Interviste
Alan LeFort, Amministratore Delegato e Co-Fondatore di StrongestLayer – Serie di Interviste
Alan Lefort è un leader della sicurezza informatica con oltre 15 anni di esperienza nella costruzione e gestione di prodotti di sicurezza utilizzati da aziende del Fortune 500. In precedenza, ha guidato unità di prodotto e business in Proofpoint, McAfee e Intel Security, concentrandosi sulla protezione avanzata dalle minacce, sul rischio interno e sull’analisi del comportamento. In Intel, ha contribuito a definire la strategia del prodotto nei mercati globali, guidando team negli Stati Uniti, in Europa e in Israele. Ora, come Amministratore Delegato di StrongestLayer, Alan sta sfruttando quell’esperienza approfondita nel settore aziendale per fermare gli attacchi di phishing alimentati da intelligenza artificiale prima che raggiungano gli utenti, ridefinendo la sicurezza degli email per l’era dell’intelligenza artificiale.
StrongestLayer è una piattaforma di sicurezza degli email nativa dell’intelligenza artificiale progettata per fermare gli attacchi di phishing avanzati e di compromissione degli email aziendali. Utilizzando il suo motore di analisi proprietario TRACE, applica modelli linguistici di grandi dimensioni, inferenza comportamentale e analisi contestuale per identificare gli email maligni che i sistemi basati su regole tradizionali non rilevano. La piattaforma si integra rapidamente con Microsoft 365 e Google Workspace, aggiunge protezioni del browser e fornisce formazione per gli dipendenti guidata dall’intelligenza artificiale, offrendo alle organizzazioni sia una solida difesa che una cultura più consapevole della sicurezza.
Cosa vi ha ispirato, a te e ai tuoi co-fondatori, a creare StrongestLayer, e quale specifica lacuna nel panorama della sicurezza informatica stavate cercando di risolvere in base alle vostre esperienze in aziende come Proofpoint, FireEye e Mandiant?
L’azienda è evoluta con la prospettiva di ogni co-fondatore. È iniziata con Riz, il nostro CTO, che ha riconosciuto che il phishing stava diventando troppo sofisticato per la formazione tradizionale degli dipendenti. La sua intuizione era che la personalizzazione alimentata dall’intelligenza artificiale poteva migliorare fondamentalmente la consapevolezza della sicurezza.
Quando Josh si è unito a noi come Chief Product Officer, ha portato il pezzo mancante. Mentre testava il nostro prodotto iniziale, ha scoperto che la nostra analisi dell’intelligenza artificiale stava rilevando attacchi complessi che i vendor di sicurezza degli email stabiliti stavano completamente perdendo. È stato allora che abbiamo capito che non stavamo solo migliorando la formazione, ma stavamo identificando una lacuna fondamentale nella rilevazione delle minacce.
Io mi sono unito come Amministratore Delegato all’inizio del 2025, dopo aver consigliato il team, e ho visto l’opportunità strategica in modo chiaro: se solo l’intelligenza artificiale può difendere contro l’intelligenza artificiale weaponizzata, allora dovevamo ripensare non solo la rilevazione, ma anche come potenziare gli esseri umani in questa nuova realtà. La decisione era semplice: andare tutto fuori con la rilevazione e prevenzione nativa dell’intelligenza artificiale.
Perché credi che gli email rimangano un vettore di attacco così critico, specialmente nell’era dell’intelligenza artificiale generativa?
Gli email rimangono il principale vettore di attacco perché è il canale in cui il contesto aziendale conta di più, e l’intelligenza artificiale generativa ha reso banale sfruttare quel contesto.
Gli attacchi di email tradizionali erano basati sul volume e ovvi. L’intelligenza artificiale cambia completamente il gioco: gli attaccanti possono ora generare email personalizzate che capiscono le gerarchie aziendali, imitano gli stili di comunicazione e fanno riferimento ai processi aziendali reali. Non stanno più inviando semplici attacchi di phishing; stanno creando attacchi che sembrano autentici per specifiche organizzazioni.
Gli email sono anche il luogo in cui le decisioni di fiducia avvengono quotidianamente. I dipendenti ricevono regolarmente richieste da fornitori, partner e colleghi che richiedono giudizi sulla legittimità.
La sfida fondamentale è che la sicurezza degli email è sempre stata incentrata sul rilevamento di “cattivi” modelli tecnici, ma gli attacchi dell’intelligenza artificiale sembrano tecnicamente buoni mentre hanno intenzioni maliziose.
Come l’architettura LLM-nativa di StrongestLayer differisce fondamentalmente dalle soluzioni di sicurezza degli email tradizionali?
Abbiamo costruito la prima architettura LLM-as-master, fondamentalmente diversa dai vendor che aggiungono funzionalità LLM ai sistemi di rilevamento basati su pattern esistenti. La distinzione è architettonica: l’LLM orchestra l’intero processo di analisi piuttosto che essere un modulo aggiuntivo.
Le soluzioni tradizionali operano come un sistema giudiziario con solo un pubblico ministero – possono solo cercare la colpa senza meccanismi per provare l’innocenza. Ciò crea la classica tensione tra falsi positivi e falsi negativi che non può essere risolta all’interno di un’architettura con solo un pubblico ministero.
La nostra innovazione è la raccolta di prove doppie. Rompiamo completamente il paradigma del pubblico ministero solo avendo ogni email il suo giorno in tribunale. Il nostro sistema agisce sia come difensore pubblico che come pubblico ministero, mentre un giudice LLM imparziale valuta le prove e emette un verdetto.
L’architettura ha richiesto un’infrastruttura completamente nuova: coordinamento LLM-as-master, algoritmi di sintesi di prove doppie, architettura di miscela di esperti per analisi specializzate e architettura a zero memoria per la privacy dei dati aziendali. Forniamo il potere di ragionamento di mille analisti d’élite con la memoria di un pesce rosso – capacità analitica massima, zero persistenza dei dati.
Puoi spiegare come funziona il sistema TRACE (Threat Reasoning AI Correlation Engine) e cosa lo rende unicamente efficace contro gli attacchi di phishing alimentati da intelligenza artificiale?
TRACE opera attraverso la raccolta di prove doppie che cambia fondamentalmente l’economia della sicurezza degli email.
Per ogni email, eseguiamo due indagini parallele: prove del difensore pubblico che raccolgono indicatori di normalità e prove del pubblico ministero che raccolgono segnali di minaccia. Un giudice LLM imparziale valuta tutte le prove per emettere decisioni automatizzate con fiducia.
Prendi un pagamento di 50 milioni di dollari da parte del tuo CFO durante la chiusura trimestrale. I sistemi legacy vedono un linguaggio urgente, un importo grande, un timestamp fuori orario – ogni pattern grida minaccia. L’email viene messa in quarantena, l’attività aziendale viene interrotta.
La nostra architettura di prove doppie esegue indagini parallele: le prove del difensore pubblico includono i modelli di comunicazione del CFO, la relazione stabilita con il fornitore, il pagamento entro i limiti di acquisto, il follow-up dei flussi di lavoro documentati. Le prove del pubblico ministero includono intelligence sulle minacce esterne, analisi dell’intento di comunicazione, tentativi di eludere l’autorità, pattern di manipolazione dell’urgenza.
Il giudice LLM valuta tutte le prove. Gli indicatori di legittimità forti superano i segnali di minaccia minori. L’email viene autorizzata automaticamente con alta fiducia, la continuità aziendale viene mantenuta, gli analisti si concentrano sulle minacce reali.
Cosa rende questo unicamente efficace contro gli attacchi dell’intelligenza artificiale è che ci concentriamo su indicatori stabili che persistono indipendentemente dalla novità dell’attacco – i pattern di legittimità aziendale e i pattern di intento malizioso rimangono coerenti anche quando i metodi di attacco sono completamente nuovi.
Con l’intelligenza artificiale che ora consente agli attaccanti di generare email personalizzate su larga scala, come la tua piattaforma rimane al passo con queste minacce in evoluzione?
L’intuizione chiave è che mentre l’intelligenza artificiale rende la generazione di attacchi infinitamente scalabile, non risolve il problema della logica aziendale per gli attaccanti.
L’intelligenza artificiale può creare grammatica perfetta, imitare gli stili di comunicazione e fare riferimento a informazioni pubbliche sulle organizzazioni. Ma non può capire perfettamente i processi aziendali interni, i flussi di lavoro di approvazione, i cicli di contratto e le dinamiche di relazione across ogni organizzazione simultaneamente.
La nostra piattaforma rimane al passo concentrandosi sulla ragionevolezza aziendale piuttosto che sui pattern tecnici. Mentre gli attacchi dell’intelligenza artificiale diventano più sofisticati nella loro presentazione tecnica, spesso diventano più disperati nella loro logica aziendale – creando urgenza dove non dovrebbe essercene, eludendo i processi normali o richiedendo azioni che non si allineano con le relazioni stabilite.
Ci avvantaggiamo anche dell’apprendimento cross-customer senza esporre i dati dei singoli clienti. I pattern di abuso della logica aziendale sono spesso coerenti tra le organizzazioni, anche quando l’implementazione tecnica varia.
Quali tipi di organizzazioni sono attualmente più a rischio di attacchi di phishing potenziati da intelligenza artificiale, e come la tua piattaforma affronta le loro sfide uniche?
Le organizzazioni con relazioni complesse con i fornitori e processi di approvazione sono a più alto rischio – in particolare, servizi finanziari, sanità e studi legali. Questi settori hanno dati preziosi, processi aziendali stabiliti che gli attaccanti possono ricercare e dipendenti che gestiscono regolarmente richieste sensibili.
Le aziende di medie dimensioni affrontano una sfida specifica: hanno obblighi e complessità a livello aziendale, ma senza il personale di sicurezza o i budget per stare al passo. Sono abbastanza sofisticate per essere bersagli attraenti, ma hanno risorse limitate, quindi gli attacchi avanzati hanno successo.
La nostra piattaforma affronta questo automatizzando l’analisi del contesto aziendale che normalmente richiederebbe analisti di sicurezza dedicati. Invece di richiedere ai team di indagare manualmente ogni richiesta sospetta, TRACE fornisce il ragionamento che aiuta le organizzazioni a prendere decisioni informate rapidamente.
Ci concentriamo anche sull’esperienza utente perché queste organizzazioni non possono permettersi soluzioni che creano attrito operativo o richiedono una formazione estensiva.
Come funziona il tuo sistema di rilevamento di campagne predittive per identificare e neutralizzare i siti web aziendali falsi così rapidamente?
Il nostro approccio combina il monitoraggio in tempo reale delle registrazioni dei domini con l’analisi del contesto aziendale.
Monitoriamo continuamente le registrazioni dei domini globali, cercando pattern che suggeriscano campagne di impersonificazione – ortografia simile a domini legittimi, cluster di registrazioni, pattern di infrastruttura coerenti con la preparazione dell’attacco.
Ma il differenziale chiave è la correlazione di questa intelligenza tecnica con il contesto aziendale. Quando vediamo domini registrati che potrebbero impersonare i fornitori o i partner dei clienti, possiamo prevedere gli obiettivi e il timing delle campagne in base alle relazioni e ai cicli aziendali.
La “neutralizzazione” avviene attraverso un preavviso precoce – avvisiamo i clienti sulle potenziali campagne di impersonificazione settimane prima che vengano inviate email, consentendo loro di preparare le difese e notificare i dipendenti sulle minacce specifiche da cercare.
Questo rilevamento pre-campagna è possibile solo perché comprendiamo sia l’infrastruttura tecnica dell’attacco che il contesto aziendale che gli attaccanti sono probabili sfruttare.
Quali sono stati alcuni dei problemi tecnici più difficili che hai incontrato mentre costruivi una soluzione di sicurezza informatica veramente nativa dell’intelligenza artificiale?
Il problema più difficile è stato costruire un sistema che potesse ragionare sul contesto aziendale senza esporre dati organizzativi sensibili, mentre dimostrava che funzionava contro attacchi nuovi che i sistemi legacy non rilevavano.
Abbiamo recentemente avuto una convalida quando il nostro sistema TRACE ha rilevato un attacco di sfruttamento di Microsoft 365 Direct Send che sia la sicurezza nativa di Microsoft che il leader del mercato hanno completamente perso. L’attacco è stato pubblicato e convalidato da Dark Reading. Ha sfruttato funzionalità legittime di Microsoft, ha utilizzato oscuramento basato su immagini e ha personalizzato dinamicamente le pagine di phishing – tecniche completamente nuove senza pattern storici da abbinare.
Le sfide tecniche sono state significative: costruire un coordinamento LLM-as-master che potesse eseguire ragionamenti sofisticati mentre manteneva i dati sensibili locali, evitando trappole di falsi positivi quando si passa dal pattern matching al ragionamento, e ottimizzando le prestazioni per fornire decisioni in tempo reale all’interno dei requisiti di latenza del flusso di email.
Ma la più grande innovazione è stata dimostrare che la nostra architettura di prove doppie funziona nel mondo reale contro attacchi che hanno stumpt i vendor stabiliti. Quella convalida ci ha dato la fiducia che l’architettura potesse gestire qualsiasi tecnica novel che gli attaccanti sviluppassero dopo.
Come vedi evolversi il panorama delle minacce entro il 2026-2027, e come stai preparando la tua piattaforma per affrontare quel futuro?
Entro il 2026-2027, mi aspetto che gli attacchi sofisticati potenziati da intelligenza artificiale diventino mainstream piuttosto che territorio di minaccia persistente avanzata. Gli strumenti e le tecniche diventeranno commodity, espandendo drasticamente il pool di attori minacciosi.
Vedremo anche gli attacchi espandersi oltre gli email a tutti i canali di comunicazione aziendale – Teams, Slack, messaggistica mobile. Gli attaccanti orchestreranno campagne attraverso più canali, rendendo insufficiente la rilevazione a singolo punto.
Stiamo preparando costruendo TRACE come un motore di ragionamento che può essere applicato a qualsiasi canale di comunicazione aziendale. La tecnologia di base – comprendere il contesto e l’intento aziendale – non è specifica degli email. Stiamo anche investendo pesantemente in capacità di correlazione cross-canale.
L’altro grande cambiamento sarà gli attacchi che sfruttano l’adozione dell’intelligenza artificiale all’interno delle organizzazioni. Mentre le aziende distribuiscono strumenti di intelligenza artificiale per i processi aziendali, gli attaccanti mireranno a quelle integrazioni e flussi di dati.
Quali lezioni hai imparato finora dai deployment nel mondo reale, e come quelle lezioni hanno plasmato la tua roadmap di prodotto?
La lezione più grande è che gli attacchi nuovi convalidano il nostro approccio architettonico in modi che non avremmo potuto prevedere. Quando il nostro sistema TRACE ha rilevato l’attacco di sfruttamento di Microsoft 365 Direct Send che sia Microsoft che il leader del mercato hanno perso, ha provato la nostra tesi che il ragionamento batte il pattern matching contro tecniche veramente nuove.
Abbiamo imparato che l’esperienza utente conta più di quanto avremmo inizialmente pensato, ma non nel modo in cui ci aspettavamo. I team di sicurezza non vogliono solo rilevamento accurato – vogliono capire perché il sistema ha preso decisioni. Il nostro approccio di prove doppie aiuta perché gli analisti possono vedere sia le prove del pubblico ministero che del difensore pubblico che hanno portato al verdetto del giudice LLM.
Abbiamo anche scoperto che la rilevazione di attacchi nuovi crea vantaggi competitivi che non avevamo anticipato. Quando abbiamo pubblicato l’analisi del Direct Send che Dark Reading ha convalidato, ha stabilito credibilità tecnica in modi che le affermazioni di marketing non avrebbero potuto. I potenziali clienti hanno capito che non stavamo solo affermando di rilevare minacce sconosciute – stavamo dimostrando che funzionava con casi documentati in cui i vendor stabiliti avevano fallito.
Queste lezioni hanno plasmato la nostra strategia intorno alla trasparenza e alla convalida tecnica. La nostra roadmap ora enfatizza non solo le capacità di rilevamento, ma anche la capacità di spiegare il ragionamento e condividere l’intelligence sulle minacce con la più ampia comunità di sicurezza.
Dove vedi StrongestLayer nei prossimi due o tre anni, e qual è la visione a lungo termine per l’azienda?
Nei prossimi due anni, vedo noi stessi diventare il motore di ragionamento che protegge tutta la comunicazione aziendale – non solo gli email, ma Teams, Slack, messaggistica mobile e canali emergenti.
La fondazione tecnica che abbiamo costruito con TRACE – comprendere il contesto e l’intento aziendale – si applica oltre la sicurezza degli email. Mentre le organizzazioni adottano più canali di comunicazione e strumenti di intelligenza artificiale, hanno bisogno di protezione coerente che capisce la logica aziendale su tutte le piattaforme.
A lungo termine, la nostra visione è essere lo strato di intelligenza che aiuta le organizzazioni a comunicare con fiducia in un mondo alimentato dall’intelligenza artificiale. Invece di essere una barriera alla comunicazione, vogliamo essere il sistema che consente alle aziende di adottare nuove tecnologie di comunicazione in modo sicuro.
L’obiettivo finale è raggiungere un punto in cui le organizzazioni non pensano alla sicurezza degli email come un problema separato – è solo parte di come funziona la comunicazione aziendale, proteggendole automaticamente mentre abilita la produttività.
Grazie per la grande intervista, lettori che desiderano saperne di più possono visitare StrongestLayer.
