csonk Carl Froggett, a Deep Instinct informatikai igazgatója – Interjúsorozat – Unite.AI
Kapcsolatba velünk
   interjúk  
Carl Froggett, a Deep Instinct informatikai igazgatója – Interjúsorozat
 mm
Közzététel:
 5 hónap
 on
   
 
Carl Froggett, a vállalat információs igazgatója (CIO). Mély ösztön, egy egyszerű feltevésen alapított vállalkozás: ez mély tanulás, a mesterséges intelligencia fejlett részhalmaza, alkalmazható a kiberbiztonságra, hogy gyorsabban megelőzhető legyen a több fenyegetés.
Mr. Froggett bizonyított tapasztalattal rendelkezik a csapatépítés, a rendszerarchitektúra, a nagyszabású vállalati szoftverek megvalósítása, valamint a folyamatok és eszközök üzleti követelményekhez való igazítása terén. Froggett korábban a Global Infrastructure Defense, CISO Cyber ​​Security Services vezetője volt a Citinél.
Az Ön háttere a pénzügyi szektorból származik, megosztaná történetét arról, hogyan tért át a kiberbiztonságra?
A 90-es évek végén kezdtem el a kiberbiztonsággal foglalkozni, amikor a Citinél voltam, áttérve informatikai szerepkörből. Gyorsan vezető pozícióba kerültem, és az informatikai üzemeltetésben szerzett tapasztalataimat a kiberbiztonság változó és kihívásokkal teli világában kamatoztattam. A kiberbiztonság területén dolgozva lehetőségem nyílt az innovációra összpontosítani, miközben technológiai és kiberbiztonsági megoldásokat is telepítettem és működtettem különböző üzleti igényekre. A Citinél töltött időm alatt a feladataim közé tartozott az innováció, a tervezés, a szállítás és a globális platformok üzemeltetése a Citi vállalatai és ügyfelei számára világszerte.
Több mint 25 évig volt a Citi tagja, és ez idő nagy részét a biztonsági stratégiákért és mérnöki szempontokért felelős csapatok vezetésével töltötte. Mi csábított arra, hogy csatlakozzon a Deep Instinct startuphoz?
Azért csatlakoztam a Deep Instincthez, mert új kihívást akartam vállalni, és más módon hasznosítani a tapasztalataimat. Több mint 15 éven keresztül nagymértékben részt vettem a kiberkezdő vállalkozásokban és a FinTech-cégekben, mentoráltam és bővítettem csapatokat az üzleti növekedés támogatása érdekében, és néhány vállalatot az IPO-ig vittem. Ismertem a Deep Instinct-et, és láttam, hogy egyedülálló, zavaró mély tanulási (DL) technológiájuk olyan eredményeket produkál, amelyekre egyetlen más gyártó sem képes. Részese akartam lenni valaminek, ami egy új korszakot nyit meg a vállalatok védelmében azokkal a rosszindulatú fenyegetésekkel szemben, amelyekkel nap mint nap szembesülünk.
Meg tudnád vitatni, hogy a Deep Instinct mélytanulási alkalmazása a kiberbiztonságban miért jelent ilyen változást?
Amikor a Deep Instinct kezdetben megalakult, a vállalat ambiciózus célt tűzött ki maga elé, hogy forradalmasítsa a kiberbiztonsági iparágat, és egy megelőzést szolgáló filozófiát vezessen be, ahelyett, hogy az „észlelés, reagálás, megfékezés” megközelítéssel a hátsó lábon állna. A növekvő kibertámadások, mint például a zsarolóvírusok, a nulladik napi kizsákmányolások és más, soha nem látott fenyegetések miatt a status quo reakciós biztonsági modell nem működik. Most, hogy a fenyegetések mennyisége és sebessége folyamatosan növekszik a generatív mesterségesintelligencia miatt, és ahogy a támadók újra feltalálják, megújítják és kibújnak a meglévő vezérlőkből, a szervezeteknek prediktív, megelőző képességre van szükségük ahhoz, hogy egy lépéssel a rossz szereplők előtt járjanak.
Az ellenséges mesterséges intelligencia egyre növekszik, a rossz szereplők kihasználják a WormGPT-t, a FraudGPT-t, a mutáló rosszindulatú programokat és még sok mást. Sorsdöntő időszakba érkeztünk, amikor a szervezeteknek meg kell küzdeniük a mesterséges intelligencia ellen. De nem minden mesterséges intelligencia egyenlő. Az ellenséges mesterséges intelligencia elleni védekezéshez olyan megoldásokra van szükség, amelyeket az AI egy kifinomultabb formája, nevezetesen a mély tanulás (DL) hajt. A legtöbb kiberbiztonsági eszköz a gépi tanulási (ML) modelleket használja, amelyek számos hiányosságot mutatnak a biztonsági csapatok számára a fenyegetések megelőzésében. Például ezek az ajánlatok a rendelkezésre álló adatok korlátozott részhalmazára (általában 2-5%) képezik a képzést, csupán 50-70%-os pontosságot kínálnak ismeretlen fenyegetésekkel, és sok hamis pozitív eredményt vezetnek be. Az ML-megoldások is komoly emberi beavatkozást igényelnek, és kis adathalmazokra vannak kiképezve, így emberi elfogultságnak és tévedésnek teszik ki őket. Lassúak és még a végponton sem reagálnak, hagyják, hogy a fenyegetések elhúzódjanak a végrehajtásig, ahelyett, hogy alvó állapotban foglalkoznának velük. A DL-t az teszi hatékonnyá, hogy képes önállóan tanulni, miközben adatokat fogad be, és önállóan működik a bonyolult fenyegetések azonosítása, észlelése és megelőzése érdekében.
A DL lehetővé teszi a vezetők számára, hogy a hagyományos „sértést feltételező” mentalitásról a prediktív megelőzési megközelítésre váltsanak az AI által generált rosszindulatú programok hatékony leküzdése érdekében. Ez a megközelítés segít azonosítani és enyhíteni a fenyegetéseket, mielőtt azok bekövetkeznének. Rendkívül magas hatékonysági arányt biztosít az ismert és ismeretlen kártevők ellen, és rendkívül alacsony hamis pozitív arányt biztosít az ML-alapú megoldásokhoz képest. A DL magot évente egyszer vagy kétszer kell frissíteni, hogy fenntartsa ezt a hatékonyságot, és mivel önállóan működik, nem igényel folyamatos felhőkeresést vagy intelligens megosztást. Ez rendkívül gyorssá és magánélet-baráttá teszi.
Hogyan képes a mély tanulás előrejelző módon megelőzni az ismeretlen rosszindulatú programokat, amelyekkel korábban soha nem találkoztak?
Az ismeretlen rosszindulatú programokat több módon is létrehozzák. Az egyik gyakori módszer a hash megváltoztatása a fájlban, ami akár egy bájt hozzáfűzése is lehet. Azok a végpont-biztonsági megoldások, amelyek a hash feketelistára támaszkodnak, érzékenyek az ilyen „mutációkra”, mivel a meglévő kivonatoló aláírásaik nem egyeznek meg az új mutációk hasheivel. A csomagolás egy másik technika, amelyben a bináris fájlokat egy olyan csomagolóval csomagolják, amely egy általános réteget biztosít az eredeti fájlon – tekintse ezt maszknak. Új változatok jönnek létre magának az eredeti rosszindulatú binárisnak a módosításával is. Ez azokon a szolgáltatásokon történik, amelyeket a biztonsági szolgáltatók aláírhatnak, kezdve a keménykódolt karakterláncoktól, a C&C-kiszolgálók IP-/domainnevétől, a rendszerleíró kulcsoktól, a fájl útvonalaktól, a metaadatoktól vagy akár a mutexektől, a tanúsítványoktól, az eltolásoktól és a fájlkiterjesztésektől, amelyek összefüggnek a ransomware által titkosított fájlokat. A kód vagy a kód részei is módosíthatók vagy hozzáadhatók, ami elkerüli a hagyományos észlelési technikákat.
A DL neurális hálózatra épül, és az „agyát” használja arra, hogy folyamatosan képezze magát a nyers adatokon. Fontos szempont, hogy a DL-képzés az összes rendelkezésre álló adatot felhasználja, és nincs emberi beavatkozás a képzésbe – ez a fő oka annak, hogy miért olyan pontos. Ez nagyon magas hatékonysági arányhoz és nagyon alacsony hamis pozitív arányhoz vezet, ami túlzottan ellenállóvá teszi az ismeretlen fenyegetésekkel szemben. A DL-keretrendszerünkkel nem támaszkodunk aláírásokra vagy mintákra, így platformunk immunis a hash-módosításokra. Sikeresen osztályozzuk a csomagolt fájlokat is – akár egyszerű és ismert fájlokat, akár FUD-okat használunk.
A betanítási szakaszban hozzáadunk „zajt”, amely megváltoztatja az algoritmusunkba betáplált fájlokból származó nyers adatokat, hogy automatikusan generáljon enyhe „mutációkat”, amelyeket a képzési fázisunk során minden egyes képzési ciklusban betáplálunk. Ez a megközelítés ellenállóvá teszi platformunkat a különböző ismeretlen kártevő-változatokon alkalmazott módosításokkal szemben, mint például a karakterláncok vagy akár a polimorfizmus.
A megelőzésre összpontosító gondolkodásmód gyakran kulcsfontosságú a kiberbiztonság szempontjából. Hogyan összpontosít a Deep Instinct a kibertámadások megelőzésére?
Az adatok minden szervezet éltető elemei, és ezek védelmének kiemelten fontosnak kell lennie. Csak egy rosszindulatú fájl kell a feltöréshez. Évek óta a de facto biztonsági gondolkodásmód a „ssume bereach” volt, elfogadva azt az elkerülhetetlenséget, hogy az adatokhoz a fenyegetés szereplői hozzáférjenek. Ez a gondolkodásmód és az ezen a mentalitáson alapuló eszközök azonban nem biztosítottak megfelelő adatbiztonságot, és a támadók teljes mértékben kihasználják ezt a passzív megközelítést. A miénk a legújabb kutatások azt találta, hogy 2023 első felében több zsarolóprogram-incidens történt, mint 2022 egészében. A változó fenyegetési környezet hatékony kezelése nem csupán a „sértés feltételezése” gondolkodásmódtól való eltávolodást követeli meg: ez azt jelenti, hogy a vállalatoknak teljesen új megközelítésre és arzenálra van szükségük. megelőző intézkedések. A fenyegetés új és ismeretlen, és gyors, ezért látjuk, hogy ezek az eredmények a ransomware incidensekben. Ahogy az aláírások sem tudtak lépést tartani a változó fenyegetési környezettel, úgy az ML-alapú meglévő megoldások sem.
A Deep Instinctnél kihasználjuk a DL erejét, hogy a megelőzés első számú megközelítését biztosítsuk az adatbiztonság terén. A Deep Instinct Predictive Prevention Platform az első és egyetlen megoldás, amely a kifejezetten a kiberbiztonságra tervezett egyedi DL-keretrendszerünkön alapul. Ez a leghatékonyabb, leghatékonyabb és legmegbízhatóbb kiberbiztonsági megoldás a piacon, amely 99%-át, az iparág legalacsonyabb (<20%) hamis pozitív arányával. Már alkalmaztuk egyedi DL-keretrendszerünket a biztonság érdekében alkalmazások és a végpontok, és legutóbb a tárolási védelemre is kiterjesztették a képességeket a megjelenésével Mély, ösztönös megelőzés a tároláshoz.
Az adatbiztonság tekintetében a prediktív megelőzés irányába kell elmozdulni, hogy megelőzzük a sebezhetőségeket, korlátozzuk a hamis pozitív eredményeket, és enyhítsük a biztonsági csapatok stresszét. Ebben a küldetésben élen járunk, és kezd egyre nagyobb teret hódítani, ahogy egyre több örökölt szállító hirdeti a megelőzést szolgáló képességeket.
Meg tudná beszélni, hogy milyen típusú képzési adatokat használnak a modelljei betanításához?
Más AI és ML modellekhez hasonlóan a mi modellünk is az adatokon edz. Modellünket az teszi egyedivé, hogy nincs szükség az ügyfelektől származó adatokra vagy fájlokra a tanuláshoz és a fejlődéshez. Ez az egyedülálló adatvédelmi szempont további biztonságérzetet ad ügyfeleinknek, amikor megoldásainkat telepítik. Több mint 50 hírfolyamra iratkoztunk fel, amelyekből fájlokat töltünk le, hogy megtanítsuk modellünket. Innentől kezdve saját magunk validáljuk és osztályozzuk az adatokat belső fejlesztésű algoritmusokkal.
Emiatt a képzési modell miatt évente átlagosan 2-3 új „agyat” kell létrehoznunk. Ezeket az új agyakat egymástól függetlenül tolják ki, jelentősen csökkentve az ügyfeleinket érő működési hatásokat. Ezenkívül nincs szükség folyamatos frissítésekre, hogy lépést tudjon tartani a fejlődő fenyegetésekkel. Ez az előnye annak, hogy a platformot DL vezérli, és lehetővé teszi számunkra, hogy proaktív, a megelőzést szolgáló megközelítést biztosítsunk, míg az AI-t és az ML-t kihasználó egyéb megoldások reakciós képességeket biztosítanak.
Amint a tároló készen áll, adatkészleteket készítünk minden fájltípusból, rosszindulatú és jóindulatú besorolásokkal, valamint egyéb metaadatokkal. Innentől kezdve tovább képezzük az agyat az összes rendelkezésre álló adaton – nem vetünk el semmilyen adatot a képzési folyamat során, ami hozzájárul az alacsony hamis pozitív eredményhez és a magas hatékonysági arányhoz. Ezek az adatok folyamatosan tanulnak maguktól, a mi bevitelünk nélkül. Az eredményeket úgy módosítjuk, hogy megtanítsuk az agyat, majd az tovább tanul. Nagyon hasonlít az emberi agy működéséhez és a tanuláshoz – minél többet tanítanak nekünk, annál pontosabbak és okosabbak leszünk. Mindazonáltal rendkívül ügyelünk arra, hogy elkerüljük a túlillesztést, hogy DL-agyunk ne tanulja meg és értse meg az adatokat, hanem ne memorizálja az adatokat.
Ha rendkívül magas hatékonysági szintet érünk el, létrehozunk egy következtetési modellt, amelyet az ügyfelek számára telepítünk. Amikor a modellt ebben a szakaszban telepítik, nem tud új dolgokat megtanulni. Azonban képes új adatokkal és ismeretlen fenyegetésekkel kölcsönhatásba lépni, és megállapítani, hogy rosszindulatúak-e. Lényegében „nulladik napi” döntést hoz mindenről, amit lát.
A Deep Instinct az ügyfél konténerkörnyezetében fut, miért fontos ez?
Egyik platformmegoldásunk, a Deep Instinct Prevention for Applications (DPA) lehetőséget kínál DL-képességeink kiaknázására egy API/iCAP interfészen keresztül. Ez a rugalmasság lehetővé teszi a szervezetek számára, hogy az alkalmazásokba és az infrastruktúrába ágyazzák be forradalmi képességeinket, ami azt jelenti, hogy kiterjeszthetjük hatókörünket a fenyegetések megelőzésére egy mélyreható kiberstratégia segítségével. Ez egy egyedülálló megkülönböztető. A DPA konténerben fut (amelyet mi biztosítunk), és igazodik az ügyfeleink által alkalmazott modern digitalizálási stratégiákhoz, mint például a helyszíni vagy felhőkonténer-környezetekbe való migráció alkalmazásaik és szolgáltatásaik számára. Általában ezek az ügyfelek „balra váltást” alkalmaznak a DevOps-szal. API-orientált szolgáltatási modellünk ezt egészíti ki azzal, hogy lehetővé teszi az Agilis fejlesztést és a fenyegetések megelőzését szolgáló szolgáltatásokat.
Ezzel a megközelítéssel a Deep Instinct zökkenőmentesen integrálódik a szervezet technológiai stratégiájába, kihasználva a meglévő szolgáltatásokat új hardver- vagy logisztikai aggályok és új működési költségek nélkül, ami nagyon alacsony TCO-hoz vezet. Kihasználjuk a konténerek által kínált összes előnyt, beleértve a hatalmas igény szerinti automatikus skálázást, a rugalmasságot, az alacsony késleltetést és az egyszerű frissítéseket. Ez lehetővé teszi a megelőzést szolgáló kiberbiztonsági stratégiát, amely a fenyegetések megelőzését hatalmas léptékben ágyazza be az alkalmazásokba és az infrastruktúrába, olyan hatékonysággal, amelyet a régi megoldások nem tudnak elérni. A DL jellemzőinek köszönhetően előnyünk az alacsony késleltetés, a nagy hatékonyság / alacsony hamis pozitív arány, valamint az adatvédelem érzékenysége – egyetlen fájl vagy adat sem hagyja el a tárolót, amely mindig az ügyfél ellenőrzése alatt áll. Termékünknek nem kell megosztania a felhővel, nem kell elemzést végeznie, vagy meg kell osztania a fájlokat/adatokat, ami egyedivé teszi bármely meglévő termékhez képest.
A generatív mesterséges intelligencia lehetőséget kínál a kibertámadások skálázására, hogyan tudja a Deep Instinct fenntartani a szükséges sebességet ezeknek a támadásoknak az elhárításához?
DL-keretrendszerünk neurális hálózatokra épül, így „agya” továbbra is nyers adatokon tanul és képezi magát. A keretrendszerünk működési sebessége és pontossága annak az eredménye, hogy az agyat több száz millió mintán edzik. Ahogy ezek a betanítási adatkészletek növekednek, a neurális hálózat folyamatosan okosabb lesz, lehetővé téve, hogy sokkal részletesebben megértse, mi okozza a rosszindulatú fájlokat. Mivel minden más megoldásnál részletesebben képes felismerni a rosszindulatú fájlok építőköveit, a DL jobb pontossággal és gyorsabban állítja le az ismert, ismeretlen és nulladik napi fenyegetéseket, mint a többi kiberbiztonsági termék. Ez, kombinálva azzal a ténnyel, hogy „agyunk” nem igényel felhőalapú elemzést vagy keresést, egyedivé teszi. Az ML önmagában sosem volt elég jó, ezért van az, hogy felhőelemzést alkalmazunk az ML alátámasztására – de ez lassúvá és reakcióképessé teszi. A DL egyszerűen nem rendelkezik ezzel a megkötéssel.
Melyek azok a legnagyobb fenyegetések, amelyeket a generatív mesterséges intelligencia felerősít, és amelyeket a vállalatoknak figyelembe kell venniük?
Az adathalász e-mailek sokkal kifinomultabbak lettek az AI fejlődésének köszönhetően. Korábban az adathalász e-maileket általában könnyű volt észrevenni, mivel általában nyelvtani hibákat tartalmaztak. Most azonban a fenyegetések szereplői olyan eszközöket használnak, mint a ChatGPT, hogy alaposabb, nyelvtanilag helyes e-maileket készítsenek különböző nyelveken, amelyeket a spamszűrők és az olvasók nehezebben fognak el.
Egy másik példa a mély hamisítványok, amelyek a mesterséges intelligencia kifinomultsága miatt sokkal valósághűbbé és hihetőbbé váltak. Az audio AI-eszközöket a vállalaton belüli vezetők hangjának szimulálására is használják, így hamis hangpostaüzeneteket hagynak az alkalmazottaknak.
Amint fentebb megjegyeztük, a támadók mesterséges intelligencia segítségével olyan ismeretlen rosszindulatú programokat hoznak létre, amelyek a biztonsági megoldások megkerülése, az észlelés elkerülése és a hatékonyabb terjedés érdekében módosíthatják viselkedésüket. A támadók továbbra is kihasználják az AI-t, nemcsak új, kifinomult, egyedi és korábban ismeretlen kártevők létrehozására, amelyek megkerülik a meglévő megoldásokat, hanem a „végtől a végéig” támadási lánc automatizálására is. Ez jelentősen csökkenti a költségeiket, növeli a léptéküket, ugyanakkor a támadások kifinomultabb és sikeresebb kampányokat eredményeznek. A kiberiparnak újra kell gondolnia a meglévő megoldásokat, képzéseket és figyelemfelkeltő programokat, amelyekre az elmúlt 15 évben támaszkodtunk. Amint azt az idei jogsértéseken is láthatjuk, már most kudarcot vallanak, és ez még rosszabb lesz.
Röviden össze tudná foglalni a Deep Instinct által kínált megoldástípusokat az alkalmazás-, végpont- és tárolási megoldások terén?
A Deep Instinct Predictive Prevention Platform az első és egyetlen olyan megoldás, amely egy egyedi DL-keretrendszeren alapul, amelyet kifejezetten a mai kiberbiztonsági kihívások megoldására terveztek – nevezetesen a fenyegetések megelőzésére, mielőtt azok végrehajtódnának és a környezetében landolnának. A platform három pillérből áll:
  1. Ügynök nélküli, konténeres környezetben, API-n vagy ICAP-en keresztül csatlakoztatva: A Deep Instinct Prevention for Applications egy ügynök nélküli megoldás, amely megakadályozza a zsarolóvírusokat, a nulladik napi fenyegetéseket és más ismeretlen rosszindulatú programokat, mielőtt azok elérnék az alkalmazásait, anélkül, hogy befolyásolná a felhasználói élményt.
  2. Ügynök-alapú a végpont: A Deep Instinct Prevention for Endpoints egy önálló végrehajtás előtti megelőzési első platform – nem végrehajtás közbeni, mint a legtöbb mai megoldás. Vagy tényleges fenyegetés-megelőzési réteget jelenthet kiegészítik a meglévő EDR-megoldásokat. Megakadályozza az ismert és ismeretlen, nulladik napi és ransomware fenyegetések előzetes végrehajtását, minden rosszindulatú tevékenység előtt, jelentősen csökkentve a riasztások mennyiségét és a hamis pozitív üzeneteket, így az SOC csapatai kizárólag a nagy pontosságú, legitim fenyegetésekre összpontosíthatnak.
  3. A tárolási védelem megelőzése az első megközelítés: A Deep Instinct Prevention for Storage prediktív megelőzési megközelítést kínál a zsarolóvírusok, a nulladik napi fenyegetések és más ismeretlen rosszindulatú programok tárolókörnyezetekbe való beszivárgásának megakadályozására – akár a helyszínen, akár a felhőben tárolják az adatokat. Gyors, rendkívül hatékony megoldást biztosítva a központi tárolón az ügyfelek számára, megakadályozza, hogy a tároló bármilyen fenyegetés terjedési és terjesztési pontjává váljon.
Köszönjük a nagyszerű értékelést, az olvasók, akik többet szeretnének megtudni, látogassanak el Mély ösztön.
       
 Kapcsolódó témák:
 mm
Az unite.AI alapító partnere és tagja Forbes Technológiai Tanács, Antoine a futurista aki szenvedélyesen rajong az AI és a robotika jövőjéért.
Ő az alapítója is Értékpapír.io, egy webhely, amely a bomlasztó technológiába való befektetésre összpontosít.