Connect with us

Steve Tait, Chief Technology Officer bei Skyhigh Security – Interview-Serie

Interviews

Steve Tait, Chief Technology Officer bei Skyhigh Security – Interview-Serie

mm
Published
Updated

Steve Tait, Chief Technology Officer bei Skyhigh Security, ist ein erfahrener Executive Technology Leader mit über 25 Jahren Erfahrung in den Bereichen Cybersicherheit, Verteidigung, Finanzdienstleistungen und Gesundheitswesen. Er trat Skyhigh im August 2024 bei, um die technologische Vision, Architektur und Cloud-Infrastrukturstrategie des Unternehmens für Security Service Edge (SSE) zu leiten.

Skyhigh Security ist ein privat geführtes, cloud-natives Cybersicherheitsunternehmen mit Sitz in San Jose, Kalifornien, das eine umfassende Security Service Edge (SSE)-Plattform anbietet. Die Plattform vereint Lösungen wie CASB, Secure Web Gateway, Zero Trust Private Access, CNAPP, DLP und Remote Browser Isolation, um Daten zu schützen und sichere Zusammenarbeit über Web, Cloud, E-Mail und private Anwendungen zu gewährleisten. Mit dem Fokus auf Echtzeit-Datenschutz, Bedrohungsprävention und Compliance dient Skyhigh Security über 3.000 Kunden weltweit – darunter viele Fortune-500-Unternehmen und große Finanzinstitute – durch eine skalierbare, datenbewusste Architektur, die für moderne Hybrid-Arbeitsumgebungen konzipiert ist.

Sie begannen Ihre Karriere im Bereich Mobile Data und stiegen durch Ingenieur- und Führungsrollen in verschiedenen Branchen auf – welche frühen Erfahrungen prägten Ihre Leidenschaft für Cybersicherheit und führten Sie zu Ihrem heutigen Standort?

Als ich bei BAE Systems anfing, gewann ich Einblicke in die Arbeit der unglaublichen Teams, die die schädlichsten Viren und Malware dekonstruieren, um zu lernen, wie man sich dagegen verteidigen kann. Die enorme Größe und professionelle Organisation der Cyberkriminalitätsindustrie war ein echter Augenöffner. Zum Beispiel kann der Code hinter Cyber-Angriffen manchmal auf multiple nationale Akteure und kriminelle Organisationen zurückgeführt werden. Es geht nicht um Teenager in ihren Schlafzimmern, es ist ein ernstes globales Geschäft. Sich dagegen zu verteidigen, ist ein echter Beitrag zur Gesellschaft, und ich wollte Teil davon sein.

Sie haben erklärt, dass “digitale Transformation vorbei” ist und wir jetzt in eine Ära der AI-Transformation eintreten – wie unterscheiden Sie eine Phase von der anderen in Bezug auf Unternehmensstrategie und Ergebnisse?

Die digitale Transformation war darauf ausgerichtet, Technologie zu nutzen, um Geschäftsprozesse effizienter, effektiver und kundenfreundlicher zu machen. Die AI-Transformation zielt aus Unternehmenssicht darauf ab, das gleiche Ziel zu erreichen. Der grundlegende Unterschied jedoch besteht darin, dass die digitale Transformation dies durch Prozessautomatisierung, Datenaggregation und erweiterte Datenvisualisierung erreicht, während die AI-Transformation dies durch Originalinhalts-Erstellung, Companion-Analyse und autonome Entscheidungsfindung erreicht. Die digitale Transformation zielte darauf ab, menschliche Entscheidungsprozesse zu optimieren und zu straffen. Die AI-Transformation hat die Fähigkeit, viele davon vollständig zu eliminieren!

Was halten Sie für die größten organisatorischen Herausforderungen, denen Unternehmen bei der Umstellung von klassischer Automatisierung auf die Integration von generativer AI gegenüberstehen?

Das Ausmaß der Transformation, das erforderlich ist, um wirklich von diesem zu profitieren, ist enorm. Unternehmen könnten – und sollten vielleicht – in ein paar Jahren völlig anders aussehen. Jetzt jedoch, trotz des Hypes, ist es noch in den Anfängen. Das größte organisatorische Problem heute ist tatsächlich die Schulung. Viele Unternehmen haben die üblichen 20-minütigen Corporate-Training-Videos über AI erstellt, aber das reicht einfach nicht aus. Mitarbeiter müssen lernen, wie sie diese Technologie nutzen, die echten Risiken, die sie birgt, und verstehen, auch wenn nur ein wenig, wie sie funktioniert. Damit können Mitarbeiter auf allen Ebenen dazu beitragen, das Unternehmen mit der Technologie zu transformieren.

In Security Magazine haben Sie Prompt-Injektionen und Halluzinationen unter den Top-Risiken hervorgehoben – welcher Bedrohungsvektor bereitet Ihnen die größten Sorgen, und wie geht Skyhigh damit um?

Unbeabsichtigte Datenexfiltration ist bei weitem die größte Unternehmensbedrohung in Bezug auf Volumen. Allein aus den Daten, die wir bei Skyhigh verfolgen, sahen wir eine Zunahme der Daten, die an LLMs hochgeladen wurden, um 80 % innerhalb des letzten Jahres. Viele Schnittstellen funktionieren wie Geschäftsassistenten und ermutigen dazu, immer mehr Informationen hochzuladen. Die Handlung, Informationen mit einer anderen Person zu teilen – eine Datei zu nehmen und sie für die Analyse durch einen Dritten in ein SFTP-Verzeichnis zu komprimieren – lässt einen Mitarbeiter innehalten und über die potenziellen Risiken nachdenken. Es sind nur ein paar Schritte, um es zu tun, und man wird sehr bewusst, dass man es an jemanden sendet. Wenn man jedoch mitten in einer Analyse mit einem AI-Tool ist und einfach einen Datenblock in eine Prompt für AI einfügt, um eine schnelle Antwort zu erhalten, ist es nur eine Sekunden-Anstrengung, doch die Frage bleibt: Wohin ging diese Daten und wie wurde sie verwendet? Aus diesem Grund konzentriert sich Skyhigh hauptsächlich auf die Verhinderung von Datenverlusten für AI-Anwendungen, insbesondere für Copilot-Anwendungen.

Sie haben Statistiken zitiert, die zeigen, dass 94 % der AI-Anwendungen LLM-Risiken bergen und 11 % der Dateien, die an AI hochgeladen werden, sensibel sind – welche Trends sehen Sie darin, wie Unternehmen auf diese Probleme reagieren?

Unternehmen nutzen immer noch “Benutzerrichtlinien” und “Blockieren” als ihre primären Techniken, aber viele Unternehmen bleiben blind für die Menge an AI, die jeden Tag verwendet wird. Wir sehen ein großes Interesse an der Erhöhung der Entdeckung, Sichtbarkeit und der Erweiterung von Data-Loss-Präventions-Techniken auf AI, insbesondere für große Copilot-Anwendungen.

Corporate-Copiloten können auf enorme Mengen an proprietären Daten zugreifen – welche Strategien sind am effektivsten, um unbefugte Datenlecks oder Missbrauch über diese Systeme zu verhindern?

Es beginnt wie immer mit Richtlinien und Schulung. Danach sind eine Kombination aus Datenkennzeichnung und DLP-Techniken von entscheidender Bedeutung. Zum Beispiel kann Microsoft AIP-Kennzeichnung verhindern, dass vertrauliche Daten von MSFT Copilot indiziert werden. In Kombination mit CASB- und DLP-Tools können AIP-Kennzeichnungen automatisch basierend auf Datenklassifizierungen hinzugefügt werden. DLP, das auf Dokumenten- und Prompt-Daten durchgeführt wird, kann die Verhinderung unbeabsichtigter Datenuploads gewährleisten.

Sie haben betont, dass das Risiko, das von Citizen-Developern ausgeht, die ihre eigenen Anwendungen erstellen, sehr hoch ist – wie können Unternehmen ein Gleichgewicht zwischen der Förderung von Innovation und der Gewährleistung sicherer Entwicklung finden?

Es kommt immer wieder auf die Schulung zurück. Nur weil jemand ein “Citizen-Developer” ist, bedeutet das nicht, dass er sich den Sicherheitsgrundlagen entziehen kann, die Teil einer regulären Ingenieursausbildung wären. Sie müssen nicht alles wissen, was ein erfahrener Software-Ingenieur wissen mag, aber grundlegende Konzepte wie privilegierter Zugriff und horizontale Privilegierung sind wichtige Konzepte beim Aufbau einer Anwendung. Persönlich würde ich den Zugriff auf solche Tools nur nach abgeschlossener angemessener Schulung ermöglichen. Dann geht es darum, Sicherheits-Tooling zu implementieren, um unbeabsichtigte Fehler zu fangen, was wiederum auf Techniken wie DLP zurückführt.

Als CTO von Skyhigh Security, welchen Bereich der AI-Risikominderung – Copiloten, Citizen-Dev oder Compliance-Infrastruktur – priorisieren Sie für die nächsten 12-18 Monate?

Bewusstsein ist von entscheidender Bedeutung, und Skyhigh bietet bereits umfassende Shadow-AI-Entdeckungstooling. Microsoft Copilot und ChatGPT Enterprise sind unser Hauptfokus für 2025. Wir haben bereits Kontrollen für beide implementiert und werden diese im Laufe des Restes von 2025 weiter ausbauen. Wenn wir in 2026 eintreten, werden wir unsere Aufmerksamkeit mehr auf Prompt-Kontrolle richten, um gegen bösartige Prompts, Jailbreaking und andere wichtige LLM-Risiken zu sichern.

Was ist der eine Durchbruch oder die eine Verschiebung, die Sie vorhersehen, die unsere Art, über Unternehmenssicherheit in einer AI-ersten Welt nachzudenken, vollständig umgestalten könnte?

Agente AI. Es fängt gerade an, aber der Einfluss könnte enorm sein. Wenn immer mehr dieser Agenten zusammenarbeiten, erhöhen sich die Angriffsvectoren entlang der Kette. Viele Cyberkriminalität wird von Menschen “entdeckt”, weil etwas nicht stimmt. In diesen Ketten von Agenten wird es eine echte Herausforderung sein, Anzeichen eines Kompromisses zu erkennen.

Vielen Dank für das großartige Interview. Leser, die mehr erfahren möchten, sollten Skyhigh Security besuchen.

Related Topics:
mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.