Interviste

Mike Wiacek, Fondatore e CTO di Stairwell – Serie di Interviste

mm
Published
Updated

Mike Wiacek è il CTO e fondatore di Stairwell. È appassionato di sicurezza e di costruire una cultura di squadra basata sulla collaborazione, l’onestà e la dedizione ad aiutare i clienti a superare gli attaccanti. Prima di fondare Stairwell, Mike era il co-fondatore e Chief Security Officer di Alphabet’s Chronicle e aveva anche fondato il Threat Analysis Group di Google.

Stairwell è un’azienda di sicurezza informatica che aiuta le organizzazioni a rilevare e rispondere alle minacce utilizzando un approccio basato sui dati. La sua piattaforma raccoglie e analizza continuamente i file nel tempo, consentendo il monitoraggio in tempo reale, la caccia alle minacce retrospettiva e le informazioni basate sull’intelligenza artificiale. Con l’analisi statica e comportamentale avanzata, Stairwell consente ai team di sicurezza di identificare le minacce zero-day e di prendere decisioni informate più velocemente.

Hai fondato Stairwell dopo aver guidato gli sforzi di sicurezza a Google TAG e Chronicle. Qual è il divario che hai visto nel panorama della sicurezza informatica che ti ha convinto che era il momento di costruire qualcosa di nuovo?

Dopo aver guidato la sicurezza a Google TAG e aver costruito Chronicle, ho visto lo stesso modello rotto ripetersi ovunque: i team di intelligence sulle minacce lavoravano prima dell’attacco, i SOC durante e i team di risposta agli incidenti dopo, tutti cercando di rispondere alla stessa domanda fondamentale con strumenti diversi, dati diversi e mentalità completamente diverse. Nessuna continuità. Nessuna verità condivisa. Non era che l’idea fosse sbagliata — era che l’implementazione era sbagliata.

La maggior parte dell’industria si basa sui log. Ma i log sono misurazioni personalizzate. Sono interpretazioni. Osservazioni. Sono fragili e sono costruiti per rispondere alle domande di ieri. Se il log non ha catturato qualcosa, sei fuori fortuna. E peggio ancora, la crescita del volume dei log è costosa e insostenibile.

Entra in scena Stairwell. Ho costruito Stairwell per unificare tutto ciò. Una piattaforma. Una fonte di verità. Analizzando continuamente ciò che è effettivamente in esecuzione nel tuo ambiente — non solo ciò che viene registrato al riguardo. Quando ogni team lavora con la stessa evidenza, tutti migliorano. Triage più veloce. Rilevamento più intelligente. Indagini più approfondite. È così che smettiamo di combattere la violazione di ieri e iniziamo a superare la prossima.

Stairwell mira a dare ai difensori la capacità di pensare come gli attaccanti. Come funziona praticamente la tua piattaforma per abilitare questo e quali tipi di organizzazioni traggono il massimo beneficio da questo approccio?

Gli attaccanti non aspettano gli avvisi. Non operano in silos. Non si curano della tua politica di conservazione dei log, del tuo appetito per il rischio o delle tue preoccupazioni di bilancio.

Imparano i tuoi strumenti, evitano i tuoi controlli e concatenano file, infrastrutture e tempistica per raggiungere silenziosamente il loro obiettivo. I difensori devono fare lo stesso — pensare in relazioni, non in avvisi. È la mentalità che Stairwell ti dà.

Praticamente, questo inizia con la visibilità su tutto ciò che viene eseguito. Raccogliamo e conserviamo gli artifact raw — eseguibili, script, loader, payload — e li analizziamo continuamente. Non solo quando vengono visti per la prima volta. Per sempre. Ciò significa che puoi cacciare come un avversario: trova un file caduto, passa ai suoi varianti, identifica il loader, rintraccialo al riutilizzo dell’infrastruttura e scopri ogni fase della campagna.

Non devi reverse-engineering ogni campione. Stairwell automatizza questo. Non devi indovinare cosa fa un file. L’analisi intelligente di Stairwell te lo dice. Non devi chiederti cosa assomiglia ad esso. La scoperta delle varianti di Stairwell te lo mostra.

Chi trae beneficio? Chiunque sia stanco di volare alla cieca.

Se sei un obiettivo ad alto valore — infrastrutture critiche, finanza, difesa — non puoi permetterti di fare supposizioni. Se sei un team agile, Stairwell ti trasforma in un moltiplicatore di forze. Se sei sommerso da avvisi, ti aiutiamo a tagliare il rumore e a far funzionare ogni avviso.

In sintesi: gli attaccanti pensano in relazioni. Ora anche i difensori possono, con una visione a volo d’uccello di tutto, sempre.

La tua esperienza include il lavoro alla NSA, Google e Chronicle. Come hanno plasmato la tua comprensione delle minacce degli Stati e delle minacce persistenti, in particolare in relazione alla protezione delle infrastrutture critiche?

Penso alla sicurezza come a un problema di ricerca dei dati. Raccogliamo, archiviamo e analizziamo quanti più dati possibili e troviamo risposte alle domande all’interno di quei dati. Il pezzo mancante di dati per la maggior parte delle organizzazioni è il file grezzo. I tuoi file sono il tuo asset più prezioso. I team di sicurezza delle imprese non possono rispondere alla domanda più basilare: è presente una delle nostre minacce sulla laptop del nostro amministratore delegato? Stairwell ti dice immediatamente e continuamente dopo.

Stairwell gestisce oltre 8 miliardi di avvistamenti di file utilizzando Google Cloud Bigtable. Quali sono stati gli ostacoli ingegneristici più grandi nel costruire un sistema di analisi delle minacce che opera a questa scala?

Una delle cose di cui siamo più orgogliosi è che abbiamo trovato una soluzione ingegneristica per raccogliere, archiviare e analizzare ogni file eseguibile in un’impresa in modo efficiente. Analizziamo continuamente questi file contro il nostro corpus di malware, le regole YARA, i rapporti sulle minacce. Ogni nuovo file viene indagato — entro pochi secondi. È interessante notare che il processo è così leggero che i clienti spesso chiedono di verificare se i file vengono raccolti. Quando mostriamo loro che funziona, sono spesso sorpresi da quanto poco CPU occupa.

Hai detto che vuoi che Stairwell faccia per la sicurezza informatica ciò che Google ha fatto per la ricerca. Cosa significa questo in termini di esperienza utente e direzione del prodotto?

Siamo essenzialmente un motore di ricerca per i tuoi file eseguibili e file correlati. Consentiamo ai team di sicurezza di rispondere a domande sui loro file. Domande come — è questo file un malware? Ci sono varianti di questo file da qualche parte nei nostri sistemi? Quali endpoint hanno questo malware? È questo file recentemente identificato vulnerabile su alcuno dei nostri dispositivi? È questo file comune? Ha fratelli comuni da qualche altra parte? Dove si trova? E QUANDO è arrivato?

Una delle principali forze di Stairwell è la sua capacità di condurre la caccia alle minacce proattiva e retrospettiva — il che significa che può rilevare sia le minacce attive che gli attacchi passati che potrebbero essere sfuggiti all’attenzione. Come si differenzia questo approccio dagli strumenti di sicurezza tradizionali come SIEM (Sistemi di gestione della sicurezza e degli eventi) o EDR (Piattaforme di rilevamento e risposta endpoint), che si concentrano spesso sugli avvisi in tempo reale?

Gli strumenti tradizionali come SIEM e EDR sono costruiti per il presente. Si concentrano sugli avvisi in tempo reale e sulle rilevazioni in un determinato momento. Utili nel momento, ma ciechi a tutto ciò che non ha attivato una regola o che è passato inosservato quando nessuno stava guardando.

Stairwell funziona diversamente. Non chiediamo solo cosa è successo. Chiediamo cosa è stato nel tuo ambiente.

Conserviamo e analizziamo continuamente i file grezzi — ogni eseguibile, ogni script — in tutti i tempi. Quindi, anche se qualcosa è stato cancellato, rinominato, ripackaged o dormiente, puoi ancora trovarlo. Ancora analizzarlo. E ancora inseguirlo.

Ciò significa che puoi cacciare proattivamente prima dell’avviso. E retrospettivamente dopo la violazione — anche mesi dopo, con contesto completo e storia completa. Prova a farlo con un SIEM che ha esaurito i suoi log o un EDR che vede solo ciò che è in esecuzione al momento.

Stairwell ti dà il potere di chiedere: “È questo stato nel nostro ambiente?” E ottieni una risposta reale, non solo “non recentemente” o “non possiamo dirlo”. È questa la differenza.

Con l’aumento dell’interesse da parte delle organizzazioni federali per l’intelligenza artificiale e il rilevamento delle minacce, come vedi i modelli di intelligenza artificiale di Stairwell contribuire alla difesa a livello nazionale?

I difensori federali non hanno bisogno di altri cruscotti. Hanno bisogno di risposte più veloci, intenzioni più chiare e strumenti che tengano il passo con gli avversari che iterano più velocemente del ciclo di acquisizione del governo.

L’approccio di Stairwell all’intelligenza artificiale non è solo un classificatore aggiunto. È costruito su una base profonda di miliardi di artifact reali, della prevalenza dei file a livello globale, della discendenza delle varianti e di anni di comportamento delle minacce. Combiniamo l’estrazione di caratteristiche statiche e comportamentali con la promozione strutturata di LLM per spiegare perché qualcosa è importante — non solo segnalare che potrebbe esserlo.

Ciò significa che possiamo dare ai difensori a livello nazionale ciò che raramente ottengono:

  • Istantanea analisi a livello di ingegnere inverso di file sospetti… tutti. Ciò ci costringe in una situazione in cui gli attaccanti non possono vincere: o sono identici al “buon software”, o sono unici e vengono catturati. Non c’è via di mezzo, e noi sfruttiamo questo.
  • Risposte ricche di contesto su intenti, funzionalità e relazioni
  • Rilevamento consapevole delle varianti che non si rompe quando gli avversari ripackagano o rinominano il loro malware. In realtà, più gli avversari impacchettano, più si distinguono!

L’intelligenza artificiale viene utilizzata frettolosamente dai vendor per automatizzare ciò che è sempre stato fatto. Noi stiamo utilizzando l’intelligenza artificiale per risolvere i problemi nel modo in cui avrebbero dovuto essere risolti fin dall’inizio, ma non avevamo la tecnologia per farlo.

Già pensiamo come gli avversari. I nostri modelli sono addestrati per sezionare, attribuire e pivotare. È esattamente ciò di cui hanno bisogno le agenzie federali — non solo altri avvisi, ma la capacità di comprendere e rispondere prima della prossima campagna.

I team di sicurezza sono spesso sommersi da avvisi e falsi positivi. Come aiuta Stairwell a ridurre quel rumore mentre continua a segnalare le minacce più critiche?

Stairwell aiuta i team di sicurezza a operativizzare la loro intelligenza sulle minacce. Una delle parti più difficili della sicurezza è scoprire quali endpoint sono stati infettati con malware. Stairwell identifica quei dispositivi in pochi secondi. L’analisi intelligente di Stairwell, la nostra funzione alimentata dall’intelligenza artificiale, rende la triage dei file banale. Mentre la nostra funzionalità Run-to-Ground utilizza la prevalenza dei file all’interno della tua azienda e in tutte le aziende per rendere il malware mirato quasi impossibile da eseguire.

Gli attaccanti stanno utilizzando sempre più l’intelligenza artificiale per creare minacce più evasive e in continua evoluzione. Come aiuta Stairwell i difensori a stare al passo con questo spostamento nelle tecniche offensive?

In un mondo in cui l’intelligenza artificiale può essere utilizzata per creare facilmente malware “zero day” che nessuno ha mai visto prima, gli approcci alla sicurezza sono messi alla prova. Gli strumenti tradizionali come gli EDR, che utilizzano firme e approcci di firma comportamentale, sono ciechi al nuovo malware. Stairwell analizza cosa fa il file. Stairwell è ben posizionato per trovare malware mai visto prima creato dall’intelligenza artificiale perché utilizza l’analisi dei file e le tecniche di ricerca dei dati per indagare.

Cosa è il malinteso più comune che i leader della sicurezza hanno sulla loro postura di minaccia — e come aiuta Stairwell a colmare quella lacuna?

Il mondo ha accettato l’idea che gli EDR siano perfetti. La realtà è che forniscono una falsa sensazione di sicurezza. Purtroppo, gli EDR si basano su firme comportamentali e devono essere aggiornati ogni giorno. La loro debolezza è che non analizzano i file su ogni dispositivo, ogni giorno. Stairwell è la prossima generazione di sicurezza che utilizza l’intelligence dei segnali, compresi i file della tua azienda, per portare un approccio di ricerca dei dati alla sicurezza per indagare il malware in pochi secondi.

Infine, come definisci il successo — non solo in termini di business, ma in termini di impatto sui difensori e sulla comunità della sicurezza informatica nel suo complesso?

Il successo può essere molte cose, ma non c’è nulla di meglio che ricevere una telefonata da un cliente che dice che Stairwell ha trovato un pezzo di malware su un dispositivo o su una chiavetta USB che l’EDR o altri strumenti di sicurezza hanno mancato e ha impedito che il malware venisse trasmesso a un altro sistema.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Stairwell.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.