Entretiens

Mike Wiacek, Fondateur et Directeur technique de Stairwell – Série d’entretiens

mm
Published
Updated

Mike Wiacek est le directeur technique et fondateur de Stairwell. Il est passionné par la sécurité et par la création d’une culture d’équipe basée sur la collaboration, l’honnêteté et la détermination à aider les clients à déjouer les attaquants. Avant de fonder Stairwell, Mike était le co-fondateur et le directeur de la sécurité de Chronicle d’Alphabet et a également fondé le Threat Analysis Group de Google.

Stairwell est une entreprise de cybersécurité qui aide les organisations à détecter et à répondre aux menaces en utilisant une approche basée sur les données. Sa plateforme collecte et analyse en continu les fichiers au fil du temps, permettant une surveillance en temps réel, une chasse aux menaces rétrospective et des insights alimentés par l’IA. Avec une analyse statique et comportementale avancée, Stairwell équipe les équipes de sécurité pour identifier les menaces de jour zéro et prendre des décisions éclairées plus rapidement.

Vous avez fondé Stairwell après avoir dirigé les efforts de sécurité chez Google TAG et Chronicle. Quel était l’écart que vous avez vu dans le paysage de la cybersécurité qui vous a convaincu qu’il était temps de créer quelque chose de nouveau ?

Après avoir dirigé la sécurité chez Google TAG et avoir construit Chronicle, j’ai vu le même schéma cassé se reproduire partout : les équipes de renseignement sur les menaces travaillaient avant l’attaque, les SOC pendant l’attaque et les équipes de réponse aux incidents après l’attaque, toutes essayant de répondre à la même question fondamentale avec différents outils, différentes données et des mentalités complètement différentes. Pas de continuité. Pas de vérité partagée. Ce n’était pas que l’idée était fausse — c’est que la mise en œuvre l’était.

La plupart de l’industrie est construite autour des journaux. Mais les journaux sont des mesures sur mesure. Ils sont des interprétations. Des observations. Ils sont fragiles et sont conçus pour répondre aux questions d’hier. Si le journal n’a pas capturé l’information, vous êtes malchanceux. Et pire encore, la croissance du volume des journaux est coûteuse et insoutenable.

Entrez dans le jeu les fichiers bruts. Les exécutables, les scripts, les DLL, c’est là que vit la vérité. Les fichiers ne mentent pas. Ils ne changent pas en fonction de qui les observe. Et si vous avez les artefacts bruts, vous pouvez faire quelque chose que aucun outil basé sur les journaux ne peut faire : correspondre les similarités, détecter les variantes, découvrir les relations et répondre à chaque question à travers tout le temps.

Je’ai donc construit Stairwell pour unifier tout cela. Une plateforme. Une source de vérité. En analysant en continu ce qui s’exécute réellement dans votre environnement — et non seulement ce qui est consigné à son sujet. Lorsque chaque équipe travaille à partir de la même preuve, elles s’améliorent toutes. Triage plus rapide. Détection plus intelligente. Enquêtes plus approfondies. C’est ainsi que nous arrêtons de lutter contre la faille d’hier et que nous commençons à devancer la prochaine.

Stairwell vise à donner aux défenseurs la capacité de penser comme les attaquants. Comment votre plateforme permet-elle pratiquement cela, et quels types d’organisations bénéficient le plus de cette approche ?

Les attaquants n’attendent pas les alertes. Ils n’opèrent pas dans des silos. Ils ne se soucient pas de votre politique de rétention des journaux, de votre appétit pour le risque ou de vos préoccupations budgétaires.

Ils apprennent vos outils, évitent vos contrôles et enchaînent les fichiers, l’infrastructure et le timing pour atteindre tranquillement leur objectif. Les défenseurs doivent faire de même — penser en termes de relations, et non d’alertes. C’est le mental que Stairwell vous donne.

Pratiquement, cela commence par la visibilité de tout ce qui s’exécute. Nous collectons et préservons les artefacts bruts — les exécutables, les scripts, les chargeurs, les payloads — et les analysons en continu. Pas seulement lorsqu’ils sont vus pour la première fois. Pour toujours. Cela signifie que vous pouvez chasser comme un adversaire : trouver un fichier déposé, basculer vers ses variantes, identifier le chargeur, le retracer jusqu’à la réutilisation de l’infrastructure et découvrir chaque étape de la campagne.

Vous n’avez pas besoin de rétro-ingénier chaque échantillon. Stairwell l’automatise. Vous n’avez pas besoin de deviner ce qu’un fichier fait. L’analyse intelligente de Stairwell vous le dit. Vous n’avez pas besoin de vous demander à quoi il ressemble. La découverte de variantes de Stairwell vous le montre.

Qui en bénéficie ? Quiconque est fatigué de voler à l’aveugle.

Si vous êtes une cible de haute valeur — infrastructure critique, finance, défense —, vous ne pouvez pas vous permettre de deviner. Si vous êtes une équipe légère, Stairwell vous transforme en multiplicateur de force. Si vous êtes noyé dans les alertes, nous vous aidons à couper le bruit et à faire courir chaque alerte jusqu’au bout.

En fin de compte : les attaquants pensent en termes de relations. Maintenant, les défenseurs peuvent le faire aussi – avec une vue d’ensemble de tout, toujours.

Votre parcours comprend des expériences chez la NSA, Google et Chronicle. Comment ces expériences ont-elles façonné votre compréhension des menaces étatiques et persistantes, en particulier en relation avec la protection des infrastructures critiques ?

Je pense à la sécurité comme à un problème de recherche de données. Collectons, stockons et analysons autant de données que possible et trouvons des réponses aux questions à l’intérieur de ces données. Le morceau manquant de données pour la plupart des organisations est ses fichiers réels. Vos fichiers sont votre actif le plus précieux. Les équipes de sécurité des entreprises ne peuvent pas répondre à la question la plus basique — Est-ce que l’un de vos renseignements sur les menaces se trouve sur l’ordinateur portable de votre PDG ? Stairwell vous le dit immédiatement et en continu après cela.

Stairwell gère plus de 8 milliards de vues de fichiers en utilisant Google Cloud Bigtable. Quels ont été les plus grands obstacles d’ingénierie pour construire un système d’analyse de menaces qui fonctionne à cette échelle ?

L’une des choses dont nous sommes les plus fiers est que nous avons trouvé une solution d’ingénierie pour rassembler, stocker et analyser efficacement chaque fichier exécutable dans une entreprise. Nous analysons en continu ces fichiers par rapport à notre corpus de logiciels malveillants, aux règles YARA, aux rapports de menaces. Tout nouveau fichier est investigué — en quelques secondes. Intéressant, le processus est si léger que les clients nous demandent souvent de vérifier si les fichiers sont collectés. Lorsque nous leur montrons que cela fonctionne, ils sont souvent surpris de voir à quel point cela occupe peu de CPU.

Vous avez dit que vous voulez que Stairwell fasse pour la cybersécurité ce que Google a fait pour la recherche. Qu’est-ce que cela signifie en termes d’expérience utilisateur et de direction de produit ?

Nous sommes essentiellement un moteur de recherche pour vos exécutables et fichiers associés. Nous permettons aux équipes de sécurité de répondre à des questions sur leurs fichiers. Des questions comme — est-ce que ce fichier est un logiciel malveillant ? Existe-t-il des variantes de ce fichier quelque part dans nos systèmes ? Quels points de terminaison ont ce logiciel malveillant ? Est-ce que ce fichier vulnérable récemment identifié se trouve sur l’un de nos appareils ? Est-ce que ce fichier est commun ? A-t-il des frères et sœurs communs ailleurs ? Où est-ce ? Et QUAND est-il arrivé ?

L’une des forces fondamentales de Stairwell est sa capacité à mener une chasse aux menaces proactive et rétrospective — ce qui signifie qu’elle peut détecter à la fois les menaces actives et découvrir les attaques passées qui peuvent être passées inaperçues. Comment cette approche diffère-t-elle des outils de sécurité traditionnels comme les SIEM (systèmes de gestion des informations et des événements de sécurité) ou les plateformes EDR (détection et réponse des points de terminaison), qui se concentrent souvent sur les alertes en temps réel ?

Les outils traditionnels comme les SIEM et les EDR sont conçus pour maintenant. Ils se concentrent sur les alertes en temps réel et les détections ponctuelles. Utiles dans le moment, mais aveugles à tout ce qui n’a pas déclenché une règle ou qui a glissé lorsqu’on ne regardait pas.

Stairwell fonctionne différemment. Nous ne demandons pas seulement ce qui s’est passé. Nous demandons ce qui a jamais été dans votre environnement.

Nous préservons et analysons en continu les fichiers bruts — chaque exécutable, chaque script — à travers tout le temps. Donc, même si quelque chose a été supprimé, renommé, réemballé ou inactif, vous pouvez toujours le trouver. Toujours l’analyser. Et toujours le poursuivre jusqu’au bout.

Cela signifie que vous pouvez chasser proactivement avant l’alerte. Et rétrospectivement après la faille — même des mois plus tard, avec tout le contexte et l’historique. Essayez de faire cela avec un SIEM qui a vieilli ses journaux ou un EDR qui ne voit que ce qui s’exécute actuellement.

Stairwell vous donne le pouvoir de demander : Est-ce que cela a jamais été dans notre environnement ? Et d’obtenir une vraie réponse, pas seulement « pas récemment » ou « on ne peut pas le dire ». C’est la différence.

Avec l’intérêt croissant des organisations fédérales pour l’IA et la détection de menaces, comment voyez-vous les modèles d’IA de Stairwell contribuer à la défense au niveau national ?

Les défenseurs fédéraux n’ont pas besoin de plus de tableaux de bord. Ils ont besoin de réponses plus rapides, d’intentions plus claires et d’outils qui suivent les adversaires qui évoluent plus rapidement que le cycle d’approvisionnement du gouvernement.

Stairwell aborde l’IA d’une manière qui n’est pas simplement un classificateur greffé. Elle est construite sur une fondation profonde de milliards d’artefacts du monde réel, de prévalence de fichiers globale, de lignée de variantes et d’années de comportement de menaces. Nous combinons l’extraction de fonctionnalités statiques et comportementales avec des invites LLM structurées pour expliquer pourquoi quelque chose est important — et pas seulement le signaler comme suspect.

Cela signifie que nous pouvons donner aux défenseurs nationaux ce qu’ils obtiennent rarement :

  • Des insights de niveau d’ingénieur inverse pour les fichiers suspects… tous. Nous forçons les attaquants dans un scénario perdant-perdant : Soit identique au « bon logiciel », soit unique et se faire prendre. Il n’y a pas de milieu, et nous exploitons cela.
  • Des réponses riches en contexte sur l’intention, la fonctionnalité et les relations
  • Une détection de variantes qui ne se brise pas lorsque les adversaires réemballent ou renomment leur logiciel malveillant. En fait, plus les adversaires emballent, plus ils se démarquent !

L’IA est utilisée à la hâte par les fournisseurs pour automatiser ce qui a toujours été fait. Nous utilisons l’IA pour résoudre les problèmes de la manière dont ils auraient dû l’être dès le départ, mais nous n’avions pas la technologie pour y parvenir.

Nous pensons déjà comme les adversaires. Nos modèles sont formés pour disséquer, attribuer et basculer. C’est exactement ce dont les agences fédérales ont besoin — pas seulement plus d’alertes, mais la capacité de comprendre et répondre avant que la prochaine campagne ne frappe.

Les équipes de sécurité sont souvent submergées par les alertes et les faux positifs. Comment Stairwell aide-t-il à réduire ce bruit tout en faisant surface les menaces les plus critiques ?

Stairwell aide les équipes de sécurité à exploiter leur renseignement sur les menaces. L’une des parties les plus difficiles de la sécurité est de découvrir quels points de terminaison ont été infectés par un logiciel malveillant. Stairwell identifie ces appareils en quelques secondes. L’analyse intelligente de Stairwell, notre fonctionnalité alimentée par l’IA, rend la triage de fichiers trivial. Alors que notre fonctionnalité Run-to-Ground utilise la prévalence des fichiers dans votre entreprise et dans toutes les entreprises pour rendre le logiciel malveillant ciblé presque impossible à fonctionner.

Les attaquants utilisent de plus en plus l’IA pour créer des menaces plus évolutives et constamment changeantes. Comment Stairwell aide-t-il les défenseurs à suivre ce changement dans les techniques offensives ?

Dans un monde où l’IA peut être utilisée pour créer facilement des logiciels malveillants « zero day » que personne n’a jamais vus auparavant, les approches de sécurité sont mises à l’épreuve. Les outils traditionnels comme les EDR, qui utilisent des signatures et des approches de signature comportementale, sont aveugles aux nouveaux logiciels malveillants. Stairwell analyse ce que le fichier est censé faire. Stairwell est bien placé pour trouver des logiciels malveillants jamais vus créés par l’IA car il utilise l’analyse de fichiers et les techniques de recherche de données pour enquêter.

Quelle est la méconception la plus courante que les dirigeants de la sécurité ont sur leur posture de menace — et comment Stairwell aide à combler ce fossé ?

Le monde a accepté l’idée que les EDR sont parfaits. La réalité est qu’ils fournissent un faux sentiment de sécurité. Malheureusement, les EDR s’appuient sur des signatures comportementales et doivent être mis à jour chaque jour. Leur faiblesse est qu’ils n’analysent pas les fichiers sur chaque appareil, chaque jour. Stairwell est la prochaine génération de sécurité en utilisant l’intelligence de signal, y compris les fichiers de votre entreprise, pour apporter une approche de recherche de données à la sécurité pour enquêter sur les logiciels malveillants en quelques secondes.

Enfin, comment définissez-vous le succès — non seulement en termes commerciaux, mais en termes d’impact sur les défenseurs et la communauté de la cybersécurité dans son ensemble ?

Le succès peut être de nombreuses choses, mais il n’y a rien de mieux que de recevoir un appel d’un client disant que Stairwell a trouvé un logiciel malveillant sur un appareil, ou un USB, que l’EDR ou d’autres outils de sécurité ont manqués et a empêché le logiciel malveillant d’être transféré à un autre système.

Merci pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter Stairwell.

mm

Antoine est un leader visionnaire et partenaire fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et se fait souvent prendre en train de vanter le potentiel des technologies perturbatrices et de l'AGI.
En tant que futurist, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.