Mike Wiacek, osnivač i tehnički direktor tvrtke Stairwell – serija intervjua

Mike Wiacek je tehnički direktor i osnivač tvrtke Stairwell. Strastveno se bavi sigurnošću i izgradnjom timske kulture utemeljene na suradnji, iskrenosti i predanosti pomaganju korisnicima da nadmudre napadače. Prije osnivanja tvrtke Stairwell, Mike je bio suosnivač i glavni sigurnosni direktor tvrtke Alphabet Chronicle, a osnovao je i Googleovu grupu za analizu prijetnji.

vertikalni otvor za stepenište je tvrtka za kibernetičku sigurnost koja pomaže organizacijama u otkrivanju i reagiranju na prijetnje koristeći pristup koji prvo stavlja podatke na prvo mjesto. Njihova platforma kontinuirano prikuplja i analizira datoteke tijekom vremena, omogućujući praćenje u stvarnom vremenu, retrospektivno traženje prijetnji i uvide temeljene na umjetnoj inteligenciji. S naprednom statičkom i bihevioralnom analizom, Stairwell oprema sigurnosne timove za prepoznavanje zero-day prijetnji i brže donošenje informiranih odluka.

Osnovali ste vertikalni otvor za stepenište nakon što ste vodili sigurnosne napore u Google TAG-u i Chronicleu. Koju ste prazninu uočili u krajoliku kibernetičke sigurnosti koja vas je uvjerila da je vrijeme za izgradnju nečeg novog?

Nakon što sam vodio sigurnost u Google TAG-u i izgradio Chronicle, vidio sam isti prekinuti obrazac posvuda: timovi za obavještajne podatke o prijetnjama radili su prije napada, SOC-ovi tijekom, a IR timovi nakon toga, svi pokušavajući odgovoriti na isto temeljno pitanje s različitim alatima, različitim podacima i potpuno različitim načinima razmišljanja. Nema kontinuiteta. Nema zajedničke istine. Nije da je ideja bila pogrešna - već je implementacija bila pogrešna.

Većina industrije izgrađena je oko trupaca. Ali trupci su mjerenja po mjeri. To su interpretacije. Opažanja. Krhki su i izrađeni su da odgovore na jučerašnja pitanja. Ako trupac to nije obuhvatio, nemate sreće. A što je još gore, rast volumena trupaca je skup i neodrživ.

Poduzeća zaboravljaju na svoju najvažniju imovinu – sirove datoteke. Izvršne datoteke, skripte, DLL-ovi, tu živi istina. Datoteke ne lažu. Ne mijenjaju se ovisno o tome tko ih promatra. A ako imate sirove artefakte, možete učiniti nešto što nijedan alat temeljen na zapisnicima nikada ne bi mogao: usporediti sličnosti, otkriti varijante, otkriti odnose i odgovoriti na svako pitanje u svakom trenutku.

Tako sam izgradio vertikalni otvor za stepenište objediniti sve ovo. Jedna platforma. Jedan izvor istine. Kontinuirano analiziranje onoga što se zapravo izvodi u vašem okruženju - ne samo onoga što se o tome bilježi. Kada svaki tim radi na temelju istih dokaza, svi postaju bolji. Brža trijaža. Pametnije otkrivanje. Dublje istrage. Tako prestajemo boriti se protiv jučerašnjeg prodora i počinjemo se boriti protiv sljedećeg.

vertikalni otvor za stepenište ima za cilj dati braniteljima mogućnost da razmišljaju kao napadači. Kako vaša platforma to praktično omogućuje i koje vrste organizacija imaju najviše koristi od tog pristupa?

Napadači ne čekaju upozorenja. Ne djeluju izolirano. Ne mare za vašu politiku čuvanja logova, sklonost riziku ili proračunske probleme.

Uče vaše alate, izbjegavaju vaše kontrole i povezuju datoteke, infrastrukturu i vrijeme kako bi tiho došli do svog cilja. Branitelji trebaju učiniti isto - razmišljati o odnosima, a ne o upozorenjima. To je način razmišljanja. vertikalni otvor za stepenište daje ti.

Praktično, ovo počinje s uvidom u sve što se izvodi. Prikupljamo i čuvamo sirove artefakte - izvršne datoteke, skripte, učitavače, korisne terete - i kontinuirano ih analiziramo. Ne samo kada se prvi put vide. Zauvijek. To znači da možete loviti poput protivnika: pronaći izgubljenu datoteku, preusmjeriti se na njezine varijante, identificirati učitavača, pratiti je do ponovne upotrebe infrastrukture i otkriti svaku fazu kampanje.

Ne morate obrnutim inženjeringom rekonstruirati svaki uzorak. vertikalni otvor za stepenište automatizira to. Ne morate nagađati što datoteka radi. vertikalni otvor za stepeništeInteligentna analiza vam govori. Ne morate se pitati što još izgleda kao to. vertikalni otvor za stepeništeOtkriće varijanti vam pokazuje.

Tko ima koristi? Svatko tko je umoran od letenja naslijepo.

Ako ste meta visoke vrijednosti - kritična infrastruktura, financije, obrana - ne možete si priuštiti nagađanje. Ako ste vitak tim, vertikalni otvor za stepenište pretvara vas u multiplikator sile. Ako se utapate u upozorenjima, mi vam pomažemo da se probijete kroz buku i da svako upozorenje odmah riješite.

Zaključak: napadači razmišljaju u odnosima. Sada to mogu i branitelji – uvijek s pogledom iz ptičje perspektive na sve.

Vaše iskustvo uključuje rad u NSA-i, Googleu i Chronicleu. Kako su ta iskustva oblikovala vaše razumijevanje prijetnji nacionalnim državama i trajnih prijetnji, posebno u odnosu na zaštitu kritične infrastrukture?

O sigurnosti razmišljam kao o problemu pretraživanja podataka. Prikupljajmo, pohranjujmo i analizirajmo što je više moguće podataka te pronađimo odgovore na pitanja unutar tih podataka. Nedostajući dio podataka za većinu organizacija su njihove stvarne datoteke. Vaše datoteke su vaša najvrjednija imovina. Sigurnosni timovi u poduzećima ne mogu odgovoriti na najosnovnije pitanje - jesu li vaši podaci o prijetnjama pronađeni na prijenosnom računalu vašeg izvršnog direktora? vertikalni otvor za stepenište obavještava vas odmah i kontinuirano nakon toga.

vertikalni otvor za stepenište upravlja s više od 8 milijardi viđenih datoteka pomoću Google Cloud Bigtablea. Koje su bile najveće inženjerske prepreke u izgradnji sustava za analizu prijetnji koji radi u ovoj mjeri?

Jedna od stvari na koju smo najponosniji jest to što smo pronašli inženjersko rješenje za učinkovito prikupljanje, pohranjivanje i analizu svake izvršne datoteke u poduzeću. Kontinuirano analiziramo te datoteke u odnosu na naš korpus zlonamjernog softvera, YARA pravila i izvješća o prijetnjama. Svaka nova datoteka istražuje se – u roku od nekoliko sekundi. Zanimljivo je da je proces toliko jednostavan da kupci često traže da provjere prikupljaju li se datoteke. Kad im pokažemo da radi, često se iznenade koliko malo CPU-a zauzima.

Rekla si da želiš vertikalni otvor za stepenište učiniti za kibernetičku sigurnost ono što je Google učinio za pretraživanje. Što to znači u smislu korisničkog iskustva i smjera proizvoda?

Mi smo zapravo tražilica za vaše izvršne datoteke i povezane datoteke. Omogućujemo sigurnosnim timovima da odgovore na pitanja o svojim datotekama. Pitanja poput - je li ova datoteka zlonamjerni softver? Postoje li varijante ove datoteke bilo gdje u našim sustavima? Koje krajnje točke imaju ovaj zlonamjerni softver? Je li ova nedavno identificirana ranjiva datoteka na nekom od naših uređaja? Je li ova datoteka uobičajena? Ima li uobičajene srodnike negdje drugdje? Gdje se nalazi? I KADA je stigla?

Jedan od vertikalni otvor za stepeništeGlavne snage su njegova sposobnost provođenja proaktivnog i retrospektivnog lova na prijetnje - što znači da može otkriti aktivne prijetnje i prošle napade koji su možda prošli nezapaženo. Po čemu se ovaj pristup razlikuje od tradicionalnih sigurnosnih alata poput SIEM-ova (Security Information and Event Management Systems - sustavi za upravljanje sigurnosnim informacijama i događajima) ili EDR-ova (Endpoint Detection and Response Platforms - platforme za otkrivanje i odgovor na krajnje točke), koji se često usredotočuju na upozorenja u stvarnom vremenu?

Tradicionalni alati poput SIEM-ova i EDR-ova su za sada razvijeni. Fokusiraju se na upozorenja u stvarnom vremenu i detekcije u određenom trenutku. Korisni u trenutku, ali slijepi na sve što nije aktiviralo pravilo ili što je promaklo kada nitko nije gledao.

vertikalni otvor za stepenište funkcionira drugačije. Ne pitamo samo što se dogodilo. Pitamo što je ikada bilo u vašem okruženju.

Čuvamo i kontinuirano analiziramo sirove datoteke - svaku izvršnu datoteku, svaku skriptu - kroz cijelo vrijeme. Dakle, čak i ako je nešto izbrisano, preimenovano, prepakirano ili neaktivno, i dalje to možete pronaći. I dalje to možete analizirati. I dalje to možete odbaciti.

To znači da možete proaktivno tražiti prije upozorenja. I retrospektivno nakon proboja - čak i mjesecima kasnije, s punim kontekstom i potpunom poviješću. Pokušajte to učiniti sa SIEM-om koji je zastario svoje logove ili EDR-om koji vidi samo ono što se trenutno izvodi.

vertikalni otvor za stepenište daje vam moć da se zapitate: „Je li se ovo ikada dogodilo u našem okruženju?“ I dobijete pravi odgovor, a ne samo „ne nedavno“ ili „ne možemo reći“. To je razlika.

S rastućim interesom saveznih organizacija za umjetnu inteligenciju i otkrivanje prijetnji, kako vidite vertikalni otvor za stepeništeDoprinos AI modela obrane na nacionalnoj razini?

Saveznim braniteljima ne treba više nadzornih ploča. Trebaju im brži odgovori, jasnija namjera i alati koji prate protivnike koji iteriraju brže od ciklusa vladine nabave.

vertikalni otvor za stepeništePristup umjetnoj inteligenciji nije samo ugrađeni klasifikatori. Izgrađen je na dubokom temelju milijardi artefakata iz stvarnog svijeta, globalne prevalencije datoteka, porijekla varijanti i godina ponašanja prijetnji. Kombiniramo ekstrakciju statičkih i bihevioralnih značajki sa strukturiranim LLM podsticanjem kako bismo objasnili zašto je nešto važno - ne samo da bismo označili da bi moglo biti.

To znači da možemo dati braniteljima na nacionalnoj razini ono što rijetko dobiju:

• Trenutni uvid u sumnjive datoteke na razini obrnutog inženjeringa... svih njih. Prisiljavamo napadače na scenarij u kojem svi gube: Ili budite identični 'goodwareu' ili budite jedinstveni i budite uhvaćeni. Nema srednjeg rješenja, a mi to iskorištavamo.
• Odgovori bogati kontekstom o namjeri, funkcionalnosti i odnosima
• Detekcija svjesna varijanti koja se ne prekida kada protivnici prepakiraju ili preimenuju svoj zlonamjerni softver. Zapravo, što više protivnici pakiraju, to se više ističu!

Dobavljači užurbano koriste umjetnu inteligenciju za automatizaciju onoga što se oduvijek radilo. Koristimo umjetnu inteligenciju za rješavanje problema na način na koji su trebali biti riješeni od samog početka, ali nikada nismo imali tehnologiju za to.

Već razmišljamo kao protivnik. Naši su modeli obučeni za seciranje, pripisivanje i preokretanje. To je upravo ono što saveznim agencijama treba - ne samo više upozorenja, već i sposobnost razumijevanja i reagiranja prije nego što krene sljedeća kampanja.

Sigurnosni timovi su često preopterećeni upozorenjima i lažno pozitivnim rezultatima. Kako vertikalni otvor za stepenište pomoći u smanjenju te buke, a istovremeno istaknuti najkritičnije prijetnje?

vertikalni otvor za stepenište pomaže sigurnosnim timovima operacionalizirati svoje obavještajne podatke o prijetnjama. Jedan od najtežih dijelova sigurnosti je otkriti koje su krajnje točke zaražene zlonamjernim softverom. vertikalni otvor za stepenište identificira te uređaje u sekundama. vertikalni otvor za stepenište Inteligentna analiza, naša značajka temeljena na umjetnoj inteligenciji, olakšava trijažu datoteka. Dok naša mogućnost "Run-to-Ground" koristi rasprostranjenost datoteka unutar vašeg poduzeća i u svim poduzećima kako bi ciljani zlonamjerni softver bio gotovo nemoguć za rad.

Napadači sve više koriste umjetnu inteligenciju kako bi stvorili izbjegavajuće i stalno promjenjive prijetnje. Kako je vertikalni otvor za stepenište pomaganje braniteljima da održe korak s ovom promjenom u ofenzivnim tehnikama?

U svijetu u kojem se umjetna inteligencija može koristiti za jednostavno stvaranje zlonamjernog softvera "nultog dana" koji nitko prije nije vidio, testiraju se sigurnosni pristupi. Tradicionalni alati poput EDR-ova, koji koriste potpise i pristupe bihevioralnog potpisa, ne prepoznaju novi zlonamjerni softver. vertikalni otvor za stepenište analizira za što je datoteka napisana. vertikalni otvor za stepenište je u dobroj poziciji da pronađe nikad prije viđeni zlonamjerni softver koji je stvorila umjetna inteligencija jer koristi tehnike analize datoteka i pretraživanja podataka za istraživanje.

Koja je najčešća zabluda sigurnosnih lidera o njihovoj situaciji s prijetnjama - i kako... vertikalni otvor za stepenište pomoći u zatvaranju te praznine?

Svijet je prihvatio ideju da su EDR-ovi savršeni. Stvarnost je da pružaju lažni osjećaj sigurnosti. Nažalost, EDR-ovi se oslanjaju na bihevioralne potpise i moraju se ažurirati svaki dan. Njihova slabost je što ne analiziraju datoteke na svakom uređaju, svaki dan. vertikalni otvor za stepenište je sljedeća generacija sigurnosti koja koristi signalnu inteligenciju, uključujući datoteke vašeg poduzeća, kako bi se sigurnost mogla pretraživati pomoću pristupa pretraživanju podataka za istraživanje zlonamjernog softvera u sekundama.

Konačno, kako definirate uspjeh - ne samo u poslovnom smislu, već i u smislu utjecaja na branitelje i zajednicu kibernetičke sigurnosti u cjelini?

Uspjeh može biti mnogo stvari, ali nema ništa bolje od poziva kupca koji kaže da vertikalni otvor za stepenište pronašao je zlonamjerni softver na uređaju ili USB-u koji je EDR ili drugi sigurnosni alati propustili i spriječili prijenos zlonamjernog softvera na drugi sustav.

Hvala vam na sjajnom intervjuu, čitatelji koji žele saznati više neka ga posjete vertikalni otvor za stepenište.