צור קשר

קארה ספראג, מנכ"לית HackerOne - סדרת ראיונות

ראיונות

קארה ספראג, מנכ"לית HackerOne - סדרת ראיונות

mm
יצא לאור

קארה ספראג, מנכ"לית HackerOne, היא מנהלת ותיקה בתחום הטכנולוגיה עם יותר משני עשורים של ניסיון המשתרע על פני ניהול מוצר, ניהול כללי וייעוץ אסטרטגי בתחומי התוכנה והאבטחה. היא נכנסה לתפקיד המנכ"לית בנובמבר 2024 לאחר שכיהנה בתפקידי ניהול בכירים ב-F5, כולל סגנית נשיא בכירה ומנהלת מוצר ראשית, שם הובילה יוזמות מוצר ופלטפורמה מרכזיות, וכן בתפקידי מנהלת כללית קודמים שפיקחה על עסקים בקנה מידה גדול. לפני F5, היא בילתה למעלה מעשור כשותפה ב-McKinsey & Company, ייעצה לחברות טכנולוגיה מובילות בנושאי צמיחה ואסטרטגיה, והחלה את הקריירה שלה כחברת צוות טכני באורקל. לצד תפקידה ב-HackerOne, היא מכהנת גם בדירקטוריון של Trimble Inc.

האקר היא חברת אבטחת סייבר הידועה בעיקר בזכות חלוצות בתחום האבטחה המונעת על ידי האקרים, המחברת ארגונים עם קהילה עולמית של האקרים אתיים כדי לזהות ולתקן פגיעויות לפני שניתן לנצל אותן. הפלטפורמה תומכת בארגונים ובממשלות באמצעות תוכניות באגים, גילוי פגיעויות, בדיקות חדירה ושירותי בדיקות אבטחה המשלבים מומחיות אנושית עם אוטומציה וזרימות עבודה המונעות על ידי בינה מלאכותית. על ידי העברת האבטחה ממודל ריאקטיבי למודל פרואקטיבי, HackerOne הפכה לחלק קריטי במערך אבטחת היישומים המודרני עבור ארגונים המעוניינים להפחית סיכונים ולשפר את החוסן בקנה מידה גדול.

נכנסת לתפקיד המנכ"ל של HackerOne בנובמבר 2024 לאחר עשרות שנים של מנהיגות ב-F5, מקינזי, אורקל וארגוני טכנולוגיה גדולים אחרים. מה משך אותך לקחת על עצמך אתגר זה בשלב זה של הקריירה שלך, ומה היו סדרי העדיפויות הראשונים שקבעת כשהתחילת להוביל את החברה?

ביליתי את הקריירה שלי בצומת שבין טכנולוגיה, אסטרטגיה וסיכון, ועזרתי לארגונים לנווט ברגעים שבהם ההימור גבוה והסביבה משתנה במהירות. מה שמשך אותי ל-HackerOne הוא שאנחנו בדיוק בנקודת מפנה כזו שוב, כאשר בינה מלאכותית מעצבת מחדש את נוף אבטחת הסייבר.

אבטחה אינה עוד פונקציה של המשרד האחורי - היא גורם מרכזי לאמון, חוסן ומהירות עסקית. ארגונים פועלים כיום על מערכות המקושרות עמוקות, זרימת נתונים קבועה וקבלת החלטות אוטומטית בקנה מידה חסר תקדים. בינה מלאכותית מאיצה חדשנות, אך היא גם מציגה חיבורים חדשים, תלות ומצבי כשל שמודלי אבטחה מסורתיים לא נבנו להתמודד איתם.

זו הסיבה שהמשימה של HackerOne חשובה כל כך עכשיו. המשימה שלנו היא להעצים את העולם לבנות אינטרנט בטוח יותר, ובעולם המונע על ידי בינה מלאכותית, משימה זו מעולם לא הייתה דחופה יותר. HackerOne שונה משום שאנו משלבים קהילה עולמית של חוקרי אבטחת מידע אנושית עם מודיעין פלטפורמה כדי למצוא ולתקן פגיעויות לפני שתוקפים יוכלו לנצל אותן. מודל "האדם בתוך הלולאה" הזה אינו רק מובחן - הוא חיוני.

מהיום הראשון, התמקדתי בשלוש עדיפויות: הרחבת יכולות פלטפורמת הסוכנים שלנו, השקעה בקהילת החוקרים שלנו והעמקת האמון עם לקוחות ושותפים. משמעות הדבר היא הרחבת צוותי האדום של בינה מלאכותית, פיתוח Hai מטייס משנה לצוות מתואם של סוכני בינה מלאכותית המסייע לארגונים לתעדף, לאמת ולתקן סיכונים באופן רציף מהר יותר, והשקת HackerOne Code לאבטחת תוכנה מוקדם יותר במחזור הפיתוח. כיום, יותר מ-90% מלקוחותינו משתמשים ב-Hai כדי להאיץ את עבודתם לאימות ותיקון פגיעויות.

הנוף מתפתח במהירות, אך המיקוד שלנו קבוע: לבלום סיכונים לפני שהם מגדירים אותך. ב-HackerOne, משמעות הדבר היא להפוך את האבטחה לרציפה, פרקטית ובנויה לקצב החדשנות המודרנית.

HackerOne חוותה עלייה של 200% בבדיקות חדירה וב-Red Teaming של בינה מלאכותית, וכן שינוי אסטרטגי לניהול מתמיד של חשיפה לאיומים. כיצד מגמות אלו מעצבות מחדש את החזון ארוך הטווח שלכם עבור החברה, ומה מאותת המומנטום הזה לגבי עתיד אבטחת הארגון?

מה שאנחנו רואים זה לא עלייה חדה - זה איפוס. עלייה של 200% בבדיקות חדירה וב-Red Teaming של בינה מלאכותית מאשרת שאבטחת נקודות זמן פשוט לא יכולה לעמוד בקצב השינויים המהירים של ארגונים מודרניים.

מציאות זו מעצבת את החזון ארוך הטווח שלנו סביב ניהול מתמשך של חשיפה לאיומים לאורך כל מחזור החיים - החל מקוד וענן ועד למערכות בינה מלאכותית. ככל שבינה מלאכותית מאיצה הן חדשנות והן מהירות תקיפה, האתגר אינו מציאת פגיעויות; אלא הוכחת מה ניתן לניצול, תעדוף מה שחשוב ביותר ותיקון מהיר. אנו בונים פלטפורמה המשלבת בדיקות מתמשכות, אימות אוטונומי, תעדוף חכם ומומחיות אנושית כדי לעשות בדיוק את זה.

עבור מנהיגי ארגונים, האות ברור: אבטחה הופכת לתחום עסקי מתמשך, ולא לביקורת תקופתית. החברות שיציגו ביצועים טובים יותר יהיו אלו שיזהו סיכונים מוקדם יותר, יפעלו מהר יותר ויגבילו חשיפה לפני שהם הופכים לבעיה עסקית. שינוי זה מגדיר את עתיד האבטחה הארגונית.

כיצד מערכת הבינה המלאכותית שלכם, Hai, משתלבת בתהליך העבודה של גילוי פגיעויות, והיכן היא מספקת את המינוף הרב ביותר לחוקרים וללקוחות?

Hai הוא צוות מתואם של סוכני בינה מלאכותית המוטמע ישירות בתהליך העבודה של ניהול הפגיעויות כדי לנתח ולתאם באופן רציף ממצאים כדי לסייע לארגונים לתעדף, לאמת ולתקן סיכונים מהר יותר. הוא פועל לאורך מחזור החיים של דוח, ומשמש כמכפיל כוח עבור מגינים ככל שהנפחים עולים והאיומים הופכים מורכבים יותר.

חי מספק את המינוף הרב ביותר על ידי חיתוך רעשים. הוא משפר את המיון וההבנה על ידי סיכום דוחות, זיהוי דפוסים, אימות ממצאים והדגשת הבעיות שסביר להניח שהן חשובות ביותר. המחקר שלנו מראה ש-20% מהמשתמשים חוסכים 6 עד 10 שעות בכל שבוע, קיצור משמעותי של הדרך מגילוי ועד לטיפול אמין.

גם חוקרים מרוויחים. יותר ממחציתם משתמשים כעת בבינה מלאכותית או באוטומציה בעבודתם, Hai עוזר להם לייצר הוכחות חזקות יותר של מושגים, הסברים ברורים יותר ואימות עקבי יותר.

אילו קטגוריות חדשות של פגיעויות צצו בשנה האחרונה, כאשר ארגונים מאמצים בינה מלאכותית בצורה אגרסיבית יותר בכל ערימות התוכנה שלהם?

ככל שבינה מלאכותית מוטמעת במוצרים ובזרימות עבודה, אנו רואים קטגוריות חדשות של פגיעויות צצות בקנה מידה משמעותי. בדוח האבטחה המופעל על ידי האקרים האחרון שלנו, דוחות פגיעויות תקפים של בינה מלאכותית גדלו ב-210% משנה לשנה וכמעט 80% ממנהלי מערכות מידע (CISO) כוללים כעת נכסי בינה מלאכותית במסגרת בדיקות אבטחה. הזרקה מהירה (Prompt Injection) הייתה הבולטת ביותר, עלייה של יותר מחצי שנה לעומת שנה, ונשאר אחת הדרכים הנפוצות ביותר בהן תוקפים משפיעים על התנהגות המודל. אנו רואים גם צמיחה במניפולציה של מודלים, טיפול לא מאובטח בפלט, הרעלת נתונים וחולשות הקשורות לנתוני אימון וניהול תגובות.

מה שהופך את הסיכונים הללו למשמעותיים במיוחד הוא שהם לא רק משפיעים על מערכות - הם משפיעים על החלטות, זרימות עבודה ואמון הלקוחות. בינה מלאכותית מציגה נתיבי כשל שבדיקות מסורתיות אינן מכסות במלואן. ככל שמערכות אלו נפרסות לייצור והופכות לקריטיות יותר מבחינה תפעולית, בדיקות אבטחה ייעודיות ורציפות של בינה מלאכותית יהפכו למרכזיות יותר ויותר בתוכניות אבטחה ארגוניות.

הגישה שלנו משלבת אוטומציה המונעת על ידי בינה מלאכותית כדי להגדיל את הגילוי וזיהוי התבניות עם מומחיות אנושית כדי לחשוף כשלים עדינים, חולשות חדשות והשפעה על העולם האמיתי - מה שמאפשר למגינים לפעול באותה מהירות וקנה מידה כמו תוקפים.

ככל שקהילת החוקרים העולמית מתרחבת, כיצד שומרים על אמון, איכות והגינות, ובמקביל מקדמים את מחויבותכם לגיוון והכלה במערכת אקולוגית כה גדולה המונעת על ידי קהל?

אמון הוא הבסיס למודל אבטחה המונע על ידי ההמונים, ויש לבנות אותו באופן מכוון ככל שהקהילה מתרחבת. עבורנו, זה מתחיל בסטנדרטים ברורים, תמריצים עקביים וממשל חזק.

הקהילה שלנו מורכבת מחוקרי אבטחה מנוסים אשר משתפים פעולה עם לקוחות כדי לזהות, לאמת ולסייע בתיקון פגיעויות מהעולם האמיתי במגוון רחב של טכנולוגיות.

אנו שומרים על איכות והגינות על ידי שילוב של בינה מלאכותית בפלטפורמה עם פיקוח אנושי - אימות ממצאים, אכיפת כללי מעורבות אחידים ותגמול חוקרים על סמך השפעה, ולא על רקע, גיאוגרפיה או ותק. מערכות מוניטין, מיון שקוף ומודלי תשלום עקביים יוצרים אחריות משני צידי השוק.

אנו משקיעים עמוקות בהצלחת חוקרים. באמצעות קליטה, הכשרה ודרכי צמיחה ברורות, אנו עוזרים לחוקרים חדשים לבנות מיומנויות ואמינות. במהלך שש השנים האחרונות, 50 חוקרים הרוויחו יותר ממיליון דולר כל אחד בפלטפורמה שלנו — איתות רב עוצמה הן לאיכות העבודה והן להגינות המודל.

גיוון והכלה אינן יוזמות נפרדות; הן ליבה לחוזק של המערכת האקולוגית. אתגרי אבטחה הם גלובליים, ונקודות מבט מגוונות חושפות נתיבי תקיפה שונים ונקודות עיוורות. התוצאה היא קהילה מהימנה ובעלת ביצועים גבוהים, שמתחזקת - לא מקוטעת יותר - ככל שהיא גדלה.

אילו אמצעי הגנה הטמיעה HackerOne כדי להבטיח שגילוי פגיעויות בסיוע בינה מלאכותית יישאר אחראי וימנע הטיה או שימוש לרעה?

ברחבי הפלטפורמה שלנו, סוכני בינה מלאכותית נועדו לשפר את הבהירות, לאמת ממצאים ולהאיץ את תהליך התיקון - בעוד שבני אדם נשארים אחראים להחלטות בנוגע לקבלה, חומרה ותגובה.

אנו מצפים לעצמנו לעמוד באותם סטנדרטים שאנו מצפים מהם. אנו משתמשים ביכולות הבינה המלאכותית שלנו באופן פנימי, מבצעים בדיקות לחץ רציפות בתהליכי עבודה אמיתיים, ומתגמלים את קהילת החוקרים שלנו על זיהוי פגיעויות בעלות השפעה גבוהה בפתרונות שלנו. זה יוצר לולאת משוב הדוקה שחושפת הטיה, חוסר עקביות או שימוש לרעה מוקדם.

ככל שבינה מלאכותית הופכת משובצת יותר בפעולות אבטחה, המטרה שלנו היא לקבוע רף שצוותים יכולים לסמוך עליו - המבוסס על שקיפות, בדיקות מתמשכות ואחריות אנושית.

עלייה של 120% בממצאי הפגיעויות ובתגמולים עליהן מצביעה על שינויים משמעותיים בנוף האיומים. האם אתם מפרשים זאת כהתקדמות בגילוי או כסימן לכך שתוכנות ארגוניות הופכות למסוכנות יותר?

זה גם וגם - וזו הנקודה.

העלייה משקפת התקדמות אמיתית בגילוי. חוקרים חושפים יותר חולשות איכותיות וניתנות לפעולה, ותגמולים מוגברים מראים שארגונים מעריכים את חשיפתם ותיקוןם של סיכונים אמיתיים. ממצאים נוספים לא אומרים בהכרח שתוכנה מסוכנת יותר - הם אומרים שחשיפה סוף סוף נראית לעין.

במקביל, תוכנות ארגוניות הופכות מורכבות ומקושרות יותר. בינה מלאכותית, תלויות של צד שלישי ומחזורי שחרור מהירים יותר מרחיבים את משטח התקיפה מהר יותר ממה שתוכננו להתמודד איתו באמצעות בקרות מסורתיות.

המסקנה פשוטה: סיכון הוא דינמי, וגם אבטחה חייבת להיות. הארגונים העמידים ביותר מניחים שחשיפה היא בלתי נמנעת ומתמקדים ללא הרף בתיקון מה שחשוב באמת.

מה אתה רואה כאתגר הגדול ביותר עבור פלטפורמות אבטחה מבוססות מיקור המונים בשנים הקרובות, ככל שהבינה המלאכותית תהפוך ליכולות רבות יותר?

האתגר הגדול ביותר בכל פלטפורמת אבטחה הוא שמירה על אות ואמון ככל שהמהירות והקנה מידה גדלים.

ככל שהבינה המלאכותית מורידה את מחסום הגילוי, פלטפורמות יחוו עלייה בנפח הגלישה מזרימות עבודה אוטומטיות והיברידיות. הסיכון אינו מיעוט ממצאים - אלא רעש שמציף את הלקוחות ותמריצים לא מתאימים שפוגעים באמון.

הפלטפורמות שיצליחו יהיו אלו שיאמתו את יכולת הניצול, יתעדפו את ההשפעה ויישרו תגמולים עם תוצאות - תוך שמירה על ממשל חזק ואחריות אנושית. העתיד אינו עוסק במציאת בעיות נוספות; מדובר במציאתן הנכונות מהר יותר והפיכת תובנות לפעולה לפני שבעיות עסקיות עלולות להתעורר.

האם אתה מדמיין את HackerOne מתרחב מעבר לגילוי פגיעויות לתחומים כמו ניטור מתמשך, תיקון מבוסס בינה מלאכותית או מידול איומים ניבוי?

אנו מתמקדים בפתרון הבעיה המרכזית העומדת בפני ארגונים: הבנה ובלימת סיכונים ממשיים בסביבות משתנות ללא הרף.

משמעות הדבר היא, באופן טבעי, מעבר לגילוי נקודתי בזמן. אנו כבר פועלים לאורך כל מחזור החיים של החשיפה, החל מקוד ושיתוף פעולה מבוסס בינה מלאכותית ועד אימות וקביעת סדרי עדיפויות, ונמשיך להשקיע ביכולות שיעזרו ללקוחות לראות חשיפה מוקדם יותר, להבין את ההשפעה מהר יותר, ולהניע תיקון עד לסגירה.

לבינה מלאכותית תפקיד מרכזי באבולוציה הזו - במיוחד בקביעת סדרי עדיפויות והאצת זרימת עבודה - אך תמיד עם אחריות אנושית במרכז. כוכב הצפון שלנו הוא אבטחה רציפה ומעשית שעומדת בקצב החדשנות המודרנית.

ככל שיריבים מאמצים יותר ויותר בינה מלאכותית, כיצד HackerOne מתכננת להישאר צעד אחד קדימה ולהבטיח שכלי הגנה יתפתחו באותה מהירות?

אנו מקדים את יריבינו על ידי פעולה היכן שצצות התקפות אמיתיות. קהילת החוקרים הגלובלית שלנו כבר בודקת טכניקות מבוססות בינה מלאכותית כנגד סביבות חיות, מה שמעניק לנו תובנות מוקדמות לגבי אופן פעולתם של יריבים בפועל.

אנו משלבים את התובנה האנושית הזו עם אוטומציה המונעת על ידי בינה מלאכותית כדי להרחיב את הגילוי, האימות, קביעת העדיפויות והתיקון. חשוב לא פחות, אנו מבצעים בדיקות לחץ רציפות על הפלטפורמה שלנו באמצעות אותן גישות של בינה מלאכותית לצוותים אדומים שאנו מציעים ללקוחות.

המטרה אינה לחזות כל מתקפה חדשה - אלא לבנות מערכת שלומדת מהר יותר מתוקפים. כך כלי הגנה עומדים בקצב בנוף איומים המונע על ידי בינה מלאכותית.

תודה על הראיון הנפלא - קוראים המעוניינים ללמוד עוד על האופן שבו החברה משתמשת במומחיות אנושית ובאבטחה מבוססת בינה מלאכותית כדי לעזור לארגונים לזהות ולבלום סיכונים בעולם האמיתי לפני שהם הופכים לבעיה עסקית, מוזמנים לבקר באתר. האקר.

נושאים קשורים:
mm

אנטואן הוא מנהיג בעל חזון ושותף מייסד של Unite.AI, מונע על ידי תשוקה בלתי מעורערת לעיצוב וקידום עתיד הבינה המלאכותית והרובוטיקה. כיזם סדרתי, הוא מאמין שבינה מלאכותית תשבש את החברה לא פחות מחשמל, ולעתים קרובות נתפס מתלהב מהפוטנציאל של טכנולוגיות פורצות דרך ו-AGI.

בְּתוֹר עתידן, הוא מקדיש את עצמו לחקר האופן שבו חידושים אלה יעצבו את עולמנו. בנוסף, הוא מייסד Securities.io, פלטפורמה המתמקדת בהשקעה בטכנולוגיות מתקדמות שמגדירות מחדש את העתיד ומעצבות מחדש מגזרים שלמים.