nicht mehr sequenziell oder kompartimentalisiert aussieht. Historisch folgten Angreifer klaren Schritten – sie sammelten Informationen in Phasen, verteilten die Aktivität und zielten auf eine Oberfläche nach der anderen. Jetzt geschehen all diese Aktivitäten gleichzeitig. E-Mail-Gateways, extern verfügbare Dienste, Kontoaktivität, Erkennungs- und Vermeidungstechniken werden alle in Übereinstimmung und nicht sequenziell ausgeführt.

Ein weiteres Signal ist die Vereinigung und Koordination der Aktivität. Was früher in Stücken erfolgte, ist jetzt kondensiert und kollektiv über Tooling geteilt, was eher wie ein Schwarm als wie ein Einzel-Versuch wirkt. Diese Agenten iterieren kontinuierlich, passen sich an und beschleunigen Entscheidungsfindungen um Bedrohungsvektoren, und sie nehmen Nein nicht als Antwort. Dieses Maß an simultaner Aktivität, Koordination und Beharrlichkeit deutet stark auf einen AI-getriebenen Angriff hin und nicht auf einen herkömmlichen Angriff.

Sie haben argumentiert, dass viele aktuelle AI-Sicherheits-Tools diese Bedrohungen vollständig verpassen. Was machen sie falsch, und welche Fähigkeiten sind am dringendsten erforderlich?

Viele aktuelle AI-Sicherheits-Tools sind immer noch auf der fehlerhaften Annahme aufgebaut, dass Prävention das primäre Ziel ist. Anbieter stellen AI weiterhin als bessere Möglichkeit dar, Bedrohungen am Perimeter zu blockieren, aber Angreifer sind schneller, anpassungsfähiger und zunehmend geduldig, nutzen AI, Deepfakes und fortschrittliche Malware, die Kontrollen umgehen und monate-lang unentdeckt bleiben können.

Was dringend benötigt wird, ist umfassende, Echtzeit-Visibility und stärkere Erkennungs- und Reaktionsfähigkeiten. Organisationen müssen kontinuierliche Risikobewertung implementieren, Visibility in verschlüsselten Datenflüssen aufrechterhalten, wo viele Bedrohungen versteckt sind, und Netzwerk-abgeleitete Telemetrie und APIs nutzen, um zu verstehen, was über ihre Systeme läuft und wie Daten bewegt werden. Die Widerstandsfähigkeit heute geht nicht darum, jede Bedrohung fernzuhalten, sondern darum, Bedrohungen zu sehen, zu stoppen und von ihnen zu lernen, bevor sie eskalieren.

Da AI sowohl Angriff als auch Verteidigung beschleunigt, glauben Sie, dass defensive AI realistisch Schritt halten kann, oder betreten wir eine Periode, in der Angreifer einen strukturellen Vorteil behalten?

AI beschleunigt beide Seiten der Gleichung, aber auf kurze Sicht denke ich, dass Angreifer den Vorteil haben. Sie stehen unter keinen regulatorischen Einschränkungen, keinen Compliance-Anforderungen und keinen ethischen Schranken. Dies bedeutet, dass sie frei experimentieren, anpassen und bereitstellen können, und das mit erhöhter Geschwindigkeit. Andererseits müssen Unternehmen Innovation mit Governance, Datenschutz und operativem Risiko in Einklang bringen, was die AI-Adoption und -Implementierung naturgemäß verlangsamt.

Das sagt jedoch nicht, dass defensive AI nicht aufholen kann. Erfolgreiche Sicherheitsstrategien werden nicht durch die Verwendung von AI allein zur Prävention erreicht. Es erfordert die Integration von AI in Erkennungs-, Untersuchungs- und Reaktions-Workflows, die durch Echtzeit-Visibility unterstützt werden. Der Vorteil liegt nicht permanent auf der Seite des Angreifers, aber er bleibt dort, bis Organisationen aufhören, sich ausschließlich auf Prävention zu verlassen. Der eigentliche Schaden entsteht, wenn ein Angreifer in das Netzwerk eindringt, oft unter Ausnutzung der vorhandenen Ressourcen und wartend, um Daten zu exfiltrieren. Führungskräfte müssen von “Können wir einen Angriff verhindern” zu “Wie schnell können wir Eindringlinge erkennen und entfernen?” wechseln.

Wenn Sie in die Zukunft von sechs bis zwölf Monaten blicken, welche AI-getriebenen Angriffstechniken erwarten Sie, dass sie weit verbreitet werden, und was sollten Sicherheitsteams jetzt tun, um sich vorzubereiten?

Sechs bis zwölf Monate sind in dieser Umgebung eine enorme Zeitspanne. Dinge ändern sich realistisch alle sechs bis zwölf Wochen. Der rasante Fortschritt von AI macht es schwierig, spezifische Techniken vorherzusagen, die Hacker in Zukunft nutzen werden, also sollte der Fokus weniger auf der Vorhersage dessen liegen, was als Nächstes kommt, und mehr auf der Vorbereitung.

Verteidiger müssen die gleiche AI-getriebene Technologie nutzen, die Angreifer verwenden, mit einem starken Schwerpunkt auf Verteidigung in der Tiefe. Das bedeutet, AI zu nutzen, um kontinuierlich Datenströme über Endpunkte in Echtzeit zu kreuzreferenzieren, sich auf unveränderliche Netzwerk-Telemetrie zu verlassen, um transaktionalen Verhalten über private Cloud, öffentliche Cloud und On-Premises-Umgebungen zu identifizieren, und diese Telemetrie in die entsprechenden Tooling zu füttern, damit Sicherheitsteams aktiv informiert sind, wenn ihre Organisation erkundet wird.

Gleichzeitig muss die Verteidigungsstrategie, die sich auf den Perimeter konzentriert, in den Ruhestand gehen. Es ist nicht die Frage, ob ein AI-getriebener Angriff passiert, sondern wann. Die Priorität liegt jetzt auf der frühzeitigen Identifizierung, der Reduzierung des Ausmaßes und der rechtzeitigen Behebung. Dazu gehört, einen soliden Notfallplan zu haben, Zero-Trust-Prinzipien anzuwenden, Netzwerkteilung durchzusetzen, Zugriffsverwaltung mit kontinuierlichen Überprüfungen aufrechtzuerhalten und dynamische Anpassungen vorzunehmen, um Kundendaten zu schützen und den Auswirkungen zu begrenzen.

Vielen Dank für das aufschlussreiche Interview. Leser, die sich für tiefere Observability und AI-getriebene Netzwerksicherheit interessieren, können Gigamon besuchen.

Related Topics:
mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.