Terhubung dengan kami

wawancara

Mayank Kumar, Insinyur AI Pendiri di DeepTempo – Rangkaian Wawancara

mm
Diterbitkan

Mayank Kumar adalah Founding AI Engineer di DeepTempo, di mana ia memimpin desain dan pengembangan Log Language Model (LogLM) yang mendasar bagi perusahaan. Dengan latar belakang akademis dan penelitian yang kuat dalam AI generatif dan multimodal, ia membawa keahlian khusus untuk membangun model khusus domain yang meningkatkan deteksi dan respons ancaman dalam lingkungan keamanan siber.

Tempo Dalam adalah perusahaan keamanan siber yang dibangun di sekitar LogLM, model dasar berbasis AI yang dilatih pada data log keamanan berskala besar. Platform ini unggul dalam mengidentifikasi ancaman tingkat lanjut yang sebelumnya tidak terlihat sekaligus meminimalkan kesalahan positif. Dirancang untuk integrasi yang lancar ke dalam alur kerja keamanan yang ada, DeepTempo mendukung penerapan di seluruh datalake, Kubernetes, dan Snowflake, memungkinkan forensik yang lebih cepat, mengurangi biaya penyerapan data, dan pertahanan otomatis yang dapat diskalakan untuk perusahaan modern.

Apa yang mendorong Anda untuk ikut mendirikan DeepTempo, dan bagaimana latar belakang Anda dalam penelitian akademis dan AI sumber terbuka berkontribusi terhadap arah perusahaan?

Saya tumbuh dalam komunitas yang erat di mana hubungan dibangun secara tatap muka, bukan melalui layar. Ayah saya, seorang guru, menanamkan kepada saya pentingnya memberi kembali. Meskipun kami tidak kaya secara materi, kami kaya dalam hal koneksi dan tujuan. Dalam lingkungan seperti itu, Anda dengan cepat belajar bahwa memecahkan masalah bukan hanya tentang bakat individu – tetapi tentang kekuatan kolektif. Pola pikir itu melekat pada saya dan akhirnya menuntun saya pada minat dalam kewirausahaan sosial saat belajar teknik di IIT Ropar.

Titik baliknya terjadi ketika peramban ayah saya terkena serangan ransomware. Itu bukan sekadar gangguan teknis, tetapi juga menimbulkan ketakutan, kebingungan, dan kerentanan di rumah kami. Pengalaman itu membuka mata saya tentang betapa rapuhnya dunia digital, tidak hanya bagi individu, tetapi juga bagi organisasi yang terus-menerus terancam. Sekitar waktu itu, saya bertemu Evan, yang visinya untuk membangun pertahanan kolektif dalam skala internet sangat menyentuh hati saya. Misi bersama itu—dan dorongan saya untuk menerapkan teknologi dalam melayani masyarakat—adalah yang menarik saya ke DeepTempo.

Di University of Washington, penelitian saya berfokus pada dua area inti: pembelajaran representasi multimodal dan AI yang berpusat pada data. Keduanya terbukti penting saat kami membangun model fondasi vertikal kami, LogLM. Tidak seperti bahasa alami, log keamanan siber berantakan, terstruktur, dan terfragmentasi. Tantangan pertama kami adalah membangun "bahasa" baru untuk menginterpretasikan data ini, yang memungkinkan LogLM mempelajari representasi yang bermakna dari urutan ini. Kami juga telah berinvestasi besar dalam cara kami mengevaluasi kinerja karena dalam keamanan, akurasi bukanlah hal yang opsional, dan halusinasi tidak dapat diterima.

Namun, di luar teknologi, bintang utama kita adalah pertahanan kolektif. Itulah sebabnya kolaborasi sumber terbuka akan sangat penting untuk menjadikan misi ini berhasil dalam skala besar.

Konsep "pertahanan kolektif" merupakan inti dari DeepTempo. Apa artinya dalam praktik, dan apa bedanya dengan pendekatan tradisional terhadap keamanan siber?

Dalam praktiknya, pertahanan kolektif berarti bahwa ketika satu contoh LogLM milik pelanggan mengidentifikasi perilaku serangan baru, misalnya, kampanye C2 dan eksfiltrasi bertahap yang melibatkan perilaku beaconing yang diikuti oleh transfer data keluar yang tidak normal, wawasan tersebut dapat disuling menjadi tanda perilaku umum dan dibagikan ke seluruh ekosistem. Yang terpenting, ini tidak melibatkan pengiriman log mentah atau data pelanggan. Sebaliknya, kami mengabstraksikan pola perilaku dengan keyakinan tinggi dan menggabungkannya ke dalam bobot model melalui teknik pembelajaran terfederasi.

Hal ini sangat kontras dengan sistem lama yang mengandalkan aturan yang berlaku untuk semua orang atau umpan intelijen ancaman statis. Sistem tersebut tidak akan berkembang hingga beberapa korban terkena dampak. Dengan pertahanan kolektif, sistem deteksi akan berkembang dengan setiap sinyal berkualitas tinggi, bahkan jika ancaman tersebut sangat spesifik untuk satu lingkungan. Hal ini memungkinkan kami untuk menangkap ancaman polimorfik dan aliran serangan agen yang diperkuat LLM sebelum menyebar luas.

Kesenjangan spesifik apa dalam keamanan perusahaan yang mendorong pengembangan LogLM, dan bagaimana perbedaan mendasarnya dari sistem deteksi lama?

Tim keamanan perusahaan menghadapi tiga masalah utama: rasio noise-to-signal yang tinggi, deteksi rapuh yang tidak dapat ditransfer antar lingkungan, dan adaptasi yang lambat terhadap ancaman yang muncul. LogLM diciptakan untuk mengatasi ketiganya.

Sebagian besar sistem yang ada bergantung pada pendekatan ML berbasis aturan atau sempit yang memerlukan waktu penyempurnaan selama berminggu-minggu atau berbulan-bulan untuk memahami lingkungan baru. Pendekatan ini gagal saat penyerang sedikit mengubah taktik, seperti yang telah kita lihat pada kelompok seperti Scattered Spider atau Volt Typhoon. LogLM dilatih pada telemetri keamanan dalam jumlah besar, yang memperlakukannya sebagai semacam bahasa terstruktur. Hal itu memungkinkannya mengenali urutan yang kompleks, seperti lonjakan permintaan DNS keluar yang diikuti oleh aktivitas Okta yang tidak biasa, bukan sebagai anomali yang terisolasi tetapi sebagai bagian dari narasi ancaman.

Tidak seperti alat lama yang menghasilkan peringatan terputus-putus, LogLM menghasilkan deteksi tingkat taktik yang dapat ditafsirkan. Dan karena sepenuhnya dibangun dari awal, alih-alih digunakan ulang atau diadaptasi, alat ini dirancang untuk keamanan dari awal, memungkinkan adaptasi cepat hanya dengan beberapa hari log yang tidak diberi label. Itu membuat onboarding cepat dan deteksi jauh lebih tangguh.

Apa itu agen bayangan, dan bagaimana mereka menimbulkan risiko bagi organisasi yang beroperasi tanpa pengawasan terpusat?

Agen bayangan adalah alat AI otonom, yang sering kali dibangun di atas LLM, yang beroperasi di dalam perusahaan tanpa otorisasi atau visibilitas eksplisit dari tim keamanan. Contoh terbaru adalah CVE‑2025‑32711 (“EchoLeak”) milik MITRE, kerentanan zero-click di Microsoft 365 Copilot yang dipicu hanya dengan memintanya untuk meringkas email. Cacat tersebut memungkinkan penyerang untuk mencuri data internal melalui konteks RAG agen, tanpa memerlukan interaksi pengguna. Meskipun agen ini dapat meningkatkan produktivitas, mereka sering kali melewati tinjauan keamanan dan mengekspos data sensitif ke lapisan inferensi yang tidak terkontrol.

Kami telah melihat kasus di mana agen bayangan yang dibuat dengan LLM publik terekspos ke log sistem dan mulai membocorkan jejak tumpukan yang berisi kredensial yang dikodekan secara keras. Agen-agen ini biasanya tidak dilengkapi dengan kontrol DLP, tidak mengikuti kebijakan akses, dan tidak diaudit. Lebih buruk lagi, karena mereka dapat membuat keputusan, seperti meneruskan output ke sistem eksternal, mereka sendiri menjadi permukaan serangan. Dalam konteks injeksi cepat atau rantai permusuhan, satu agen dapat dipaksa untuk memicu tindakan hilir dengan dampak nyata.

Mengapa injeksi cepat dan manipulasi model menjadi ancaman serius, dan mengapa sebagian besar sistem saat ini tidak mendeteksinya?

Injeksi cepat berbahaya karena mengeksploitasi fungsi inti model: menafsirkan bahasa alami. Sebagian besar sistem perusahaan memperlakukan keluaran model sebagai sesuatu yang dapat dipercaya, tetapi jika model menerima instruksi tersembunyi, yang disematkan dalam komentar pengguna, panggilan API, atau bahkan nama file, model dapat ditipu untuk melakukan tindakan yang tidak diinginkan. Kami telah melihat musuh menggunakan ini untuk menarik kredensial dari riwayat obrolan, menyamar sebagai pengguna, atau melewati validasi input.

Masalah yang lebih dalam adalah bahwa LLM dioptimalkan untuk koherensi, bukan keamanan. Seperti yang kami bahas dalam tanggapan terbaru kami terhadap studi Royal Society, model cenderung memprioritaskan kelancaran dan keumuman daripada kehati-hatian dan ketepatan. Bahkan mendorong mereka untuk "menjadi lebih akurat" dapat menjadi bumerang, yang mengarah pada tanggapan yang lebih meyakinkan, tetapi tetap tidak tepat. Dan manipulasi model yang bersifat adversarial merupakan masalah jangka panjang. Penyerang dapat meracuni kumpulan data atau secara halus membentuk keluaran dengan mengulangi kueri terstruktur dari waktu ke waktu, secara bertahap mendorong model ke ruang perilaku yang lebih permisif. Deteksi di sini memerlukan pencatatan rantai penuh, evaluasi berkelanjutan, dan sandboxing lapisan model, teknik yang belum diadopsi oleh sebagian besar sistem perusahaan.

Bagaimana Tempo menggunakan pemetaan MITRE ATT&CK untuk menyediakan intelijen yang dapat ditindaklanjuti, bukan sekadar peringatan mentah?

Tempo memetakan deteksinya ke taktik dan teknik ATT&CK menggunakan pengklasifikasi terawasi dan rantai perilaku tak terawasi. Saat sistem melihat urutan seperti eksekusi PowerShell yang mencurigakan, modifikasi kunci registri, dan lalu lintas keluar yang tidak biasa, sistem tidak hanya memberi peringatan pada setiap langkah, tetapi juga memberi tag urutan tersebut sebagai Eksekusi > Penghindaran Pertahanan > Eksfiltrasi, yang cocok dengan ID ATT&CK yang diketahui.

Hal ini memungkinkan para pembela untuk segera memahami tujuan musuh dan di mana mereka berada dalam rantai pembunuhan. Kami juga menyediakan pengayaan: entitas yang terpengaruh, log terkait, dan skor keyakinan. Pendekatan terstruktur ini mengurangi beban kognitif bagi analis SOC dan mempercepat alur kerja respons, tim mengetahui taktik apa yang digunakan, apa yang menyebabkannya, dan apa langkah selanjutnya yang mungkin dilakukan. Itu adalah lompatan besar dari sistem kelelahan peringatan yang diaktifkan pada setiap anomali tanpa konteks naratif.

Mengapa DeepTempo beroperasi di hulu sistem SIEM (Manajemen Informasi dan Peristiwa Keamanan), dan bagaimana posisi ini meningkatkan deteksi ancaman dan menyederhanakan operasi untuk tim keamanan?

SIEM cenderung menormalkan dan memfilter log untuk mengurangi biaya penyerapan. Namun, dalam melakukannya, SIEM sering kali kehilangan konteks yang berharga, seperti stempel waktu yang tepat, lonjakan latensi, atau perilaku sesi yang bersifat sementara. DeepTempo beroperasi di hulu, menyerap telemetri mentah sebelum transformasi ini. Hal ini memungkinkan kita untuk memodelkan pola perilaku yang lebih kaya, seperti penggunaan kembali token layanan dengan sedikit variasi waktu atau urutan panggilan API yang jarang terjadi yang tidak akan pernah melewati ambang batas SIEM.

Bekerja di hulu juga berarti kami dapat mengurangi gangguan sebelum gangguan tersebut sampai ke SIEM. Daripada mengirim petabyte baris log setiap hari, kami meneruskan 50–100 peristiwa konteks tinggi dengan pengayaan ATT&CK penuh dan penilaian berbasis model. Tim menghabiskan lebih sedikit waktu untuk memilah dan lebih banyak waktu untuk menyelidiki ancaman yang penting. Hal ini juga menurunkan biaya penyimpanan dan komputasi SIEM, yang dapat menjadi signifikan dalam lingkungan yang besar.

Apa yang memungkinkan Tempo menyempurnakan model ke lingkungan baru dengan begitu cepat, dan bagaimana hal ini dibandingkan dengan alur kerja pembelajaran mesin tradisional?

Sistem ML tradisional sering kali memerlukan data berlabel dan pelatihan ulang selama berminggu-minggu untuk beradaptasi dengan lingkungan baru. Tempo mengambil pendekatan yang sangat berbeda. Alih-alih memulai dari awal, sistem ini memanfaatkan model yang telah dilatih sebelumnya yang dibangun pada telemetri jaringan dunia nyata berskala besar, seperti data aliran NetFlow dan VPC. Hal ini memberikan pemahaman yang kuat tentang bagaimana aliran dan perilaku lalu lintas biasanya terlihat di berbagai lingkungan.

Saat Tempo diterapkan ke lingkungan baru, ia tidak memerlukan data berlabel atau siklus pembelajaran yang panjang. Ia hanya menggunakan beberapa hari aktivitas jaringan lokal untuk menetapkan garis dasar dan menyempurnakan dirinya sendiri untuk mendeteksi pola yang khusus untuk lingkungan tersebut, seperti akses di luar jam kerja yang tidak biasa, anomali komunikasi antarlayanan, atau pergerakan data yang tidak terduga. Ini terjadi dalam hitungan jam, bukan minggu.

Karena prosesnya diawasi sendiri, tim keamanan tidak perlu menandai atau memberi label peristiwa secara manual. Dan agar tetap terkini seiring dengan perkembangan lingkungan, kami telah membangun mekanisme snapshotting yang memungkinkan model untuk "melupakan" perilaku lama saat infrastruktur atau kebijakan berubah. Beroperasi di lapisan jaringan memungkinkan kami mendeteksi ancaman lebih awal dan lebih luas, sesuatu yang membedakan Tempo dari alat keamanan tradisional yang berpusat pada titik akhir atau log.

Bagaimana DeepTempo mempertahankan akurasi tinggi dan meminimalkan positif palsu, terutama di lingkungan cloud yang dinamis?

Kami menggabungkan pemodelan temporal dengan analisis perilaku jaringan yang peka terhadap konteks, yang dibangun langsung pada log aliran NetFlow dan VPC. Pendekatan pembuatan urutan yang hebat kami yang dikombinasikan dengan prapelatihan skala besar algoritma pembelajaran mendalam berbasis transformator, membantu dalam memahami bagaimana peristiwa jaringan berlangsung dari waktu ke waktu. Kami tidak menandai satu pun login yang gagal, tetapi kami menandai login yang gagal diikuti oleh login yang berhasil dari perangkat baru, gerakan lateral, dan akses data yang tidak biasa. Konteks temporal berlapis ini menyaring gangguan dan menyoroti ancaman nyata dan baru.

Kedua, kami membuat profil perilaku pengguna dan layanan dalam konteks. Node Kubernetes yang memulai ulang 12 kali adalah hal yang normal selama pembaruan, tetapi mencurigakan pada pukul 2 pagi jika diikuti oleh penerapan kontainer baru dari registri yang tidak dikenal. Tempo mengenali hal ini karena mengamati urutan, waktu, dan konteks secara bersamaan. Selain itu, alur pembelajaran aktif kami secara aktif memantau dan mengumpulkan info tentang gaya deteksi tertentu. Jika alur mendeteksi penyimpangan dalam kinerja atau data, alur tersebut akan memanfaatkan snapshot dan umpan balik dari analis untuk menyempurnakan sejumlah kecil parameter model.

Kami membangun deteksi kami pada metadata jaringan mentah dengan ketelitian tinggi, menggabungkan kecerdasan temporal dengan dasar perilaku untuk memberikan peringatan dengan keyakinan tinggi—bahkan di lingkungan cloud yang berubah dalam sekejap mata.

Apa peran penjelasan dalam sistem Anda, dan bagaimana Anda memastikan bahwa peringatan disertai konteks yang dapat digunakan dan ditafsirkan?

Setiap deteksi di Tempo mencakup ringkasan, bukti log yang mendasarinya, dan taktik yang disimpulkan (misalnya, Akses Kredensial melalui Brute Force). Kami juga menyediakan grafik entitas terkait, pengguna, titik akhir, sumber daya cloud, sehingga tim SOC dapat memvisualisasikan insiden tersebut. Tujuannya adalah untuk menghilangkan efek "kotak hitam" yang mengganggu banyak sistem AI.

Kami meminjam dari alat bantu penjelasan akademis seperti LIME dan SHAP dalam prototipe awal, tetapi menemukan bahwa alat tersebut tidak intuitif bagi analis. Jadi sebagai gantinya, kami membuat narasi dalam bahasa sederhana: apa yang terjadi, kapan, mengapa itu mencurigakan, dan seberapa yakin kami. Ini bukan hanya tentang kejelasan, tetapi tentang memungkinkan analis tingkat satu untuk bertindak tanpa meningkatkan setiap peringatan.

Apa risiko jangka panjang dari penyerang yang menggunakan AI dan model fondasi itu sendiri, dan bagaimana DeepTempo berencana untuk tetap unggul?

Lanskap ancaman memasuki fase di mana penyerang dapat menggunakan agen AI yang belajar sendiri, mengubah muatan dengan cepat, dan mensimulasikan perilaku pengguna yang sah. Agen ini dapat berjalan 24/7, menyelidiki titik lemah, beradaptasi dengan setiap upaya yang gagal. Itu adalah perubahan mendasar, ini bukan lagi tentang zero-day, tetapi tentang kecepatan, iterasi, dan pengaburan.

Kami mempersiapkan diri dengan berinvestasi dalam pelatihan adversarial, deteksi hulu, dan pemodelan perilaku yang tidak bergantung pada indikator yang diketahui. Sasaran kami adalah mengidentifikasi struktur perilaku jahat sebelum meningkat. Kami juga menjajaki cara untuk melacak lalu lintas penyerang yang dihasilkan AI, sama seperti kami pernah melacak botnet, sehingga para pembela dapat menandai aktivitas bahkan saat muatan berubah terus-menerus.

 Terima kasih atas wawancaranya yang luar biasa, pembaca yang ingin belajar lebih banyak harus berkunjung Tempo Dalam

Topik-topik terkait:
mm

Antoine adalah pemimpin visioner dan mitra pendiri Unite.AI, yang didorong oleh hasrat yang tak tergoyahkan untuk membentuk dan mempromosikan masa depan AI dan robotika. Sebagai pengusaha serial, ia percaya bahwa AI akan sama disruptifnya terhadap masyarakat seperti listrik, dan sering kali terlihat mengoceh tentang potensi teknologi disruptif dan AGI.

Sebagai futuris, ia berdedikasi untuk mengeksplorasi bagaimana inovasi ini akan membentuk dunia kita. Selain itu, ia adalah pendiri Sekuritas.io, sebuah platform yang berfokus pada investasi dalam teknologi mutakhir yang mendefinisikan kembali masa depan dan membentuk kembali seluruh sektor.