Mike Wiacek, fondatore e CTO di Stairwell – Serie di interviste

Mike Wiacek È CTO e fondatore di Stairwell. È appassionato di sicurezza e di creazione di una cultura di squadra basata sulla collaborazione, l'onestà e la dedizione ad aiutare i clienti a superare in astuzia gli aggressori. Prima di fondare Stairwell, Mike è stato co-fondatore e Chief Security Officer di Chronicle di Alphabet e ha anche fondato il Threat Analysis Group di Google.

tromba delle scale Stairwell è un'azienda di sicurezza informatica che aiuta le organizzazioni a rilevare e rispondere alle minacce utilizzando un approccio basato sui dati. La sua piattaforma raccoglie e analizza costantemente i file nel tempo, consentendo il monitoraggio in tempo reale, la ricerca retrospettiva delle minacce e approfondimenti basati sull'intelligenza artificiale. Grazie all'analisi statica e comportamentale avanzata, Stairwell fornisce ai team di sicurezza gli strumenti per identificare le minacce zero-day e prendere decisioni informate più rapidamente.

Hai fondato tromba delle scale Dopo aver guidato gli sforzi per la sicurezza presso Google TAG e Chronicle, quale lacuna hai notato nel panorama della sicurezza informatica che ti ha convinto che era giunto il momento di costruire qualcosa di nuovo?

Dopo aver guidato la sicurezza di Google TAG e aver creato Chronicle, ho visto lo stesso schema frammentato ripetersi ovunque: i team di threat intelligence lavoravano prima dell'attacco, i SOC durante e i team IR dopo, tutti cercando di rispondere alla stessa domanda fondamentale con strumenti diversi, dati diversi e mentalità completamente diverse. Nessuna continuità. Nessuna verità condivisa. Non era l'idea ad essere sbagliata, ma l'implementazione.

Gran parte del settore si basa sui registri. Ma i registri sono misurazioni su misura. Sono interpretazioni. Osservazioni. Sono fragili e sono costruiti per rispondere alle domande di ieri. Se il registro non le cattura, sei sfortunato. E, cosa ancora peggiore, la crescita del volume dei registri è costosa e insostenibile.

Le aziende dimenticano la loro risorsa più importante: i file grezzi. Eseguibili, script, DLL: è lì che risiede la verità. I file non mentono. Non cambiano a seconda di chi li osserva. E se si dispone degli artefatti grezzi, si può fare qualcosa che nessuno strumento basato su log potrebbe mai fare: trovare somiglianze, rilevare varianti, scoprire relazioni e rispondere a ogni domanda in ogni momento.

Così ho costruito tromba delle scale Per unificare tutto questo. Un'unica piattaforma. Un'unica fonte di verità. Analizzare costantemente ciò che è effettivamente in esecuzione nel vostro ambiente, non solo ciò che viene registrato. Quando ogni team lavora sulle stesse prove, tutti migliorano. Triage più rapido. Rilevamento più intelligente. Indagini più approfondite. È così che smettiamo di combattere la violazione di ieri e iniziamo ad anticipare quella successiva.

tromba delle scale L'obiettivo è quello di dare ai difensori la possibilità di pensare come gli aggressori. In che modo la vostra piattaforma lo consente concretamente e quali tipologie di organizzazioni traggono maggiori benefici da questo approccio?

Gli aggressori non aspettano avvisi. Non operano in silos. Non si preoccupano della vostra politica di conservazione dei log, della vostra propensione al rischio o delle preoccupazioni di budget.

Imparano a usare i tuoi strumenti, eludono i tuoi controlli e concatenano file, infrastrutture e tempi per raggiungere silenziosamente il loro obiettivo. I difensori devono fare lo stesso: pensare in termini di relazioni, non di allarmi. Questa è la mentalità. tromba delle scale ti dà.

In pratica, tutto inizia con la visibilità su tutto ciò che viene eseguito. Raccogliamo e conserviamo artefatti grezzi (eseguibili, script, loader, payload) e li analizziamo costantemente. Non solo quando vengono visualizzati per la prima volta. Per sempre. Ciò significa che puoi dare la caccia come un avversario: trovare un file abbandonato, passare alle sue varianti, identificare il loader, tracciarlo fino al riutilizzo dell'infrastruttura e scoprire ogni fase della campagna.

Non è necessario sottoporre a reverse engineering ogni campione. tromba delle scale automatizza tutto. Non devi indovinare cosa sta facendo un file. tromba delle scaleL'analisi intelligente di te lo dice. Non devi chiederti cos'altro gli assomiglia. tromba delle scaleLa Variant Discovery di ti mostra.

Chi ne trae vantaggio? Chi è stanco di volare alla cieca.

Se sei un obiettivo di alto valore (infrastrutture critiche, finanza, difesa), non puoi permetterti di fare supposizioni. Se sei un team snello, tromba delle scale ti trasforma in un moltiplicatore di forza. Se sei sommerso dagli allarmi, ti aiutiamo a distinguerti dal rumore e a mandare a terra ogni allarme.

In conclusione: gli aggressori ragionano in termini di relazioni. Ora anche i difensori possono farlo, con una visione d'insieme di tutto, sempre.

Il tuo background include esperienze lavorative presso la NSA, Google e Chronicle. In che modo queste esperienze hanno influenzato la tua comprensione delle minacce persistenti e degli stati nazionali, in particolare in relazione alla protezione delle infrastrutture critiche?

Considero la sicurezza come un problema di ricerca di dati. Raccogliamo, archiviamo e analizziamo quanti più dati possibile e troviamo risposte alle domande al loro interno. Il pezzo mancante di dati per la maggior parte delle organizzazioni sono i file veri e propri. I file sono la risorsa più preziosa. I team di sicurezza delle aziende non sono in grado di rispondere alla domanda più elementare: c'è traccia delle vostre informazioni sulle minacce sul portatile del vostro CEO? tromba delle scale ti fa sapere immediatamente e in modo continuo in seguito.

tromba delle scale Gestisce oltre 8 miliardi di avvistamenti di file utilizzando Google Cloud Bigtable. Quali sono stati i maggiori ostacoli ingegneristici nella creazione di un sistema di analisi delle minacce che operi su questa scala?

Uno degli aspetti di cui siamo più orgogliosi è aver trovato una soluzione ingegneristica per raccogliere, archiviare e analizzare in modo efficiente ogni file eseguibile in un'azienda. Analizziamo costantemente questi file confrontandoli con il nostro corpus di malware, le regole YARA e i report sulle minacce. Ogni nuovo file viene analizzato in pochi secondi. È interessante notare che il processo è così snello che i clienti spesso chiedono di verificare se i file vengono effettivamente raccolti. Quando mostriamo loro che funziona, rimangono spesso sorpresi da quanto poco CPU occupi.

Hai detto che vuoi tromba delle scale fare per la sicurezza informatica ciò che Google ha fatto per la ricerca. Cosa significa questo in termini di esperienza utente e direzione del prodotto?

Siamo di fatto un motore di ricerca per i vostri file eseguibili e file correlati. Permettiamo ai team di sicurezza di rispondere a domande sui loro file. Domande come: questo file è un malware? Esistono varianti di questo file nei nostri sistemi? Quali endpoint hanno questo malware? Questo file vulnerabile identificato di recente è presente su uno dei nostri dispositivi? Questo file è comune? Ha file simili in comune altrove? Dove si trova? E QUANDO è arrivato?

Uno dei tromba delle scaleIl punto di forza principale di è la sua capacità di condurre un threat hunting proattivo e retrospettivo, ovvero è in grado sia di rilevare minacce attive sia di scoprire attacchi passati che potrebbero essere passati inosservati. In che modo questo approccio si differenzia dagli strumenti di sicurezza tradizionali come i sistemi SIEM (Security Information and Event Management) o le piattaforme EDR (Endpoint Detection and Response), che spesso si concentrano su avvisi in tempo reale?

Strumenti tradizionali come SIEM ed EDR sono pensati per il presente. Si concentrano su avvisi in tempo reale e rilevamenti puntuali. Utili al momento, ma insensibili a tutto ciò che non ha attivato una regola o che è sfuggito quando nessuno li stava guardando.

tromba delle scale Funziona in modo diverso. Non ci limitiamo a chiedere cosa è successo. Chiediamo cosa c'è mai stato nel tuo ambiente.

Conserviamo e analizziamo costantemente i file raw, ogni eseguibile, ogni script, in ogni momento. Quindi, anche se qualcosa è stato eliminato, rinominato, ricompresso o è inattivo, puoi ancora trovarlo. Continuare ad analizzarlo. E continuare a eseguirlo fino in fondo.

Ciò significa che è possibile effettuare la ricerca proattivamente prima dell'allerta. E retrospettivamente dopo la violazione, anche mesi dopo, con contesto e cronologia completi. Provate a farlo con un SIEM che abbia i log obsoleti o con un EDR che veda solo ciò che è in esecuzione in quel momento.

tromba delle scale ti dà il potere di chiedere: "È mai successo nel nostro ambiente?" E di ottenere una risposta reale, non solo "non di recente" o "non possiamo dirlo". Questa è la differenza.

Con il crescente interesse delle organizzazioni federali per l'intelligenza artificiale e il rilevamento delle minacce, come vede tromba delle scaleI modelli di intelligenza artificiale contribuiscono alla difesa a livello nazionale?

I difensori federali non hanno bisogno di più dashboard. Hanno bisogno di risposte più rapide, intenti più chiari e strumenti che tengano il passo con avversari che si muovono più velocemente del ciclo degli appalti pubblici.

tromba delle scaleL'approccio di all'intelligenza artificiale non si limita a classificatori aggiuntivi. Si basa su una solida base di miliardi di artefatti del mondo reale, prevalenza globale di file, discendenza di varianti e anni di esperienza nel comportamento delle minacce. Combiniamo l'estrazione di caratteristiche statiche e comportamentali con prompt LLM strutturati per spiegare perché qualcosa è importante, non solo per segnalare che potrebbe esserlo.

Ciò significa che possiamo offrire ai difensori di livello nazionale ciò che raramente ottengono:

• Analisi immediata a livello di reverse engineering di file sospetti... tutti quanti. Costringiamo gli aggressori a uno scenario perdente: o essere identici al "goodware" o essere unici e farsi beccare. Non ci sono vie di mezzo, e noi sfruttiamo questa situazione.
• Risposte ricche di contesto su intenti, funzionalità e relazioni
• Rilevamento basato sulle varianti che non si interrompe quando gli avversari rielaborano o rinominano il loro malware. Anzi, più avversari rielaborano, più si distinguono!

L'intelligenza artificiale viene frettolosamente utilizzata dai fornitori per automatizzare ciò che è sempre stato fatto. Stiamo usando l'intelligenza artificiale per risolvere i problemi nel modo in cui avrebbero dovuto essere risolti fin dall'inizio, ma non abbiamo mai avuto la tecnologia per farlo.

Pensiamo già come l'avversario. I nostri modelli sono addestrati ad analizzare, attribuire e cambiare direzione. È esattamente ciò di cui le agenzie federali hanno bisogno: non solo più allerte, ma la capacità di comprendere e reagire prima che la prossima campagna elettorale si scateni.

I team di sicurezza sono spesso sommersi da avvisi e falsi positivi. Come funziona tromba delle scale contribuire a ridurre il rumore e a far emergere le minacce più critiche?

tromba delle scale Aiuta i team di sicurezza a rendere operativa la loro intelligence sulle minacce. Uno degli aspetti più difficili della sicurezza è scoprire quali endpoint sono stati infettati dal malware. tromba delle scale identifica tali dispositivi in pochi secondi. tromba delle scale Analisi Intelligente, la nostra funzionalità basata sull'intelligenza artificiale, semplifica notevolmente il triage dei file. La nostra funzionalità Run-to-Ground, invece, sfrutta la prevalenza dei file all'interno della tua azienda e in tutte le aziende per rendere praticamente impossibile l'esecuzione di malware mirati.

Gli aggressori utilizzano sempre più l'intelligenza artificiale per creare minacce più evasive e in continua evoluzione. Come è tromba delle scale aiutare i difensori a tenere il passo con questo cambiamento nelle tecniche offensive?

In un mondo in cui l'intelligenza artificiale può essere utilizzata per creare facilmente malware "zero-day" mai visti prima, gli approcci di sicurezza vengono testati. Strumenti tradizionali come gli EDR, che utilizzano firme e approcci basati su firme comportamentali, sono insensibili ai nuovi malware. tromba delle scale analizza lo scopo per cui è stato scritto il file. tromba delle scale è in una posizione ideale per individuare malware mai visti prima, creati dall'intelligenza artificiale, perché utilizza tecniche di analisi dei file e di ricerca dei dati per indagare.

Qual è l'idea sbagliata più comune che i responsabili della sicurezza hanno sulla loro posizione di minaccia e in che modo tromba delle scale contribuire a colmare questo divario?

Il mondo ha accettato l'idea che gli EDR siano perfetti. La realtà è che forniscono un falso senso di sicurezza. Sfortunatamente, gli EDR si basano su firme comportamentali e devono essere aggiornati ogni giorno. Il loro punto debole è che non analizzano i file su ogni dispositivo, ogni giorno. tromba delle scale è la prossima generazione di sicurezza che utilizza l'intelligence dei segnali, inclusi i file della tua azienda, per introdurre un approccio di ricerca dei dati alla sicurezza per indagare sui malware in pochi secondi.

Infine, come si definisce il successo, non solo in termini aziendali, ma anche in termini di impatto sui difensori e sulla comunità della sicurezza informatica nel suo complesso?

Il successo può essere tante cose, ma non c'è niente di meglio che ricevere una chiamata da un cliente che dice che tromba delle scale hanno trovato un malware su un dispositivo o su una chiavetta USB che l'EDR o altri strumenti di sicurezza non avevano rilevato e hanno impedito che il malware venisse trasferito su un altro sistema.

Grazie per l'ottima intervista, i lettori che desiderano saperne di più dovrebbero visitare tromba delle scale.