Mayank Kumar, Ιδρυτής Μηχανικός Τεχνητής Νοημοσύνης στην DeepTempo – Σειρά Συνεντεύξεων

Μάγιανκ Κουμάρ είναι ο ιδρυτικός μηχανικός τεχνητής νοημοσύνης (AI) στην DeepTempo, όπου ηγείται του σχεδιασμού και της ανάπτυξης του βασικού μοντέλου γλώσσας καταγραφής (LogLM) της εταιρείας. Με ισχυρό ακαδημαϊκό και ερευνητικό υπόβαθρο στην γενετική και πολυτροπική τεχνητή νοημοσύνη, προσφέρει εξειδικευμένη εμπειρία στη δημιουργία μοντέλων ειδικών για κάθε τομέα που ενισχύουν την ανίχνευση και την αντιμετώπιση απειλών σε περιβάλλοντα κυβερνοασφάλειας.

Βαθύς ρυθμός είναι μια εταιρεία κυβερνοασφάλειας που βασίζεται στο LogLM, ένα μοντέλο βάσης με τεχνητή νοημοσύνη, εκπαιδευμένο σε δεδομένα καταγραφής ασφαλείας μεγάλης κλίμακας. Η πλατφόρμα υπερέχει στον εντοπισμό προηγμένων, προηγουμένως αθέατων απειλών, ελαχιστοποιώντας παράλληλα τα ψευδώς θετικά. Σχεδιασμένη για απρόσκοπτη ενσωμάτωση σε υπάρχουσες ροές εργασίας ασφαλείας, η DeepTempo υποστηρίζει αναπτύξεις σε datalakes, Kubernetes και Snowflake, επιτρέποντας ταχύτερη εγκληματολογία, μειωμένο κόστος πρόσληψης δεδομένων και κλιμακωτή, αυτοματοποιημένη άμυνα για σύγχρονες επιχειρήσεις.

Τι σας οδήγησε να συνιδρύσετε την DeepTempo και πώς το υπόβαθρό σας στην ακαδημαϊκή έρευνα και την τεχνητή νοημοσύνη ανοιχτού κώδικα συνέβαλε στην κατεύθυνση της εταιρείας;

Μεγάλωσα σε μια δεμένη κοινότητα όπου οι σχέσεις χτίζονταν πρόσωπο με πρόσωπο, όχι μέσω οθονών. Ο πατέρας μου, δάσκαλος, μου ενστάλαξε τη σημασία της προσφοράς στο κοινωνικό σύνολο. Ενώ δεν ήμασταν πλούσιοι από υλικής άποψης, ήμασταν πλούσιοι σε σύνδεση και σκοπό. Σε αυτό το περιβάλλον, μαθαίνεις γρήγορα ότι η επίλυση προβλημάτων δεν αφορά μόνο το ατομικό ταλέντο - πρόκειται για συλλογική δύναμη. Αυτή η νοοτροπία έμεινε μαζί μου και τελικά οδήγησε στο ενδιαφέρον μου για την κοινωνική επιχειρηματικότητα, ενώ σπούδαζα μηχανική στο IIT Ropar.

Το σημείο καμπής ήρθε όταν το πρόγραμμα περιήγησης του πατέρα μου επλήγη από μια επίθεση ransomware. Δεν ήταν απλώς ένα τεχνικό πρόβλημα, αλλά εισήγαγε φόβο, σύγχυση και ευπάθεια στο σπίτι μας. Αυτή η εμπειρία μου άνοιξε τα μάτια για το πόσο εύθραυστος είναι ο ψηφιακός κόσμος, όχι μόνο για τα άτομα, αλλά και για τους οργανισμούς που απειλούνται συνεχώς. Εκείνη την εποχή, γνώρισα τον Evan, του οποίου το όραμα για την οικοδόμηση συλλογικής άμυνας σε διαδικτυακή κλίμακα με άγγιξε βαθιά. Αυτή η κοινή αποστολή - και η προσπάθειά μου να εφαρμόσω την τεχνολογία στην υπηρεσία των ανθρώπων - είναι αυτό που με τράβηξε στο DeepTempo.

Στο Πανεπιστήμιο της Ουάσινγκτον, η έρευνά μου επικεντρώθηκε σε δύο βασικούς τομείς: τη μάθηση πολυτροπικής αναπαράστασης και την τεχνητή νοημοσύνη που βασίζεται στα δεδομένα. Και οι δύο αποδείχθηκαν κρίσιμες καθώς δημιουργήσαμε το κάθετο μοντέλο βάσης μας, το LogLM. Σε αντίθεση με τη φυσική γλώσσα, τα αρχεία καταγραφής κυβερνοασφάλειας είναι ακατάστατα, δομημένα και κατακερματισμένα. Η πρώτη μας πρόκληση ήταν να κατασκευάσουμε μια νέα «γλώσσα» για να ερμηνεύσουμε αυτά τα δεδομένα, επιτρέποντας στο LogLM να μαθαίνει ουσιαστικές αναπαραστάσεις από αυτές τις ακολουθίες. Έχουμε επίσης επενδύσει σε μεγάλο βαθμό στον τρόπο με τον οποίο αξιολογούμε την απόδοση, επειδή στην ασφάλεια, η ακρίβεια δεν είναι προαιρετική και οι παραισθήσεις δεν είναι αποδεκτές.

Αλλά πέρα ​​από την τεχνολογία, ο βόρειος αστέρας μας ήταν πάντα η συλλογική άμυνα. Γι' αυτό η συνεργασία ανοιχτού κώδικα θα είναι απαραίτητη για την επιτυχία αυτής της αποστολής σε μεγάλη κλίμακα.

Η έννοια της «συλλογικής άμυνας» είναι κεντρικής σημασίας για το DeepTempo. Τι σημαίνει αυτό στην πράξη και πώς διαφέρει από τις παραδοσιακές προσεγγίσεις στην κυβερνοασφάλεια;

Στην πράξη, η συλλογική άμυνα σημαίνει ότι όταν η παρουσία του LogLM ενός πελάτη εντοπίζει μια νέα συμπεριφορά επίθεσης, ας πούμε, μια σταδιακή εκστρατεία C2 και exfiltration που περιλαμβάνει συμπεριφορά beaconing ακολουθούμενη από μη φυσιολογική εξερχόμενη μεταφορά δεδομένων, αυτή η πληροφορία μπορεί να συμπυκνωθεί σε μια γενικευμένη υπογραφή συμπεριφοράς και να κοινοποιηθεί σε όλο το οικοσύστημα. Το κρίσιμο σημείο είναι ότι αυτό δεν περιλαμβάνει την αποστολή ακατέργαστων αρχείων καταγραφής ή δεδομένων πελατών. Αντίθετα, αφαιρούμε μοτίβα συμπεριφοράς υψηλής εμπιστοσύνης και τα ενσωματώνουμε σε βάρη μοντέλων μέσω τεχνικών ομόσπονδης μάθησης.

Αυτή είναι μια έντονη αντίθεση με τα παλαιότερα συστήματα που βασίζονται είτε σε κανόνες ενιαίου μεγέθους είτε σε στατικές ροές πληροφοριών για απειλές. Αυτά τα συστήματα δεν εξελίσσονται μέχρι να επηρεαστούν πολλά θύματα. Με τη συλλογική άμυνα, το σύστημα ανίχνευσης εξελίσσεται με κάθε σήμα υψηλής ποιότητας, ακόμη και αν η απειλή είναι υπερβολικά συγκεκριμένη για ένα περιβάλλον. Αυτό μας επιτρέπει να εντοπίζουμε πολυμορφικές απειλές και ροές επιθέσεων με επαυξημένη LLM πριν αυτές εξαπλωθούν ευρέως.

Ποια συγκεκριμένα κενά στην ασφάλεια των επιχειρήσεων οδήγησαν στην ανάπτυξη του LogLM και πώς διαφέρει ουσιαστικά από τα παλαιότερα συστήματα ανίχνευσης;

Οι ομάδες ασφάλειας επιχειρήσεων αντιμετωπίζουν τρία σημαντικά προβλήματα: υψηλό λόγο θορύβου προς σήμα, εύθραυστες ανιχνεύσεις που δεν μεταφέρονται μεταξύ περιβαλλόντων και αργή προσαρμογή σε αναδυόμενες απειλές. Το LogLM δημιουργήθηκε για να αντιμετωπίσει και τα τρία.

Τα περισσότερα υπάρχοντα συστήματα βασίζονται σε προσεγγίσεις ML που βασίζονται σε κανόνες ή σε στενές προσεγγίσεις ML, οι οποίες απαιτούν εβδομάδες ή μήνες συντονισμού για την κατανόηση ενός νέου περιβάλλοντος. Αυτές οι προσεγγίσεις αποτυγχάνουν όταν οι εισβολείς αλλάζουν ελαφρώς την τακτική, όπως έχουμε δει με ομάδες όπως η Scattered Spider ή η Volt Typhoon. Το LogLM εκπαιδεύεται σε μεγάλους όγκους τηλεμετρίας ασφαλείας, αντιμετωπίζοντάς την ως ένα είδος δομημένης γλώσσας. Αυτό του επιτρέπει να αναγνωρίζει σύνθετες ακολουθίες, όπως μια απότομη αύξηση των εξερχόμενων αιτημάτων DNS ακολουθούμενη από ασυνήθιστη δραστηριότητα Okta, όχι ως μεμονωμένες ανωμαλίες αλλά ως μέρος μιας αφήγησης απειλής.

Σε αντίθεση με τα παλαιότερα εργαλεία που παράγουν ασύνδετες ειδοποιήσεις, το LogLM παράγει ερμηνεύσιμες ανιχνεύσεις σε επίπεδο τακτικής. Και επειδή είναι κατασκευασμένο εξ ολοκλήρου από την αρχή, αντί να επαναχρησιμοποιείται ή να προσαρμόζεται, έχει σχεδιαστεί για ασφάλεια από την αρχή, επιτρέποντας γρήγορη προσαρμογή με μόλις λίγες ημέρες μη επισημασμένων αρχείων καταγραφής. Αυτό κάνει την ενσωμάτωση γρήγορη και την ανίχνευση πολύ πιο ανθεκτική.

Τι είναι οι σκιώδεις πράκτορες και πώς θέτουν σε κίνδυνο οργανισμούς που λειτουργούν χωρίς κεντρική εποπτεία;

Οι σκιώδεις πράκτορες είναι αυτόνομα εργαλεία τεχνητής νοημοσύνης, συχνά κατασκευασμένα πάνω σε LLM, που λειτουργούν εντός μιας επιχείρησης χωρίς ρητή εξουσιοδότηση ή ορατότητα από την ομάδα ασφαλείας. Ένα πρόσφατο παράδειγμα είναι το CVE‑2025‑32711 (“EchoLeak”) του MITRE, ένα κενό ασφαλείας μηδενικού κλικ στο Microsoft 365 Copilot που ενεργοποιείται απλώς ζητώντας του να συνοψίσει τα email. Το ελάττωμα επιτρέπει στους εισβολείς να αποσπούν εσωτερικά δεδομένα μέσω του περιβάλλοντος RAG του πράκτορα, χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη. Ενώ αυτοί οι πράκτορες μπορούν να ενισχύσουν την παραγωγικότητα, συχνά παρακάμπτουν τον έλεγχο ασφαλείας και εκθέτουν ευαίσθητα δεδομένα σε ανεξέλεγκτα επίπεδα συμπερασμάτων.

Έχουμε δει περιπτώσεις όπου ένας σκιώδης παράγοντας που δημιουργήθηκε με ένα δημόσιο LLM εκτέθηκε σε αρχεία καταγραφής συστήματος και άρχισε να διαρρέει ιχνηλατήσεις στοίβας που περιείχαν κωδικοποιημένα διαπιστευτήρια. Αυτοί οι παράγοντες συνήθως δεν διαθέτουν στοιχεία ελέγχου DLP, δεν ακολουθούν πολιτικές πρόσβασης και δεν ελέγχονται. Ακόμα χειρότερα, επειδή μπορούν να λαμβάνουν αποφάσεις, όπως η προώθηση εξόδου σε εξωτερικά συστήματα, γίνονται οι ίδιοι επιφάνειες επίθεσης. Στο πλαίσιο της άμεσης έγχυσης ή της αλυσιδωτής αλληλεπίδρασης, ένας μεμονωμένος παράγοντας μπορεί να εξαναγκαστεί να ενεργοποιήσει downstream ενέργειες με πραγματικό αντίκτυπο.

Γιατί η άμεση εισαγωγή δεδομένων και η χειραγώγηση μοντέλων γίνονται σοβαρές απειλές και γιατί τα περισσότερα τρέχοντα συστήματα δεν τις εντοπίζουν;

Η άμεση εισαγωγή δεδομένων είναι επικίνδυνη επειδή εκμεταλλεύεται την βασική λειτουργικότητα του μοντέλου: την ερμηνεία της φυσικής γλώσσας. Τα περισσότερα εταιρικά συστήματα αντιμετωπίζουν τα αποτελέσματα του μοντέλου ως αξιόπιστα, αλλά εάν το μοντέλο λάβει κρυφές οδηγίες, ενσωματωμένες σε ένα σχόλιο χρήστη, μια κλήση API ή ακόμα και σε ένα όνομα αρχείου, μπορεί να εξαπατηθεί ώστε να εκτελέσει ακούσιες ενέργειες. Έχουμε δει αντιπάλους να το χρησιμοποιούν αυτό για να αντλούν διαπιστευτήρια από το ιστορικό συνομιλιών, να μιμούνται χρήστες ή να παρακάμπτουν την επικύρωση εισόδου.

Το βαθύτερο ζήτημα είναι ότι τα LLM είναι βελτιστοποιημένα για συνοχή και όχι για ασφάλεια. Όπως διερευνήσαμε στην πρόσφατη απάντησή μας στη μελέτη της Βασιλικής Εταιρείας, τα μοντέλα τείνουν να δίνουν προτεραιότητα στην ευχέρεια και τη γενικότητα έναντι της προσοχής και της ακρίβειας. Ακόμα και η προτροπή τους να «είναι πιο ακριβή» μπορεί να αποτύχει, οδηγώντας σε πιο σίγουρες, αλλά και πάλι λανθασμένες, απαντήσεις. Και ο χειρισμός του μοντέλου από αντιπάλους αποτελεί μακροπρόθεσμη ανησυχία. Οι εισβολείς μπορούν να δηλητηριάσουν σύνολα δεδομένων ή να διαμορφώσουν διακριτικά την έξοδο επαναλαμβάνοντας δομημένα ερωτήματα με την πάροδο του χρόνου, ωθώντας σταδιακά το μοντέλο σε έναν πιο επιτρεπτικό χώρο συμπεριφοράς. Η ανίχνευση εδώ απαιτεί πλήρη καταγραφή αλυσίδας, συνεχή αξιολόγηση και sandboxing σε επίπεδο μοντέλου, τεχνικές που τα περισσότερα εταιρικά συστήματα δεν έχουν ακόμη υιοθετήσει.

Πώς χρησιμοποιεί το Tempo τις αντιστοιχίσεις MITRE ATT&CK για να παρέχει αξιοποιήσιμες πληροφορίες αντί για απλές ειδοποιήσεις;

Το Tempo αντιστοιχίζει τις ανιχνεύσεις του σε τακτικές και τεχνικές ATT&CK χρησιμοποιώντας τόσο εποπτευόμενους ταξινομητές όσο και μη εποπτευόμενη αλυσίδα συμπεριφοράς. Όταν το σύστημα βλέπει μια ακολουθία όπως ύποπτη εκτέλεση PowerShell, τροποποίηση κλειδιού μητρώου και ασυνήθιστη εξερχόμενη κίνηση, δεν ειδοποιεί απλώς σε κάθε βήμα, αλλά επισημαίνει την ακολουθία ως Εκτέλεση > Αποφυγή Άμυνας > Αποβολή, αντιστοιχίζοντας γνωστά αναγνωριστικά ATT&CK.

Αυτό επιτρέπει στους υπερασπιστές να κατανοήσουν άμεσα τον στόχο του αντιπάλου και πού βρίσκεται στην αλυσίδα εξόντωσης. Παρέχουμε επίσης εμπλουτισμό: επηρεαζόμενες οντότητες, σχετικά αρχεία καταγραφής και βαθμολογίες εμπιστοσύνης. Αυτή η δομημένη προσέγγιση μειώνει το γνωστικό φορτίο για τους αναλυτές SOC και επιταχύνει τις ροές εργασίας απόκρισης, οι ομάδες γνωρίζουν ποια τακτική χρησιμοποιήθηκε, τι οδήγησε σε αυτήν και ποιο είναι το πιθανό επόμενο βήμα. Αυτό είναι ένα σημαντικό άλμα από τα συστήματα κόπωσης συναγερμού που ενεργοποιούν κάθε ανωμαλία χωρίς αφηγηματικό πλαίσιο.

Γιατί η DeepTempo λειτουργεί ανοδικά των συστημάτων SIEM (Διαχείριση Πληροφοριών Ασφάλειας και Συμβάντων) και πώς αυτή η τοποθέτηση ενισχύει την ανίχνευση απειλών και βελτιστοποιεί τις λειτουργίες των ομάδων ασφαλείας;

Τα SIEM τείνουν να ομαλοποιούν και να φιλτράρουν τα αρχεία καταγραφής για να μειώσουν το κόστος απορρόφησης. Ωστόσο, με αυτόν τον τρόπο, συχνά χάνουν πολύτιμο περιεχόμενο, όπως ακριβείς χρονικές σημάνσεις, αιχμές καθυστέρησης ή συμπεριφορές εφήμερων συνεδριών. Το DeepTempo λειτουργεί ανοδικά, απορροφώντας ακατέργαστη τηλεμετρία πριν από αυτόν τον μετασχηματισμό. Αυτό μας επιτρέπει να μοντελοποιούμε πλουσιότερα πρότυπα συμπεριφοράς, όπως επαναχρησιμοποίηση διακριτικών υπηρεσίας με μικρές παραλλαγές χρονισμού ή σπάνιες ακολουθίες κλήσεων API που δεν θα κατάφερναν ποτέ να ξεπεράσουν τα όρια SIEM.

Η εργασία ανοδικά σημαίνει επίσης ότι μπορούμε να μειώσουμε τον θόρυβο πριν καν φτάσει στο SIEM. Αντί να προωθούμε petabytes γραμμών καταγραφής την ημέρα, διαβιβάζουμε 50-100 συμβάντα υψηλού περιβάλλοντος με πλήρη εμπλουτισμό ATT&CK και βαθμολόγηση βάσει μοντέλου. Οι ομάδες αφιερώνουν λιγότερο χρόνο στην ταξινόμηση και περισσότερο χρόνο στη διερεύνηση απειλών που έχουν σημασία. Αυτό μειώνει επίσης το κόστος αποθήκευσης και υπολογισμού του SIEM, το οποίο μπορεί να είναι σημαντικό σε μεγάλα περιβάλλοντα.

Τι επιτρέπει στο Tempo να βελτιώνει τα μοντέλα σε νέα περιβάλλοντα τόσο γρήγορα και πώς συγκρίνεται αυτό με τις παραδοσιακές ροές εργασίας μηχανικής μάθησης;

Τα παραδοσιακά συστήματα μηχανικής μάθησης (ML) συχνά απαιτούν εβδομάδες δεδομένων με ετικέτες και επανεκπαίδευσης για να προσαρμοστούν σε ένα νέο περιβάλλον. Το Tempo υιοθετεί μια θεμελιωδώς διαφορετική προσέγγιση. Αντί να ξεκινά από το μηδέν, αξιοποιεί ένα προ-εκπαιδευμένο μοντέλο που βασίζεται σε μεγάλης κλίμακας, πραγματική τηλεμετρία δικτύου, όπως τα δεδομένα ροής NetFlow και VPC. Αυτό του δίνει μια ισχυρή κατανόηση του πώς οι ροές και οι συμπεριφορές κυκλοφορίας εμφανίζονται συνήθως σε διαφορετικά περιβάλλοντα.

Όταν το Tempo αναπτύσσεται σε ένα νέο περιβάλλον, δεν χρειάζεται δεδομένα με ετικέτα ή μεγάλους κύκλους εκμάθησης. Χρησιμοποιεί μόνο λίγες ημέρες τοπικής δραστηριότητας δικτύου για να δημιουργήσει μια γραμμή βάσης και να βελτιστοποιηθεί ώστε να ανιχνεύει μοτίβα ειδικά για αυτό το περιβάλλον, όπως ασυνήθιστη πρόσβαση εκτός ωραρίου λειτουργίας, ανωμαλίες επικοινωνίας μεταξύ υπηρεσιών ή απροσδόκητη μετακίνηση δεδομένων. Αυτό συμβαίνει σε ώρες, όχι σε εβδομάδες.

Επειδή η διαδικασία είναι αυτοεποπτευόμενη, δεν υπάρχει ανάγκη οι ομάδες ασφαλείας να επισημαίνουν ή να επισημαίνουν συμβάντα χειροκίνητα. Και για να παραμένουμε ενημερωμένοι καθώς τα περιβάλλοντα εξελίσσονται, έχουμε ενσωματώσει μηχανισμούς στιγμιότυπων που επιτρέπουν στο μοντέλο να «ξεχνά» ξεπερασμένες συμπεριφορές όταν αλλάζουν η υποδομή ή οι πολιτικές. Η λειτουργία στο επίπεδο δικτύου μας επιτρέπει να εντοπίζουμε απειλές νωρίτερα και σε ευρύτερο πλαίσιο, κάτι που διαφοροποιεί το Tempo από τα παραδοσιακά εργαλεία ασφαλείας που βασίζονται σε τερματικά ή λογαριθμικά στοιχεία.

Πώς διατηρεί το DeepTempo υψηλή ακρίβεια, ελαχιστοποιώντας παράλληλα τα ψευδώς θετικά αποτελέσματα, ειδικά σε δυναμικά περιβάλλοντα cloud;

Συνδυάζουμε τη χρονική μοντελοποίηση με την ανάλυση συμπεριφοράς δικτύου που βασίζεται στο περιβάλλον, η οποία βασίζεται απευθείας σε αρχεία καταγραφής ροής NetFlow και VPC. Η προσέγγισή μας για τη δημιουργία ευγενών ακολουθιών, σε συνδυασμό με την προεκπαίδευση μεγάλης κλίμακας αλγορίθμων βαθιάς μάθησης που βασίζονται σε μετασχηματιστές, βοηθά στην κατανόηση του τρόπου με τον οποίο εξελίσσονται τα συμβάντα δικτύου με την πάροδο του χρόνου. Δεν επισημαίνουμε μια μεμονωμένη αποτυχημένη σύνδεση, αλλά επισημαίνουμε μια αποτυχημένη σύνδεση ακολουθούμενη από μια επιτυχημένη σύνδεση από μια νέα συσκευή, μια πλευρική κίνηση και μια ασυνήθιστη πρόσβαση σε δεδομένα. Αυτό το πολυεπίπεδο χρονικό πλαίσιο φιλτράρει τον θόρυβο και επισημαίνει πραγματικές και νέες απειλές.

Δεύτερον, καταγράφουμε τις συμπεριφορές χρηστών και υπηρεσιών στο πλαίσιο. Η επανεκκίνηση ενός κόμβου Kubernetes 12 φορές είναι φυσιολογική κατά τη διάρκεια των ενημερώσεων, αλλά ύποπτη στις 2 π.μ. εάν ακολουθείται από μια νέα ανάπτυξη κοντέινερ από ένα άγνωστο μητρώο. Το Tempo το αναγνωρίζει αυτό επειδή εξετάζει ταυτόχρονα την ακολουθία, τον χρονισμό και το πλαίσιο. Επίσης, ο αγωγός ενεργής μάθησης παρακολουθεί ενεργά και συλλέγει πληροφορίες σχετικά με συγκεκριμένα στυλ ανίχνευσης. Εάν ο αγωγός εντοπίσει απόκλιση στην απόδοση ή τα δεδομένα, θα χρησιμοποιήσει τα στιγμιότυπα και τα σχόλια από τους αναλυτές για να βελτιώσει έναν μικρό αριθμό παραμέτρων του μοντέλου.

Βασίζουμε την ανίχνευσή μας σε ακατέργαστα μεταδεδομένα δικτύου υψηλής πιστότητας, συνδυάζοντας χρονική νοημοσύνη με συμπεριφορική βασική γραμμή για την παροχή ειδοποιήσεων υψηλής αξιοπιστίας — ακόμη και σε περιβάλλοντα cloud που αλλάζουν στο λεπτό.

Ποιος είναι ο ρόλος της επεξηγηματικότητας στο σύστημά σας και πώς διασφαλίζετε ότι οι ειδοποιήσεις συνοδεύονται από εύχρηστο και ερμηνεύσιμο πλαίσιο;

Κάθε ανίχνευση στο Tempo περιλαμβάνει μια σύνοψη, τα υποκείμενα στοιχεία καταγραφής και την τακτική που προκύπτει (π.χ. Πρόσβαση σε διαπιστευτήρια μέσω Brute Force). Παρέχουμε επίσης ένα γράφημα σχετικών οντοτήτων, χρηστών, τελικών σημείων, πόρων cloud, ώστε οι ομάδες SOC να μπορούν να οπτικοποιήσουν το περιστατικό. Στόχος είναι η εξάλειψη του φαινομένου του "μαύρου κουτιού" που μαστίζει πολλά συστήματα τεχνητής νοημοσύνης.

Δανειστήκαμε από ακαδημαϊκά εργαλεία εξήγησης όπως το LIME και το SHAP σε πρώιμα πρωτότυπα, αλλά διαπιστώσαμε ότι δεν ήταν διαισθητικά για τους αναλυτές. Έτσι, αντίθετα, δημιουργούμε μια απλή αφήγηση: τι συνέβη, πότε, γιατί είναι ύποπτο και πόσο σίγουροι είμαστε. Δεν πρόκειται μόνο για σαφήνεια, αλλά για το πώς να δώσουμε τη δυνατότητα στους αναλυτές πρώτης βαθμίδας να ενεργούν χωρίς να κλιμακώνουν κάθε ειδοποίηση.

Ποιοι είναι οι μακροπρόθεσμοι κίνδυνοι από τη χρήση από τους ίδιους τους εισβολείς μοντέλων τεχνητής νοημοσύνης και βάσεων δεδομένων, και πώς σχεδιάζει η DeepTempo να παραμείνει μπροστά;

Το τοπίο των απειλών εισέρχεται σε μια φάση όπου οι εισβολείς μπορούν να αναπτύξουν πράκτορες τεχνητής νοημοσύνης που μαθαίνουν μόνοι τους, μεταλλάσσουν ωφέλιμα φορτία εν κινήσει και προσομοιώνουν τη νόμιμη συμπεριφορά των χρηστών. Αυτοί οι πράκτορες μπορούν να λειτουργούν 24/7, ανιχνεύοντας αδύνατα σημεία, προσαρμόζοντας με κάθε αποτυχημένη προσπάθεια. Αυτή είναι μια θεμελιώδης αλλαγή, δεν πρόκειται πλέον για zero-days, αλλά για ταχύτητα, επανάληψη και συσκότιση.

Προετοιμαζόμαστε επενδύοντας σε εκπαίδευση σε αντιπαραθέσεις, ανίχνευση σε ανοδικό ρεύμα και μοντελοποίηση συμπεριφοράς που δεν βασίζεται σε γνωστούς δείκτες. Στόχος μας είναι να εντοπίσουμε τη δομή της κακόβουλης συμπεριφοράς πριν κλιμακωθεί. Διερευνούμε επίσης τρόπους για να εντοπίζουμε την κίνηση εισβολέων που δημιουργείται από την τεχνητή νοημοσύνη, όπως κάποτε εντοπίζαμε τα δακτυλικά αποτυπώματα των botnet, ώστε οι υπερασπιστές να μπορούν να επισημαίνουν δραστηριότητα ακόμα και όταν τα ωφέλιμα φορτία αλλάζουν συνεχώς.

 Σας ευχαριστούμε για την υπέροχη συνέντευξη, οι αναγνώστες που επιθυμούν να μάθουν περισσότερα πρέπει να το επισκεφτούν Βαθύς ρυθμός.