קארל פרוגט, CIO של Deep Instinct - סדרת ראיונות

קארל פרוגט, הוא מנהל המידע הראשי (CIO) של אינסטינקט עמוק, מיזם שנוסד על הנחת יסוד פשוטה: זה למידה עמוקה, תת-קבוצה מתקדמת של AI, ניתן להחיל על אבטחת סייבר כדי למנוע איומים נוספים, מהר יותר.

למר Froggett יש רקורד מוכח בבניית צוותים, ארכיטקטורת מערכות, הטמעת תוכנה ארגונית בקנה מידה גדול, כמו גם התאמת תהליכים וכלים לדרישות העסקיות. פרוגט היה בעבר ראש הגנת התשתיות העולמית, שירותי אבטחת סייבר של CISO ב-Citi.

הרקע שלך הוא בתעשיית הפיננסים, האם תוכל לשתף את הסיפור שלך כיצד עברת אז לאבטחת סייבר?

התחלתי לעבוד באבטחת סייבר בסוף שנות ה-90 כשהייתי ב-Citi, במעבר מתפקיד IT. עברתי במהירות לתפקיד מנהיגותי, ויישמתי את הניסיון שלי בתפעול IT לעולם המתפתח והמאתגר של אבטחת סייבר. בעבודה בתחום אבטחת סייבר, הייתה לי ההזדמנות להתמקד בחדשנות, תוך פריסה והרצה של פתרונות טכנולוגיה ואבטחת סייבר לצרכים עסקיים שונים. במהלך תקופתי ב-Citi, האחריות שלי כללה חדשנות, הנדסה, אספקה ​​ותפעול של פלטפורמות גלובליות עבור העסקים והלקוחות של Citi ברחבי העולם.

היית חלק מ-Citi במשך יותר מ-25 שנה ובילה חלק ניכר מהזמן הזה בהובלת צוותים האחראים על אסטרטגיות אבטחה והיבטים הנדסיים. מה זה שפיתה אותך להצטרף לסטארט-אפ Deep Instinct?

הצטרפתי ל-Deep Instinct כי רציתי לקחת על עצמי אתגר חדש ולהשתמש בניסיון שלי בדרך אחרת. במשך 15+ שנים הייתי מעורב מאוד בסטארט-אפים בתחום סייבר וחברות פינטק, הדרכתי והגדלת צוותים כדי לתמוך בצמיחה עסקית, תוך העברה של כמה חברות להנפקה. הכרתי את Deep Instinct וראיתי את טכנולוגיית הלמידה העמוקה הייחודית והמשבשת שלהם (DL) מניבה תוצאות שאף ספק אחר לא יכול. רציתי להיות חלק ממשהו שיפתח עידן חדש של הגנה על חברות מפני האיומים הזדוניים שאנו מתמודדים איתם מדי יום.

האם אתה יכול לדון מדוע היישום של Deep Instinct של למידה עמוקה לאבטחת סייבר הוא כל כך משנה משחק?

כאשר Deep Instinct הוקמה לראשונה, החברה שמה לה למטרה שאפתנית לחולל מהפכה בתעשיית אבטחת הסייבר, תוך הצגת פילוסופיית מניעה-ראשונה במקום להיות על הרגל האחורית עם גישת "זהה, הגיבו, מכיל". עם התקפות סייבר מתגברות, כמו תוכנות כופר, ניצול יום אפס ואיומים אחרים שטרם נראו, מודל האבטחה הריאקציוני הסטטוס קוו לא עובד. כעת, כאשר אנו ממשיכים לראות איומים עולים בנפח ובמהירות בגלל AI Generative, וכאשר תוקפים ממציאים מחדש, מחדשים ומתחמקים מבקרות קיימות, ארגונים זקוקים ליכולת חיזוי ומניעה כדי להישאר צעד אחד לפני שחקנים רעים.

AI יריב נמצא בעלייה עם שחקנים גרועים הממנפים את WormGPT, FraudGPT, מוטציות של תוכנות זדוניות ועוד. נכנסנו לתקופה מרכזית, כזו שדורשת מארגונים להילחם בבינה מלאכותית עם בינה מלאכותית. אבל לא כל AI נוצר שווה. הגנה מפני AI יריב דורשת פתרונות המופעלים על ידי צורה מתוחכמת יותר של AI, כלומר למידה עמוקה (DL). רוב כלי אבטחת הסייבר ממנפים מודלים של למידת מכונה (ML) המציגים מספר חסרונות לצוותי אבטחה בכל הנוגע למניעת איומים. לדוגמה, הצעות אלה מאומנות על קבוצות משנה מוגבלות של נתונים זמינים (בדרך כלל 2-5%), מציעות דיוק של 50-70% בלבד עם איומים לא ידועים, ומציגות תוצאות חיוביות כוזבות רבות. פתרונות ML דורשים גם התערבות אנושית כבדה והם מאומנים על מערכי נתונים קטנים, וחושפים אותם להטיה אנושית ולטעויות. הם איטיים, ולא מגיבים אפילו בנקודת הסיום, נותנים לאיומים להתעכב עד שהם יוצאים לפועל, במקום להתמודד איתם בזמן שהם רדומים. מה שהופך את DL ליעיל הוא היכולת שלו ללמוד את עצמו כשהוא קולט נתונים ופועל באופן אוטונומי כדי לזהות, לזהות ולמנוע איומים מסובכים.

DL מאפשר למנהיגים לעבור ממנטליות מסורתית של "להניח הפרה" לגישת מניעה חזויה כדי להילחם ביעילות בתוכנות זדוניות שנוצרו בינה מלאכותית. גישה זו עוזרת לזהות ולהפחית איומים לפני שהם קורים. הוא מספק שיעור יעילות גבוה במיוחד כנגד תוכנות זדוניות ידועות ולא ידועות, ושיעורי חיובי כוזבים נמוכים במיוחד לעומת פתרונות מבוססי ML. ליבת DL דורשת עדכון רק פעם או פעמיים בשנה כדי לשמור על היעילות הזו, ומכיוון שהיא פועלת באופן עצמאי, היא אינה דורשת חיפושים מתמידים בענן או שיתוף אינטל. זה הופך אותו למהיר במיוחד וידידותי לפרטיות.

כיצד למידה עמוקה מסוגלת למנוע באופן חיזוי תוכנות זדוניות לא ידועות שמעולם לא נתקלו בהן?

תוכנה זדונית לא ידועה נוצרת בכמה דרכים. שיטה נפוצה אחת היא שינוי ה-hash בקובץ, שיכול להיות קטן כמו הוספת בייט. פתרונות אבטחה של נקודות קצה המסתמכים על רשימת גיבוב שחורים פגיעים ל"מוטציות" כאלה מכיוון שחתימות ה-hash הקיימות שלהם לא יתאימו ל-hash של אותן מוטציות חדשות. אריזה היא טכניקה נוספת שבה קבצים בינאריים נארזים עם אורז המספק שכבה גנרית על הקובץ המקורי - חשבו על זה כעל מסיכה. גרסאות חדשות נוצרות גם על ידי שינוי הקובץ הבינארי המקורי של תוכנות זדוניות. זה נעשה על התכונות שספקי אבטחה עשויים לחתום עליהן, החל ממחרוזות מקודדות קשיחות, שמות IP/דומיין של שרתי C&C, מפתחות רישום, נתיבי קבצים, מטא נתונים, או אפילו מוטקסים, אישורים, קיזוזים, כמו גם סיומות קבצים המתואמות ל הקבצים המוצפנים על ידי תוכנת כופר. ניתן גם לשנות או להוסיף את הקוד או חלקי הקוד, אשר מתחמקים מטכניקות זיהוי מסורתיות.

DL בנוי על רשת עצבית ומשתמש ב"מוח" שלו כדי לאמן את עצמו ברציפות על נתונים גולמיים. נקודה חשובה כאן היא אימון DL צורך את כל הנתונים הזמינים, ללא התערבות אנושית באימון - סיבה מרכזית לכך שהוא כל כך מדויק. זה מוביל לשיעור יעילות גבוה מאוד ושיעור חיובי כוזב נמוך מאוד, מה שהופך אותו לעמיד בפני איומים לא ידועים. עם מסגרת ה-DL שלנו, אנחנו לא מסתמכים על חתימות או דפוסים, כך שהפלטפורמה שלנו חסינה מפני שינויים ב-hash. אנחנו גם מסווגים בהצלחה קבצים ארוזים - בין אם משתמשים פשוטים וידועים, או אפילו FUDs.

במהלך שלב האימון, אנו מוסיפים "רעש", שמשנה את הנתונים הגולמיים מהקבצים שאנו מזינים לאלגוריתם שלנו, על מנת ליצור אוטומטית "מוטציות" קלות, המוזנות בכל מחזור אימון במהלך שלב האימון שלנו. גישה זו הופכת את הפלטפורמה שלנו לעמידה בפני שינויים המוחלים על גרסאות הזדוניות השונות הלא ידועות, כגון מחרוזות או אפילו פולימורפיזם.

חשיבה ראשונית למניעה היא לרוב המפתח לאבטחת סייבר, כיצד Deep Instinct מתמקד במניעת התקפות סייבר?

נתונים הם נשמת אפו של כל ארגון וההגנה עליהם צריכה להיות חשיבות עליונה. כל מה שצריך זה קובץ זדוני אחד כדי להפר. במשך שנים, "הנחה שהפרה" הייתה הלך הרוח האבטחה דה פקטו, ומקבל את הבלתי נמנע שגורמי איומים ייגשו לנתונים. עם זאת, הלך הרוח הזה, והכלים המבוססים על המנטליות הזו, לא הצליחו לספק אבטחת מידע נאותה, והתוקפים מנצלים את מלוא היתרונות של גישה פסיבית זו. שֶׁלָנוּ מחקר אחרון מצא שהיו יותר תקריות תוכנות כופר במחצית הראשונה של 2023 מאשר בכל 2022. טיפול יעיל בנוף האיומים המשתנה הזה לא מצריך רק התרחקות מהלך הרוח של "הנחה שהפרה": זה אומר שחברות זקוקות לגישה חדשה לגמרי ולארסנל של אמצעי מניעה. האיום הוא חדש ולא ידוע, והוא מהיר, וזו הסיבה שאנו רואים את התוצאות הללו בתקריות כופר. בדיוק כמו שחתימות לא יכלו לעמוד בקצב של נוף האיומים המשתנה, גם שום פתרון קיים המבוסס על ML לא יכול.

ב-Deep Instinct, אנו ממנפים את הכוח של DL כדי לספק גישה ראשונה למניעה לאבטחת מידע. ה פלטפורמת מניעת אינסטינקטים עמוקה הוא הפתרון הראשון והיחיד המבוסס על מסגרת DL הייחודית שלנו שתוכננה במיוחד עבור אבטחת סייבר. זהו פתרון אבטחת הסייבר היעיל, היעיל והאמין ביותר בשוק, המונע יותר מ-99% מאיומים של zero day, תוכנות כופר ואיומים לא ידועים אחרים תוך <20 אלפיות שניות עם שיעור חיובי שגוי הנמוך ביותר בתעשייה (<0.1%). כבר יישמנו את מסגרת ה-DL הייחודית שלנו לאבטחה יישומים ו נקודות קצה, ולאחרונה הרחיב את היכולות להגנה על אחסון עם השקת מניעת אינסטינקט עמוק לאחסון.

נדרש שינוי לעבר מניעה חזויה לאבטחת מידע כדי להקדים את הפגיעויות, להגביל תוצאות שגויות ולהקל על הלחץ של צוות האבטחה. אנחנו בחזית המשימה הזו והיא מתחילה לצבור אחיזה, כאשר יותר ספקים מדור קודם מציגים את יכולות המניעה הראשונות.

האם תוכל לדון באיזה סוג של נתוני אימון משמשים לאימון המודלים שלך?

כמו דגמי AI ו-ML אחרים, המודל שלנו מתאמן על נתונים. מה שמייחד את המודל שלנו הוא שהוא לא צריך נתונים או קבצים מלקוחות כדי ללמוד ולצמוח. היבט הפרטיות הייחודי הזה מעניק ללקוחותינו תחושת ביטחון נוספת כאשר הם פורסים את הפתרונות שלנו. אנו מנויים ליותר מ-50 עדכונים מהם אנו מורידים קבצים כדי להכשיר את המודל שלנו. משם, אנו מאמתים ומסווגים נתונים בעצמנו באמצעות אלגוריתמים שפיתחנו באופן פנימי.

בגלל מודל האימון הזה, עלינו ליצור רק 2-3 "מוחות" חדשים בשנה בממוצע. המוחות החדשים האלה נדחקים החוצה באופן עצמאי, מה שמפחית באופן משמעותי כל השפעה תפעולית על הלקוחות שלנו. זה גם לא דורש עדכונים מתמידים כדי לעמוד בקצב של נוף האיומים המתפתח. זהו היתרון של הפלטפורמה המופעלת על ידי DL ומאפשרת לנו לספק גישה פרואקטיבית, ראשית מניעה, בעוד שפתרונות אחרים הממנפים AI ו-ML מספקים יכולות ריאקציונריות.

לאחר שהמאגר מוכן, אנו בונים מערכי נתונים תוך שימוש בכל סוגי הקבצים עם סיווגים זדוניים ושפירים יחד עם מטא נתונים אחרים. משם, אנו מאמנים מוח נוסף על כל הנתונים הזמינים - אנו לא פוסקים שום נתונים במהלך תהליך האימון, מה שתורם לתוצאות חיוביות שגויות נמוכות ולשיעור יעילות גבוה. נתונים אלה לומדים כל הזמן בכוחות עצמם ללא קלט שלנו. אנו משנים תוצאות כדי ללמד את המוח ואז הוא ממשיך ללמוד. זה דומה מאוד לאופן שבו מוח אנושי עובד ולאופן שבו אנו לומדים - ככל שמלמדים אותנו יותר, כך נהיה מדויקים וחכמים יותר. עם זאת, אנו נזהרים מאוד להימנע מהתאמה יתר, כדי למנוע ממוח ה-DL שלנו לשנן את הנתונים במקום ללמוד ולהבין אותם.

ברגע שיש לנו רמת יעילות גבוהה במיוחד, אנו יוצרים מודל מסקנות שנפרס ללקוחות. כאשר המודל נפרס בשלב זה, הוא לא יכול ללמוד דברים חדשים. עם זאת, יש לו את היכולת ליצור אינטראקציה עם נתונים חדשים ואיומים לא ידועים ולקבוע אם הם זדוניים באופיים. בעיקרו של דבר הוא מקבל החלטה "יום אפס" על כל מה שהוא רואה.

Deep Instinct פועל בסביבת מיכל של לקוח, למה זה חשוב?

אחד מפתרונות הפלטפורמה שלנו, Deep Instinct Prevention for Applications (DPA), מציע את היכולת למנף את יכולות ה-DL שלנו באמצעות ממשק API / iCAP. גמישות זו מאפשרת לארגונים להטמיע את היכולות המהפכניות שלנו בתוך יישומים ותשתיות, כלומר אנו יכולים להרחיב את טווח ההגעה שלנו כדי למנוע איומים באמצעות אסטרטגיית סייבר מעמיקה. זהו בידול ייחודי. DPA פועל בקונטיינר (שאנו מספקים), ומתיישר עם אסטרטגיות הדיגיטציה המודרניות שהלקוחות שלנו מיישמים, כגון הגירה לסביבות קונטיינר מקומיות או ענן עבור היישומים והשירותים שלהם. בדרך כלל, לקוחות אלה מאמצים גם "שינוי שמאלה" עם DevOps. מודל השירות שלנו מכוון API משלים זאת בכך שהוא מאפשר פיתוח Agile ושירותים למניעת איומים.

עם גישה זו Deep Instinct משתלב בצורה חלקה באסטרטגיה הטכנולוגית של הארגון, תוך מינוף שירותים קיימים ללא דאגות חומרה או לוגיסטיקה חדשות וללא תקורה תפעולית חדשה, מה שמוביל ל-TCO נמוך מאוד. אנו מנצלים את כל היתרונות שמציעות קונטיינרים, כולל קנה מידה אוטומטי מסיבי לפי דרישה, גמישות, זמן אחזור נמוך ושדרוגים קלים. זה מאפשר אסטרטגיית אבטחת סייבר ראשונה במניעה, הטמעת מניעת איומים ביישומים ובתשתיות בקנה מידה עצום, עם יעילות שפתרונות מדור קודם לא יכולים להשיג. בשל מאפייני DL, יש לנו את היתרון של חביון נמוך, יעילות גבוהה / שיעורי חיובי כוזבים נמוכים, בשילוב עם היותנו רגישים לפרטיות - אף קובץ או נתונים לא עוזבים את הקונטיינר, שהוא תמיד בשליטת הלקוח. המוצר שלנו לא צריך לשתף עם הענן, לעשות אנליטיקס או לשתף את הקבצים/הנתונים, מה שהופך אותו לייחודי בהשוואה לכל מוצר קיים.

בינה מלאכותית גנרטיבית מציעה פוטנציאל להרחיב את התקפות סייבר, כיצד Deep Instinct שומר על המהירות הדרושה כדי להסיט את התקפות אלו?

מסגרת ה-DL שלנו בנויה על רשתות עצביות, כך שה"מוח" שלה ממשיך ללמוד ולהתאמן על נתונים גולמיים. המהירות והדיוק שבהם פועלת המסגרת שלנו היא תוצאה של אימון המוח במאות מיליוני דגימות. כאשר מערכי נתוני האימון הללו גדלים, הרשת העצבית נעשית חכמה יותר ללא הרף, ומאפשרת לה להיות הרבה יותר מפורטת בהבנת הגורם לקובץ זדוני. מכיוון שהוא יכול לזהות את אבני הבניין של קבצים זדוניים ברמה מפורטת יותר מכל פתרון אחר, DL מפסיק איומים ידועים, לא ידועים ואיומים של אפס-יום בדיוק ובמהירות טובים יותר ממוצרי אבטחת סייבר מבוססים אחרים. זה, בשילוב עם העובדה שה"מוח" שלנו אינו דורש שום ניתוח או חיפושים מבוססי ענן, הופכים אותו לייחודי. ML בפני עצמו מעולם לא היה מספיק טוב, וזו הסיבה שיש לנו ניתוח ענן כדי לבסס את ה-ML – אבל זה הופך אותו לאיטי ותגובתי. ל-DL פשוט אין את האילוץ הזה.

מהם כמה מהאיומים הגדולים ביותר שמוגברים עם AI Generative שארגונים צריכים לשים לב אליהם?

הודעות דוא"ל דיוג הפכו להרבה יותר מתוחכמות הודות לאבולוציה של AI. בעבר, הודעות דוא"ל פישינג היו בדרך כלל קלות לזהות מכיוון שהן היו בדרך כלל רצופות שגיאות דקדוקיות. אבל כעת גורמי איומים משתמשים בכלים כמו ChatGPT כדי ליצור אימיילים מעמיקים יותר ונכונים דקדוקית במגוון שפות שקשה יותר לתפוס את מסנני הספאם והקוראים.

דוגמה נוספת היא זיופים עמוקים שהפכו הרבה יותר מציאותיים ואמינים בגלל התחכום של AI. כלי אודיו AI משמשים גם כדי לדמות קולות של מנהלים בתוך חברה, ומשאירים הודעות קוליות הונאה לעובדים.

כפי שצוין לעיל, תוקפים משתמשים בבינה מלאכותית כדי ליצור תוכנות זדוניות לא ידועות שיכולות לשנות את התנהגותה כדי לעקוף פתרונות אבטחה, להתחמק מזיהוי ולהתפשט בצורה יעילה יותר. התוקפים ימשיכו למנף בינה מלאכותית לא רק כדי לבנות תוכנות זדוניות חדשות, מתוחכמות, ייחודיות ולא ידועות בעבר, אשר יעקפו את הפתרונות הקיימים, אלא גם כדי להפוך את שרשרת ההתקפה "מקצה לקצה" לאוטומטית. פעולה זו תפחית משמעותית את העלויות שלהם, תגדיל את קנה המידה שלהן, ובו זמנית תגרום להתקפות בעלות קמפיינים מתוחכמים ומוצלחים יותר. תעשיית הסייבר צריכה לחשוב מחדש על פתרונות קיימים, הדרכה ותוכניות מודעות שעליהן הסתמכנו ב-15 השנים האחרונות. כפי שאנו יכולים לראות בהפרות השנה בלבד, הן כבר נכשלות, וזה הולך להחמיר.

האם תוכל לסכם בקצרה את סוגי הפתרונות המוצעים על ידי Deep Instinct בכל הנוגע לפתרונות יישומים, נקודות קצה ואחסון?

The Deep Instinct Predictive Prevention Platform היא הפתרון הראשון והיחיד המבוסס על מסגרת DL ייחודית שתוכננה במיוחד כדי לפתור את אתגרי אבטחת הסייבר של ימינו - כלומר, מניעת איומים לפני שהם יכולים להתרחש ולנחות על הסביבה שלך. לפלטפורמה שלושה עמודים:

1. ללא סוכן, בסביבה מכילה, מחובר באמצעות API או ICAP: Deep Instinct Prevention for Applications הוא פתרון ללא סוכנים המונע תוכנות כופר, איומים של יום אפס ותוכנות זדוניות לא ידועות אחרות לפני שהן מגיעות ליישומים שלך, מבלי להשפיע על חווית המשתמש.
2. מבוסס סוכן על נקודת הקצה: Deep Instinct Prevention for Endpoints היא פלטפורמה עצמאית למניעת ביצוע טרום ביצוע - לא בביצוע כמו רוב הפתרונות כיום. או שהוא יכול לספק שכבת מניעת איומים ממשית משלימים כל פתרונות EDR קיימים. זה מונע ביצוע של איומים ידועים ולא ידועים, של יום אפס ושל תוכנות כופר, לפני כל פעילות זדונית, מצמצם משמעותית את נפח ההתראות ומצמצם תוצאות שווא כך שצוותי SOC יכולים להתמקד באופן בלעדי באיומים לגיטימיים בנאמנות גבוהה.
3. גישה ראשונה למניעה להגנה על אחסון: Deep Instinct Prevention for Storage מציעה גישת מניעה חזויה לעצירת תוכנות כופר, איומי יום אפס ותוכנות זדוניות לא ידועות אחרות לחדור לסביבות אחסון - בין אם הנתונים מאוחסנים במקום או בענן. מתן פתרון מהיר ויעילות במיוחד באחסון המרוכז עבור הלקוחות מונע מהאחסון להפוך לנקודת הפצה והפצה לכל איומים.

תודה על הביקורת הנהדרת, קוראים שרוצים ללמוד עוד צריכים לבקר אינסטינקט עמוק.