Connect with us

Carl Froggett, CIO di Deep Instinct – Serie di interviste

Interviste

Carl Froggett, CIO di Deep Instinct – Serie di interviste

mm
Published
Updated

Carl Froggett, è il Chief Information Officer (CIO) di Deep Instinct, un’azienda fondata su una semplice premessa: che il deep learning, un subset avanzato di AI, potesse essere applicato alla sicurezza informatica per prevenire più minacce, più velocemente.

Il signor Froggett ha un curriculum provato nella costruzione di team, architettura di sistemi, implementazione di software aziendali su larga scala, nonché nell’allineamento dei processi e degli strumenti con i requisiti aziendali. Froggett è stato in precedenza Head of Global Infrastructure Defense, CISO Cyber Security Services presso Citi.

La tua esperienza è nel settore finanziario, potresti condividere la tua storia su come sei poi passato alla sicurezza informatica?

Ho iniziato a lavorare nella sicurezza informatica alla fine degli anni ’90, quando ero a Citi, passando da un ruolo IT. Mi sono rapidamente mosso in una posizione di leadership, applicando la mia esperienza in IT operations al mondo in evoluzione e sfidante della sicurezza informatica. Lavorando nella sicurezza informatica, ho avuto l’opportunità di concentrarmi sull’innovazione, oltre a implementare e gestire soluzioni di sicurezza informatica per vari bisogni aziendali. Durante il mio tempo a Citi, le mie responsabilità includevano innovazione, ingegneria, consegna e operazioni di piattaforme globali per gli affari e i clienti di Citi a livello globale.

Facevi parte di Citi per oltre 25 anni e hai trascorso gran parte di questo tempo guidando team responsabili di strategie di sicurezza e aspetti di ingegneria. Cosa ti ha attirato a unirsi alla startup Deep Instinct?

Mi sono unito a Deep Instinct perché volevo affrontare una nuova sfida e utilizzare la mia esperienza in un modo diverso. Per 15+ anni sono stato fortemente coinvolto in startup di sicurezza informatica e aziende FinTech, mentorando e crescendo team per supportare la crescita aziendale, portando alcune aziende fino all’IPO. Ero familiare con Deep Instinct e ho visto la loro tecnologia di apprendimento profondo (DL) unica e innovativa produrre risultati che nessun altro fornitore poteva offrire. Volevo far parte di qualcosa che avrebbe aperto una nuova era nella protezione delle aziende contro le minacce maliziose che affrontiamo ogni giorno.

Puoi discutere perché l’applicazione di Deep Instinct del deep learning alla sicurezza informatica è così innovativa?

Quando Deep Instinct si è formata inizialmente, l’azienda ha stabilito un obiettivo ambizioso di rivoluzionare l’industria della sicurezza informatica, introducendo una filosofia di prevenzione anziché essere sulla difensiva con un approccio “rileva, rispondi, controlla”. Con gli attacchi informatici sempre più frequenti, come il ransomware, le sfruttamento di vulnerabilità zero-day e altre minacce mai viste prima, il modello di sicurezza reattivo non funziona. Ora, mentre continuiamo a vedere un aumento delle minacce in volume e velocità a causa dell’AI generativa, e mentre gli attaccanti reinventano, innovano ed evitano i controlli esistenti, le organizzazioni hanno bisogno di una capacità predittiva e preventiva per rimanere un passo avanti rispetto agli attori malintenzionati.

L’AI avversariale è in aumento con gli attori malintenzionati che sfruttano WormGPT, FraudGPT, malware mutanti e altro. Siamo entrati in un momento cruciale, che richiede alle organizzazioni di combattere l’AI con l’AI. Ma non tutte le AI sono create uguali. La difesa contro l’AI avversariale richiede soluzioni alimentate da una forma più sofisticata di AI, ovvero il deep learning (DL). La maggior parte degli strumenti di sicurezza informatica sfrutta modelli di machine learning (ML) che presentano diverse carenze per i team di sicurezza quando si tratta di prevenire le minacce. Ad esempio, queste offerte sono addestrate su subset limitati di dati disponibili (tipicamente il 2-5%), offrono solo il 50-70% di accuratezza con minacce sconosciute e introducono molti falsi positivi. Le soluzioni ML richiedono anche un’intervento umano pesante e sono addestrate su set di dati ridotti, esponendole a pregiudizi e errori umani. Sono lente e non rispondono anche sull’endpoint, lasciando che le minacce persistano fino a quando non vengono eseguite, anziché affrontarle mentre sono dormienti. Ciò che rende il DL efficace è la sua capacità di autoapprendimento mentre ingerisce dati e lavora autonomamente per identificare, rilevare e prevenire minacce complesse.

Il DL consente ai leader di passare da una mentalità tradizionale “supponi di essere stato violato” a un approccio di prevenzione predittiva per combattere efficacemente il malware generato dall’AI. Questo approccio aiuta a identificare e mitigare le minacce prima che accadano. Fornisce un tasso di efficacia estremamente alto contro malware noti e sconosciuti e un tasso di falsi positivi estremamente basso rispetto alle soluzioni basate su ML.

Il core DL richiede solo un aggiornamento una o due volte all’anno per mantenere quell’efficacia e, poiché opera in modo indipendente, non richiede lookup costanti nel cloud o condivisione di informazioni. Ciò lo rende estremamente veloce e rispettoso della privacy.

Come il deep learning è in grado di prevenire in modo predittivo malware sconosciuto che non è mai stato incontrato prima?

Il malware sconosciuto è creato in diversi modi. Un metodo comune è cambiare l’hash nel file, che potrebbe essere piccolo come aggiungere un byte. Le soluzioni di sicurezza endpoint che si affidano alla blacklisting degli hash sono vulnerabili a tali “mutazioni” perché le loro firme hash esistenti non corrisponderanno ai nuovi hash delle mutazioni. Un altro metodo è il packing, in cui i file binari vengono impacchettati con un impacchettatore che fornisce uno strato generico sul file originale – pensalo come una maschera. Le nuove varianti sono create anche modificando il malware binario originale. Ciò viene fatto sui tratti che i vendor di sicurezza potrebbero firmare, a partire da stringhe hardcoded, nomi di dominio/IP dei server C&C, chiavi di registro, percorsi di file, metadati o anche mutex, certificati, offset, nonché estensioni di file correlate ai file crittografati dal ransomware. Il codice o parti del codice possono anche essere cambiati o aggiunti, evitando così le tecniche di rilevamento tradizionali.

Il DL si basa su una rete neurale e utilizza il suo “cervello” per addestrarsi continuamente su dati grezzi. Un punto importante qui è che l’addestramento del DL consuma tutti i dati disponibili, senza intervento umano nell’addestramento – un motivo chiave per cui è così preciso. Ciò porta a un tasso di efficacia molto alto e a un tasso di falsi positivi molto basso, rendendolo iper resistente a minacce sconosciute. Con il nostro framework DL, non ci affidiamo a firme o modelli, quindi la nostra piattaforma è immune alle modifiche degli hash. Riusciamo anche a classificare con successo i file impacchettati – sia utilizzando quelli semplici e noti, sia quelli FUD.

Durante la fase di addestramento, aggiungiamo “rumore”, che cambia i dati grezzi dai file che alimentiamo nel nostro algoritmo, al fine di generare automaticamente piccole “mutazioni”, che vengono alimentate in ogni ciclo di addestramento durante la nostra fase di addestramento. Questo approccio rende la nostra piattaforma resistente alle modifiche applicate alle diverse varianti di malware sconosciuto, come stringhe o addirittura polimorfismo.

Una mentalità di prevenzione è spesso la chiave della sicurezza informatica, come si concentra Deep Instinct sulla prevenzione degli attacchi informatici?

I dati sono il sangue vitale di ogni organizzazione e proteggerli dovrebbe essere fondamentale. Basta un solo file malintenzionato per essere violati. Per anni, “supponi di essere stato violato” è stata la mentalità di sicurezza de facto, accettando l’inevitabilità che i dati saranno accessibili da attori malintenzionati. Tuttavia, questa mentalità, e gli strumenti basati su questa mentalità, non sono riusciti a fornire una sicurezza dei dati adeguata, e gli attaccanti stanno approfittando appieno di questo approccio passivo. La nostra ricerca recente ha scoperto che ci sono stati più incidenti di ransomware nel primo semestre del 2023 rispetto a tutto il 2022. Affrontare efficacemente questo panorama di minacce in evoluzione non richiede solo un allontanamento dalla mentalità “supponi di essere stato violato”: significa che le aziende hanno bisogno di un approccio completamente nuovo e di un arsenale di misure preventive. La minaccia è nuova e sconosciuta e si muove velocemente, ed è per questo che vediamo questi risultati negli incidenti di ransomware. Proprio come le firme non potevano stare al passo con il panorama di minacce in evoluzione, neanche le soluzioni basate su ML possono farlo.

In Deep Instinct, stiamo sfruttando il potere del DL per fornire un approccio di prevenzione alla sicurezza dei dati. La piattaforma di prevenzione predittiva Deep Instinct è la prima e unica soluzione basata sul nostro framework di DL unico progettato specificamente per la sicurezza informatica. È la soluzione di sicurezza informatica più efficiente, efficace e affidabile sul mercato, che previene oltre il 99% di zero-day, ransomware e altre minacce sconosciute in meno di 20 millisecondi con il tasso di falsi positivi più basso dell’industria (<0,1%). Abbiamo già applicato il nostro framework di DL per la sicurezza di applicazioni e endpoint, e più recentemente abbiamo esteso le capacità alla protezione dello storage con il lancio di Deep Instinct Prevention for Storage.

Un passaggio verso la prevenzione predittiva per la sicurezza dei dati è necessario per stare al passo con le vulnerabilità, limitare i falsi positivi e alleviare lo stress dei team di sicurezza. Siamo all’avanguardia di questa missione e sta iniziando a guadagnare trazione poiché più vendor legacy stanno ora affermando capacità di prevenzione.

Puoi discutere quali tipo di dati di addestramento vengono utilizzati per addestrare i vostri modelli?

Come altri modelli di AI e ML, il nostro modello si addestra con dati. Ciò che rende il nostro modello unico è che non ha bisogno di dati o file dei clienti per imparare e crescere. Questo aspetto unico di privacy dà ai nostri clienti un senso di sicurezza aggiuntivo quando distribuiscono le nostre soluzioni. Ci iscriviamo a oltre 50 feed che scarichiamo per addestrare il nostro modello. Da lì, validiamo e classifichiamo i dati noi stessi con algoritmi che abbiamo sviluppato internamente.

A causa di questo modello di addestramento, dobbiamo creare solo 2-3 nuovi “cervelli” all’anno in media. Questi nuovi cervelli vengono distribuiti in modo indipendente, riducendo notevolmente qualsiasi impatto operativo sui nostri clienti. Ciò non richiede aggiornamenti costanti per stare al passo con il panorama di minacce in evoluzione. Questo è il vantaggio della piattaforma alimentata da DL e ci consente di fornire un approccio proattivo e di prevenzione anziché reattivo.

Una volta che il repository è pronto, costruiamo set di dati utilizzando tutti i tipi di file con classificazioni maliziose e benigne insieme ad altri metadati. Da lì, addestriamo ulteriormente un cervello su tutti i dati disponibili – non scartiamo alcun dato durante il processo di addestramento, il che contribuisce a bassi falsi positivi e un alto tasso di efficacia. Questi dati continuano a imparare da soli senza il nostro input. Siamo estremamente cauti per evitare di sovraccaricare, per mantenere il nostro cervello DL dal memorizzare i dati invece di imparare e comprenderli.

Una volta che raggiungiamo un livello di efficacia estremamente alto, creiamo un modello di inferenza che viene distribuito ai clienti. Quando il modello viene distribuito in questa fase, non può imparare nuove cose. Tuttavia, ha la capacità di interagire con nuovi dati e minacce sconosciute e determinare se sono di natura maliziosa. In sostanza, prende una decisione “zero day” su tutto ciò che vede.

Deep Instinct funziona in un ambiente di container del cliente, perché è importante?

Una delle nostre soluzioni di piattaforma, Deep Instinct Prevention for Applications (DPA), offre la possibilità di sfruttare le nostre capacità di DL attraverso un’interfaccia API / iCAP. Questa flessibilità consente alle organizzazioni di incorporare le nostre capacità rivoluzionarie all’interno di applicazioni e infrastrutture, il che significa che possiamo estendere la nostra portata per prevenire minacce utilizzando una strategia di difesa in profondità. Questo è un differenziatore unico. DPA funziona in un contenitore (che forniamo), e si allinea con le strategie di digitalizzazione moderne che i nostri clienti stanno implementando, come la migrazione verso ambienti di container on-premises o cloud per le loro applicazioni e servizi. In generale, questi clienti stanno anche adottando un approccio “shift left” con DevOps. Il nostro modello di servizio orientato all’API complementa questo, abilitando lo sviluppo Agile e i servizi per prevenire minacce.

Con questo approccio, Deep Instinct si integra senza problemi nella strategia tecnologica di un’organizzazione, sfruttando servizi esistenti senza nuove preoccupazioni hardware o logistiche e senza nuovo sovraccarico operativo, il che porta a un TCO molto basso. Utilizziamo tutti i vantaggi che i container offrono, tra cui il massiccio auto-ridimensionamento su richiesta, la resilienza, la bassa latenza e gli aggiornamenti facili. Ciò consente una strategia di sicurezza informatica di prevenzione, incorporando la prevenzione delle minacce nelle applicazioni e nelle infrastrutture su larga scala, con efficienze che le soluzioni legacy non possono raggiungere. A causa delle caratteristiche del DL, abbiamo il vantaggio della bassa latenza, dell’alto tasso di efficacia / basso tasso di falsi positivi, combinato con la sensibilità alla privacy – nessun file o dato lascia mai il contenitore, che è sempre sotto il controllo del cliente. Il nostro prodotto non ha bisogno di condividere con il cloud, fare analisi o condividere i file / dati, il che lo rende unico rispetto a qualsiasi prodotto esistente.

L’AI generativa offre il potenziale di amplificare gli attacchi informatici, come Deep Instinct mantiene la velocità necessaria per respingere questi attacchi?

Il nostro framework di DL è costruito su reti neurali, quindi il suo “cervello” continua a imparare e addestrarsi su dati grezzi. La velocità e la precisione con cui il nostro framework opera sono il risultato del cervello addestrato su centinaia di milioni di campioni. Mentre questi set di dati di addestramento crescono, la rete neurale continua a diventare più intelligente, permettendole di essere molto più dettagliata nella comprensione di ciò che costituisce un file malizioso. Poiché può riconoscere gli elementi costitutivi dei file maliziosi a un livello più dettagliato di qualsiasi altra soluzione, il DL ferma minacce note, sconosciute e zero-day con una precisione e una velocità maggiori di qualsiasi altro prodotto di sicurezza informatica stabilito. Ciò, combinato con il fatto che il nostro “cervello” non richiede alcuna analisi o lookup basata sul cloud, lo rende unico. Il ML da solo non è mai stato abbastanza buono, il che è il motivo per cui abbiamo analisi cloud per sostenere il ML – ma ciò lo rende lento e reattivo. Il DL semplicemente non ha questa limitazione.

Quali sono alcune delle più grandi minacce che vengono amplificate con l’AI generativa che le aziende dovrebbero notare?

Le email di phishing sono diventate molto più sofisticate grazie all’evoluzione dell’AI. In precedenza, le email di phishing erano generalmente facili da riconoscere poiché erano solitamente piene di errori grammaticali. Ma ora gli attori malintenzionati stanno utilizzando strumenti come ChatGPT per creare email più approfondite e grammaticalmente corrette in vari linguaggi che sono più difficili da rilevare per i filtri antispam e i lettori.

Un altro esempio sono i deep fake che sono diventati molto più realistici e credibili grazie alla sofisticazione dell’AI. Gli strumenti audio AI vengono anche utilizzati per simulare le voci degli esecutivi all’interno di un’azienda, lasciando messaggi vocali fraudolenti per i dipendenti.

Come notato in precedenza, gli attaccanti stanno utilizzando l’AI per creare malware sconosciuto che può modificare il proprio comportamento per bypassare le soluzioni di sicurezza, evitare la rilevazione e diffondersi più efficacemente. Gli attaccanti continueranno a sfruttare l’AI non solo per costruire nuovo malware sofisticato, unico e precedentemente sconosciuto, ma anche per automatizzare la “catena di attacco end-to-end”. Ciò ridurrà notevolmente i loro costi, aumenterà la loro portata e, allo stesso tempo, renderà gli attacchi più sofisticati e di successo. L’industria della sicurezza informatica deve ripensare le soluzioni, l’addestramento e i programmi di consapevolezza che abbiamo affidato negli ultimi 15 anni. Come possiamo vedere nelle violazioni di quest’anno, stanno già fallendo e si aggraverà.

Potresti riassumere brevemente i tipi di soluzioni offerte da Deep Instinct quando si tratta di soluzioni per applicazioni, endpoint e storage?

La piattaforma di prevenzione predittiva Deep Instinct è la prima e unica soluzione basata su un framework di DL unico progettato per risolvere le sfide di sicurezza informatica di oggi – ovvero, prevenire le minacce prima che possano essere eseguite e atterrare nel tuo ambiente. La piattaforma ha tre pilastri:

  1. Agentless, in un ambiente di container, connesso tramite API o ICAP: Deep Instinct Prevention for Applications è una soluzione agentless che previene il ransomware, le minacce zero-day e altri malware sconosciuti prima che raggiungano le tue applicazioni, senza impattare sull’esperienza dell’utente.
  2. Basato su agente sull’endpoint: Deep Instinct Prevention for Endpoints è una piattaforma di prevenzione pre-esecuzione autonoma – non in esecuzione come la maggior parte delle soluzioni di oggi. Oppure può fornire uno strato di prevenzione reale per complementare qualsiasi soluzione EDR esistente. Previene minacce note, sconosciute e zero-day pre-esecuzione, prima di qualsiasi attività maliziosa, riducendo notevolmente il volume degli avvisi e riducendo i falsi positivi in modo che i team SOC possano concentrarsi esclusivamente su minacce legittime ad alta fedeltà.
  3. Un approccio di prevenzione per la protezione dello storage: Deep Instinct Prevention for Storage offre un approccio di prevenzione predittiva per fermare il ransomware, le minacce zero-day e altri malware sconosciuti dall’infiltrarsi negli ambienti di storage – sia che i dati siano archiviati on-premises o nel cloud. Fornisce una soluzione veloce e estremamente efficace sullo storage centralizzato per i clienti, prevenendo che lo storage diventi un punto di propagazione e distribuzione per qualsiasi minaccia.

Grazie per la grande recensione, i lettori che desiderano saperne di più possono visitare Deep Instinct.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.