Mike Wiacek, a Stairwell alapítója és műszaki igazgatója – Interjúsorozat

Mike Wiacek a Stairwell műszaki igazgatója és alapítója. Szenvedélyesen hisz a biztonságban, és olyan csapatkultúrát épít, amely az együttműködésen, az őszinteségen és az ügyfelek támadók kicselezésének segítésében gyökerezik. A Stairwell megalapítása előtt Mike az Alphabet Chronicle társalapítója és biztonsági vezetője volt, valamint megalapította a Google Threat Analysis Groupját.

Lépcsőház egy kiberbiztonsági vállalat, amely az adatközpontú megközelítést alkalmazva segíti a szervezeteket a fenyegetések észlelésében és azokra való reagálásban. Platformja folyamatosan gyűjti és elemzi a fájlokat az idő múlásával, lehetővé téve a valós idejű monitorozást, a retrospektív fenyegetésvadászatot és a mesterséges intelligencia által vezérelt elemzéseket. Fejlett statikus és viselkedési elemzéssel a Stairwell felvértezi a biztonsági csapatokat a nulladik napi fenyegetések azonosítására és a gyorsabb, megalapozott döntéshozatalra.

Te alapítottad Lépcsőház miután a Google TAG és a Chronicle biztonsági erőfeszítéseit vezette. Milyen hiányosságot látott a kiberbiztonsági környezetben, ami meggyőzte arról, hogy itt az ideje valami újat építeni?

Miután a Google TAG biztonsági vezetőjeként és a Chronicle felépítéseként ugyanazt a hibás mintát láttam mindenhol lejátszani: a fenyegetéselemző csapatok a támadás előtt, a biztonsági csapatok a támadás alatt, az információs és kommunikációs csapatok pedig utána dolgoztak, és mindannyian ugyanarra az alapvető kérdésre próbáltak választ adni más eszközökkel, más adatokkal és teljesen eltérő gondolkodásmóddal. Nincs folytonosság. Nincs közös igazság. Nem az ötlet volt rossz, hanem a megvalósítás.

Az iparág nagy része a rönkök köré épül. De a rönkök egyedi mérések. Értelmezések. Megfigyelések. Törékenyek, és azért készültek, hogy megválaszolják a tegnapi kérdéseket. Ha a rönk nem rögzítette, akkor peched van. És ami még rosszabb, a rönkmennyiség növelése költséges és fenntarthatatlan.

A vállalatok megfeledkeznek legfontosabb eszközeikről – a nyers fájlokról. A végrehajtható fájlokban, szkriptekben, DLL-ekben lakozik az igazság. A fájlok nem hazudnak. Nem változnak attól függően, hogy ki figyeli őket. És ha rendelkezel a nyers műtermékekkel, akkor olyasmit tehetsz, amit egyetlen naplóalapú eszköz sem tudott volna: hasonlóságokat egyeztetni, variánsokat észlelni, kapcsolatokat felfedezni, és minden kérdésre választ adni minden időkben.

Szóval építettem Lépcsőház hogy mindezt egyesítsük. Egy platform. Egyetlen igazságforrás. Folyamatosan elemezzük, hogy mi fut valójában a környezetedben – nem csak azt, hogy mit naplóznak róla. Amikor minden csapat ugyanazon bizonyítékok alapján dolgozik, mindannyian jobbak lesznek. Gyorsabb prioritási sorrend. Okosabb felderítés. Mélyebb vizsgálatok. Így hagyjuk abba a tegnapi incidens elleni küzdelmet, és kezdjük el megelőzni a következőt.

Lépcsőház célja, hogy a védők úgy gondolkodhassanak, mint a támadók. Hogyan teszi ezt lehetővé a platformod a gyakorlatban, és milyen típusú szervezetek profitálnak a leginkább ebből a megközelítésből?

A támadók nem várnak riasztásokra. Nem silókban működnek. Nem törődnek a naplómegőrzési szabályzatoddal, a kockázatvállalási hajlandóságoddal vagy a költségvetési aggályaiddal.

Megtanulják az eszközeidet, kijátsszák az irányításodat, és fájlokat, infrastruktúrát és időzítést láncolnak össze, hogy csendben elérjék céljukat. A védőknek is ugyanezt kell tenniük – kapcsolatokban kell gondolkodniuk, nem riasztásokban. Ez a gondolkodásmód. Lépcsőház ad neked.

Gyakorlatilag ez azzal kezdődik, hogy mindent belátunk, ami fut. Nyers elemeket – futtatható fájlokat, szkripteket, betöltőket, hasznos adatokat – gyűjtünk és megőrzünk, és folyamatosan elemezzük őket. Nem csak akkor, amikor először látjuk őket. Örökké. Ez azt jelenti, hogy úgy vadászhatsz, mint egy ellenség: megtalálhatod az elejtett fájlt, áttérhetsz a variánsaira, azonosíthatod a betöltőt, nyomon követheted az infrastruktúra újrafelhasználásáig, és felfedheted a kampány minden szakaszát.

Nem kell minden mintát visszafejteni. Lépcsőház automatizálja ezt. Nem kell találgatnod, hogy mit csinál egy fájl. LépcsőházAz Intelligens Elemzés megmondja. Nem kell azon tűnődnöd, hogy máshol hogy nézne ki. LépcsőházA Variant Discovery megmutatja.

Kinek jó? Bárkinek, aki belefáradt a vaktában repülésbe.

Ha egy nagy értékű célpontról van szó – kritikus infrastruktúra, pénzügy, védelem –, akkor nem engedheti meg magának a találgatást. Ha egy lean csapatról van szó, Lépcsőház erőszorzóvá változtat. Ha fuldoklik a riasztásokban, segítünk áttörni a zajt, és minden riasztást a földre küldeni.

A lényeg: a támadók kapcsolatokban gondolkodnak. Most már a védők is képesek erre – madártávlatból, mindig.

A hátteredbe beletartozik az NSA-nél, a Google-nél és a Chronicle-nál szerzett tapasztalataid. Hogyan formálták ezek a tapasztalatok a nemzetállamokról és a tartós fenyegetésekről alkotott képedet, különösen a kritikus infrastruktúra védelmével kapcsolatban?

A biztonságra úgy gondolok, mint egy adatkeresési problémára. Gyűjtsünk össze, tároljunk és elemezzünk annyi adatot, amennyit csak lehetséges, és találjunk válaszokat a kérdésekre az adatokban. A legtöbb szervezet számára a hiányzó adat a tényleges fájlja. A fájljaid a legértékesebb eszközeid. A vállalatok biztonsági csapatai nem tudják megválaszolni a legalapvetőbb kérdést – Megtalálható-e a fenyegetésekkel kapcsolatos információid a vezérigazgató laptopján? Lépcsőház azonnal és ezt követően folyamatosan tudatja Önnel.

Lépcsőház több mint 8 milliárd fájlészlelést kezel a Google Cloud Bigtable segítségével. Melyek voltak a legnagyobb mérnöki akadályok egy ilyen méretű fenyegetéselemző rendszer kiépítésében?

Az egyik dolog, amire a legbüszkébbek vagyunk, az az, hogy találtunk egy mérnöki megoldást, amellyel hatékonyan gyűjthetjük, tárolhatjuk és elemezhetjük a vállalat összes futtatható fájlját. Ezeket a fájlokat folyamatosan elemezzük a kártevő-korpuszunk, a YARA-szabályok és a fenyegetésjelentések alapján. Minden új fájlt másodperceken belül megvizsgálunk. Érdekes módon a folyamat annyira könnyű, hogy az ügyfelek gyakran kérdezik, hogy a fájlok gyűjtése folyamatban van-e. Amikor megmutatjuk nekik, hogy működik, gyakran meglepődnek, hogy milyen kevés CPU-t foglal.

Azt mondtad, hogy akarod Lépcsőház ugyanazt kell tenni a kiberbiztonságért, mint amit a Google tett a keresésért. Mit jelent ez a felhasználói élmény és a termékirányultság szempontjából?

Gyakorlatilag egy keresőmotorként szolgálunk a futtatható fájlok és a kapcsolódó fájlok számára. Lehetővé tesszük a biztonsági csapatok számára, hogy kérdéseket válaszoljanak meg a fájljaikkal kapcsolatban. Olyan kérdések, mint például – ez a fájl rosszindulatú program? Vannak-e ennek a fájlnak bármilyen változata a rendszereinkben? Mely végpontokon található meg ez a rosszindulatú program? Ez a nemrég azonosított sebezhető fájl megtalálható valamelyik eszközünkön? Gyakori ez a fájl? Vannak-e közös testvérei máshol? Hol található? És MIKOR érkezett meg?

Az egyik Lépcsőházfő erőssége a proaktív és retrospektív fenyegetésvadászat képessége – ami azt jelenti, hogy képes mind az aktív fenyegetések észlelésére, mind a korábbi, esetleg észrevétlenül maradt támadások feltárására. Miben különbözik ez a megközelítés a hagyományos biztonsági eszközöktől, mint például a SIEM-ek (biztonsági információs és eseménykezelő rendszerek) vagy az EDR-ek (végpont-észlelési és reagálási platformok), amelyek gyakran a valós idejű riasztásokra összpontosítanak?

A hagyományos eszközök, mint például a SIEM-ek és az EDR-ek egyelőre csak átmeneti megoldások. Ezek a valós idejű riasztásokra és az adott időpontban történő észlelésekre összpontosítanak. Hasznosak az adott pillanatban, de nem érzékelnek semmit, ami nem aktivált szabályt, vagy ami akkor csúszott el a figyelmünk elől, amikor senki sem figyelt rá.

Lépcsőház másképp működik. Nem csak azt kérdezzük, hogy mi történt. Azt kérdezzük, hogy mi volt valaha a környezetedben.

Nyers fájlokat – minden futtatható fájlt, minden szkriptet – megőrizünk és folyamatosan elemzünk, minden idők során. Tehát még ha valamit töröltek, átneveztek, újracsomagoltak vagy inaktívvá tettek, akkor is megtalálhatja. Továbbra is elemezheti. És továbbra is lefuttathatja a rendszert.

Ez azt jelenti, hogy proaktívan, a riasztás előtt is kereshetsz. És visszamenőlegesen, a behatolás után – akár hónapokkal később is, a teljes kontextussal és a teljes előzményekkel. Próbáld ki ezt egy elavult naplózású SIEM-mel, vagy egy EDR-rel, amely csak azt látja, ami éppen fut.

Lépcsőház megadja neked a hatalmat, hogy megkérdezd: „Volt már ilyen a környezetünkben?” És valódi választ kapj, ne csak azt, hogy „nem mostanában” vagy „nem tudjuk megmondani”. Ez a különbség.

A szövetségi szervezetek mesterséges intelligencia és fenyegetésészlelés iránti növekvő érdeklődésével hogyan látja? LépcsőházMilyen mesterséges intelligencia modellek járulnak hozzá a nemzeti szintű védelemhez?

A szövetségi jogvédőknek nincs szükségük több irányítópultra. Gyorsabb válaszokra, tisztább szándékra és olyan eszközökre van szükségük, amelyek lépést tartanak az ellenfelekkel, akik gyorsabban iterálnak, mint a kormányzati beszerzési ciklus.

LépcsőházA mesterséges intelligenciához való hozzáállása nem pusztán beépített osztályozókból áll. Több milliárd valós műtermék, globális fájlelőfordulás, variánsok leszármazási vonala és éveknyi fenyegetési viselkedés mély alapjaira épül. A statikus és viselkedésbeli jellemzők kinyerését strukturált LLM-promptokkal kombináljuk, hogy elmagyarázzuk, miért fontos valami – ne csak jelezzük, hogy lehet, hogy igen.

Ez azt jelenti, hogy megadhatjuk a nemzeti szintű védőknek azt, amit ritkán kapnak meg:

• Azonnali visszafejtési szintű betekintés gyanús fájlokba… mindegyikbe. A támadókat egy vesztes-vesztes forgatókönyvbe kényszerítjük: vagy azonosak a „jó szoftverrel”, vagy egyediek és lebuknak. Nincs középút, és mi ezt kihasználjuk.
• Kontextusgazdag válaszok a szándékról, a funkcionalitásról és a kapcsolatokról
• Variáns-érzékeny észlelés, amely nem omlik össze, amikor a támadók átcsomagolják vagy átnevezik a kártevőjüket. Valójában minél több támadó csomagol be, annál jobban kitűnik!

A gyártók elhamarkodottan használják a mesterséges intelligenciát olyan feladatok automatizálására, amelyek eddig mindig is megtörténtek. Mi a mesterséges intelligenciát használjuk a problémák megoldására úgy, ahogyan azokat eredetileg is meg kellett volna oldani, de soha nem állt rendelkezésünkre a megfelelő technológia.

Már most is úgy gondolkodunk, mint az ellenség. Modelljeinket arra képeztük ki, hogy elemezzék, azonosítsák és módosítsák a hibákat. Pontosan erre van szükségük a szövetségi ügynökségeknek – nemcsak több riasztásra, hanem arra is, hogy megértsék és reagáljanak, mielőtt a következő kampány elkezdődik.

A biztonsági csapatokat gyakran elárasztják a riasztások és a téves riasztások. Hogyan működik? Lépcsőház segít csökkenteni a zajt, miközben továbbra is felszínre hozza a legfontosabb fenyegetéseket?

Lépcsőház segít a biztonsági csapatoknak a fenyegetésekkel kapcsolatos információik operatív alkalmazásában. A biztonság egyik legnehezebb része annak kiderítése, hogy mely végpontok fertőzöttek meg rosszindulatú programokkal. Lépcsőház másodpercek alatt azonosítja az eszközöket. Lépcsőház Mesterséges intelligencia által vezérelt Intelligens Elemzés funkciónk egyszerűvé teszi a fájlok triázsát. Míg a teljes körű elemzés (Run-to-Ground) képességünk a vállalaton belüli és az összes vállalatra kiterjedő fájlok előfordulási gyakoriságát használja fel, hogy a célzott rosszindulatú programokat szinte lehetetlenné tegye működésre.

A támadók egyre inkább mesterséges intelligenciát használnak, hogy kitérőbb és folyamatosan változó fenyegetéseket hozzanak létre. Hogyan működik? Lépcsőház hogyan segíthetsz a védőknek lépést tartani a támadótechnikák ezen változásával?

Egy olyan világban, ahol a mesterséges intelligencia segítségével könnyedén létrehozhatók olyan „nulladik napi” kártevők, amelyeket még senki sem látott, biztonsági megközelítéseket tesztelnek. A hagyományos eszközök, mint az elektronikus drónok (EDR), amelyek aláírásokat és viselkedésalapú aláírási megközelítéseket használnak, vakok az új kártevőkre. Lépcsőház elemzi, hogy mire íródott a fájl. Lépcsőház jó helyzetben van ahhoz, hogy korábban soha nem látott, mesterséges intelligencia által létrehozott rosszindulatú programokat találjon, mivel fájlelemzési és adatkeresési technikákat alkalmaz a nyomozáshoz.

Mi a leggyakoribb tévhit a biztonsági vezetők körében a fenyegetettségükkel kapcsolatban – és hogyan működik? Lépcsőház segít áthidalni ezt a szakadékot?

A világ elfogadta azt az elképzelést, hogy az EDR-ek tökéletesek. A valóság az, hogy hamis biztonságérzetet nyújtanak. Sajnos az EDR-ek viselkedésalapú aláírásokra támaszkodnak, és naponta frissíteni kell őket. Gyengeségük, hogy nem elemzik a fájlokat minden eszközön, minden nap. Lépcsőház a biztonság következő generációja, amely jelfelderítést használ, beleértve a vállalat fájljait is, hogy adatkeresési megközelítést alkalmazzon a biztonságban, és másodpercek alatt kivizsgálja a rosszindulatú programokat.

Végül, hogyan definiálja a sikert – nemcsak üzleti szempontból, hanem a védőkre és a kiberbiztonsági közösség egészére gyakorolt hatás szempontjából is?

A siker sok minden lehet, de nincs is jobb annál, mint amikor egy ügyfél felhív minket, és azt mondja, hogy Lépcsőház egy olyan kártevőt talált egy eszközön vagy USB-n, amelyet az EDR vagy más biztonsági eszközök nem észleltek, és megakadályozták a kártevő átvitelét egy másik rendszerre.

Köszönjük a remek interjút, azoknak az olvasóknak, akik többet szeretnének megtudni, látogassanak el Lépcsőház.