Deep Instinct 社 CIO カール・フロゲット – インタビュー シリーズ

カール・フロゲット氏は、最高情報責任者 (CIO) です。 深い本能、という単純な前提に基づいて設立された企業です。 深い学習AI の高度なサブセットであるこのテクノロジーをサイバーセキュリティに適用すると、より多くの脅威をより迅速に防ぐことができます。

Froggett 氏は、チーム、システム アーキテクチャ、大規模なエンタープライズ ソフトウェア実装の構築、およびビジネス要件に合わせたプロセスとツールの調整において確かな実績を持っています。フロゲット氏は以前、シティの CISO サイバー セキュリティ サービスのグローバル インフラストラクチャ防御責任者を務めていました。

あなたの経歴は金融業界ですが、その後サイバーセキュリティに移行した経緯を教えていただけますか?

私がサイバーセキュリティの分野で働き始めたのは、シティに在籍していた 90 年代後半で、IT 職から転身しました。私はすぐに指導的な立場に就き、IT 運用での経験を進化し挑戦的なサイバーセキュリティの世界に応用しました。サイバーセキュリティの分野で働いている私は、さまざまなビジネス ニーズに対応するテクノロジーとサイバーセキュリティ ソリューションを導入して実行しながら、イノベーションに集中する機会がありました。シティ在籍中の私の責任には、世界中のシティのビジネスと顧客向けのグローバル プラットフォームのイノベーション、エンジニアリング、提供、運用が含まれていました。

あなたはシティに 25 年以上在籍し、その多くの時間をセキュリティ戦略とエンジニアリング面を担当するチームを率いることに費やしました。あなたを Deep Instinct スタートアップに参加させた理由は何ですか?

私が Deep Instinct に参加したのは、新しいことに挑戦し、これまでの経験を別の方法で活かしたいと思ったからです。 15 年以上にわたり、私はサイバースタートアップやフィンテック企業に深く関与し、ビジネスの成長をサポートするためにチームを指導し、成長させ、いくつかの企業を IPO に導きました。私は Deep Instinct についてよく知っており、その独自の破壊的ディープラーニング (DL) テクノロジーが他のベンダーでは不可能な結果を​​生み出すのを見てきました。私は、私たちが日々直面している悪意のある脅威から企業を保護する新時代の到来を告げるものに参加したいと考えていました。

Deep Instinct による深層学習のサイバーセキュリティへの応用がこれほど大きな変革をもたらす理由について説明していただけますか?

Deep Instinct が設立された当初、同社はサイバーセキュリティ業界に革命を起こすという野心的な目標を設定し、「検出、対応、封じ込め」アプローチで後手に回るのではなく、予防第一の哲学を導入しました。ランサムウェア、ゼロデイエクスプロイト、その他のこれまでに見たことのない脅威などのサイバー攻撃が増加する中、現状の反動的なセキュリティ モデルは機能しません。現在、Generative AI のおかげで脅威の量と速度が増大し続けており、攻撃者が既存の制御を再発明、革新し、回避しているため、組織は攻撃者より一歩先を行くための予測および予防機能を必要としています。

WormGPT、FraudGPT、変異型マルウェアなどを悪用する敵対的 AI が増加しています。私たちは、組織が AI で AI と戦うことを必要とする極めて重要な時期に突入しています。しかし、すべての AI が同じように作られているわけではありません。敵対的な AI から防御するには、より高度な形式の AI、つまりディープラーニング (DL) を活用したソリューションが必要です。ほとんどのサイバーセキュリティ ツールは機械学習 (ML) モデルを利用していますが、脅威を防ぐという点ではセキュリティ チームにいくつかの欠点があります。たとえば、これらのサービスは利用可能なデータの限られたサブセット (通常は 2 ～ 5%) でトレーニングされており、未知の脅威に対しては 50 ～ 70% の精度しか提供せず、多くの誤検知が発生します。また、ML ソリューションは人間の介入を大量に必要とし、小規模なデータセットでトレーニングされるため、人間のバイアスやエラーにさらされます。速度が遅く、エンドポイントでも反応しないため、脅威は休止中に対処するのではなく、実行されるまで残留します。 DL を効果的にするのは、データを取り込みながら自己学習し、複雑な脅威を識別、検出、防止するために自律的に動作する機能です。

DL により、リーダーは従来の「侵害を想定する」という考え方から、AI が生成するマルウェアと効果的に戦うための予測的防止アプローチに移行することができます。このアプローチは、脅威が発生する前に特定して軽減するのに役立ちます。既知および未知のマルウェアに対して非常に高い有効率を実現し、ML ベースのソリューションに対して非常に低い誤検知率を実現します。 DL コアは、その有効性を維持するために年に XNUMX ～ XNUMX 回の更新だけで済みます。また、独立して動作するため、継続的なクラウド ルックアップやインテリジェンスの共有は必要ありません。これにより、非常に高速でプライバシーに配慮したものになります。

ディープラーニングはどのようにして、これまで遭遇したことのない未知のマルウェアを予測的に防ぐことができるのでしょうか?

未知のマルウェアはいくつかの方法で作成されます。一般的な方法の XNUMX つは、ファイル内のハッシュを変更することです。これは、バイトを追加する程度の小さなものである可能性があります。ハッシュ ブラックリストに依存するエンドポイント セキュリティ ソリューションは、既存のハッシュ署名が新しい突然変異のハッシュと一致しないため、そのような「突然変異」に対して脆弱です。パッキングは、元のファイルに汎用レイヤーを提供するパッカーを使用してバイナリ ファイルをパックするもう XNUMX つの手法です。マスクと考えてください。元のマルウェア バイナリ自体を変更することによって、新しい亜種も作成されます。これは、ハードコーディングされた文字列、C&C サーバーの IP/ドメイン名、レジストリ キー、ファイル パス、メタデータ、さらにはミューテックス、証明書、オフセット、さらには相互に関連付けられているファイル拡張子から始まり、セキュリティ ベンダーが署名する可能性のある機能に対して行われます。ランサムウェアによって暗号化されたファイル。コードまたはコードの一部を変更または追加することもでき、これにより従来の検出技術を回避できます。

DL はニューラル ネットワーク上に構築されており、その「脳」を使用して生データを使用して継続的にトレーニングします。ここで重要な点は、DL トレーニングでは、トレーニングに人間の介入が一切なく、利用可能なデータがすべて消費されるということです。これが、DL トレーニングが非常に正確である主な理由です。これにより、非常に高い有効率と非常に低い誤検知率が得られ、未知の脅威に対する高い回復力を実現します。当社の DL フレームワークでは、署名やパターンに依存しないため、プラットフォームはハッシュ変更の影響を受けません。また、単純な既知のファイルを使用する場合でも、FUD を使用する場合でも、パックされたファイルの分類に成功します。

トレーニング段階では、わずかな「突然変異」を自動的に生成するために、アルゴリズムに供給するファイルの生データを変更する「ノイズ」を追加します。これは、トレーニング段階の各トレーニング サイクルで供給されます。このアプローチにより、当社のプラットフォームは、文字列やポリモーフィズムなど、さまざまな未知のマルウェアの亜種に適用される変更に対して耐性が得られます。

多くの場合、予防第一の考え方がサイバーセキュリティの鍵となりますが、Deep Instinct はサイバー攻撃の予防にどのように重点を置いていますか?

データはあらゆる組織の生命線であり、データを保護することが最優先である必要があります。 XNUMX つの悪意のあるファイルが侵害されるだけで済みます。長年にわたり、「侵害を想定する」という考え方が事実上のセキュリティの考え方であり、脅威アクターがデータにアクセスすることは避けられないことを受け入れてきました。しかし、この考え方、およびこの考え方に基づくツールでは、適切なデータ セキュリティを提供できず、攻撃者はこの受動的なアプローチを最大限に活用しています。私たちの 最近の研究 2023 年前半には、2022 年全体よりも多くのランサムウェア インシデントが発生したことがわかりました。この変化する脅威状況に効果的に対処するには、単に「侵害を想定する」という考え方から脱却する必要があるだけではありません。つまり、企業にはまったく新しいアプローチと武器が必要であるということです。予防策。この脅威は新しく未知であり、速度が速いため、ランサムウェア インシデントでこのような結果が見られます。シグネチャが脅威の状況の変化に追いつけないのと同様に、ML に基づく既存のソリューションも同様です。

Deep Instinct では、DL の力を活用して、データ セキュリティに対する予防第一のアプローチを提供しています。の 深層本能による予測防止プラットフォーム は、サイバーセキュリティ向けに特別に設計された独自の DL フレームワークに基づく最初で唯一のソリューションです。これは市場で最も効率的、効果的で信頼できるサイバーセキュリティ ソリューションであり、ゼロデイ、ランサムウェア、その他の未知の脅威の 99% 以上を業界最低 (20% 未満) の誤検知率で 0.1 ミリ秒未満で阻止します。当社はすでに独自の DL フレームワークをセキュリティ保護に適用しています。 および エンドポイント、そして最近では、機能をストレージ保護に拡張し、 ストレージのための深層本能防止.

脆弱性を先取りし、誤検知を制限し、セキュリティ チームのストレスを軽減するには、データ セキュリティの予測的防止への移行が必要です。私たちはこの使命の最前線に立っており、より多くのレガシーベンダーが予防第一の機能を宣伝する中、この使命は勢いを増し始めています。

モデルのトレーニングにどのようなタイプのトレーニング データが使用されているかについて説明していただけますか?

他の AI モデルや ML モデルと同様に、私たちのモデルはデータに基づいてトレーニングされます。私たちのモデルがユニークなのは、学習して成長するために顧客からのデータやファイルを必要としないことです。このユニークなプライバシーの側面により、お客様は当社のソリューションを導入する際にさらなる安心感を得ることができます。私たちは 50 を超えるフィードを購読しており、モデルをトレーニングするためにそこからファイルをダウンロードします。そこから、社内で開発したアルゴリズムを使用してデータを検証し、分類します。

このトレーニング モデルのおかげで、私たちは平均して年間 2 ～ 3 個の新しい「脳」を作成するだけで済みます。これらの新しい頭脳は独立して押し出され、お客様への運用上の影響を大幅に軽減します。また、進化する脅威の状況に対応するために定期的に更新する必要もありません。これは、DL を活用したプラットフォームの利点であり、AI と ML を活用する他のソリューションが事後対応機能を提供するのに対し、予防的で予防第一のアプローチを提供できるようになります。

リポジトリの準備ができたら、他のメタデータとともに悪意のあるものと良性の分類を持つすべてのファイル タイプを使用してデータセットを構築します。そこから、利用可能なすべてのデータに基づいて脳をさらにトレーニングします。トレーニング プロセス中にデータを破棄しないため、誤検知が少なく、有効率が高くなります。このデータは、私たちの入力がなくても独自に学習を続けています。結果を微調整して脳に教えると、脳は学習を続けます。これは、人間の脳の仕組みや学習方法と非常によく似ています。私たちは教えられれば学ぶほど、より正確で賢くなっていきます。ただし、DL 脳がデータを学習して理解するのではなく暗記しないように、過学習を避けるように細心の注意を払っています。

非常に高い有効性レベルが得られたら、顧客に展開する推論モデルを作成します。モデルがこの段階でデプロイされると、新しいことを学習することはできません。ただし、新しいデータや未知の脅威と対話し、それらが本質的に悪意のあるものであるかどうかを判断する機能はあります。基本的に、目にするものすべてに対して「ゼロデイ」の決定を下します。

Deep Instinct はクライアントのコンテナ環境で実行されますが、これがなぜ重要なのでしょうか?

当社のプラットフォーム ソリューションの XNUMX つである Deep Instinct Prevention for Applications (DPA) は、API / iCAP インターフェイスを通じて DL 機能を活用する機能を提供します。この柔軟性により、組織は当社の革新的な機能をアプリケーションやインフラストラクチャ内に組み込むことができ、多層防御のサイバー戦略を使用して脅威を防ぐ範囲を拡大できることになります。これはユニークな差別化要因です。 DPA はコンテナ (当社が提供) 内で実行され、アプリケーションやサービスのオンプレミスまたはクラウド コンテナ環境への移行など、当社のお客様が実装している最新のデジタル化戦略と連携します。一般に、これらの顧客は DevOps に関しても「シフトレフト」を採用しています。当社の API 指向のサービス モデルは、アジャイル開発と脅威を防ぐサービスを可能にすることでこれを補完します。

このアプローチにより、Deep Instinct は組織のテクノロジー戦略にシームレスに統合され、新しいハードウェアや物流に関する懸念や新たな運用上のオーバーヘッドを発生させずに既存のサービスを活用できるため、TCO が非常に低くなります。オンデマンドの大規模な自動スケーリング、復元力、低遅延、簡単なアップグレードなど、コンテナーが提供する利点をすべて活用しています。これにより、予防第一のサイバーセキュリティ戦略が可能になり、従来のソリューションでは達成できない効率で、大規模なアプリケーションとインフラストラクチャに脅威の予防を組み込むことができます。 DL の特性により、プライバシーに配慮した上で、低遅延、高効率、低誤検知率という利点があります。ファイルやデータがコンテナから出ることはなく、コンテナは常に顧客の制御下にあります。当社の製品は、クラウドと共有したり、分析を行ったり、ファイルやデータを共有したりする必要がないため、既存の製品と比べてユニークです。

生成 AI はサイバー攻撃を拡大する可能性をもたらしますが、Deep Instinct はこれらの攻撃を回避するために必要な速度をどのように維持しているのでしょうか?

当社の DL フレームワークはニューラル ネットワーク上に構築されているため、その「脳」は生データを学習し、トレーニングし続けます。私たちのフレームワークが動作する速度と正確さは、数億のサンプルで脳がトレーニングされた結果です。これらのトレーニング データ セットが増加するにつれて、ニューラル ネットワークは継続的に賢くなり、悪意のあるファイルの原因をより詳細に理解できるようになります。 DL は、他のどのソリューションよりも詳細なレベルで悪意のあるファイルの構成要素を認識できるため、既知、未知、ゼロデイの脅威を他の確立されたサイバーセキュリティ製品よりも高い精度と速度で阻止します。これは、私たちの「脳」がクラウドベースの分析や検索を必要としないという事実と相まって、この脳をユニークなものにしています。 ML だけでは決して十分ではありません。そのため、ML を支えるためにクラウド分析が用意されています。しかし、これにより、ML が遅くなり反応的になってしまいます。 DL にはこの制約がありません。

企業が注意すべき、Generative AI によって増幅される最大の脅威は何ですか?

AIの進化により、フィッシングメールはますます巧妙化しています。以前は、フィッシングメールには文法上の誤りが含まれていたため、通常は簡単に見分けることができました。しかし現在、脅威アクターは ChatGPT などのツールを使用して、スパム フィルターや読者がキャッチするのが難しい、さまざまな言語でより詳細で文法的に正しい電子メールを作成しています。

もう XNUMX つの例は、AI の高度化により、より現実的で信頼できるものになったディープ フェイクです。音声 AI ツールは、社内で役員の声をシミュレートするためにも使用され、従業員に不正なボイスメールを残します。

上で述べたように、攻撃者は AI を使用して未知のマルウェアを作成し、その動作を変更してセキュリティ ソリューションをバイパスし、検出を回避し、より効果的に拡散できるようにしています。攻撃者は今後も AI を活用して、既存のソリューションをバイパスする、新しく洗練された独自のこれまで知られていなかったマルウェアを構築するだけでなく、「エンドツーエンド」の攻撃チェーンを自動化することも考えられます。これを行うと、コストが大幅に削減され、規模が拡大し、同時に、より洗練された攻撃キャンペーンが成功するようになります。サイバー業界は、過去 15 年間依存してきた既存のソリューション、トレーニング、意識向上プログラムを再考する必要があります。今年の侵害だけを見てもわかるように、すでに失敗しており、状況はさらに悪化するだろう。

アプリケーション、エンドポイント、ストレージ ソリューションに関して、Deep Instinct が提供するソリューションの種類を簡単に要約していただけますか?

Deep Instinct 予測防御プラットフォームは、今日のサイバーセキュリティの課題を解決するために特別に設計された独自の DL フレームワークに基づく最初で唯一のソリューションです。つまり、脅威が実行されて環境に到達する前に脅威を阻止します。プラットフォームには XNUMX つの柱があります。

1. エージェントレス、コンテナ化された環境で、API または ICAP 経由で接続: Deep Instinct Prevention for Applications は、ユーザー エクスペリエンスに影響を与えることなく、ランサムウェア、ゼロデイ脅威、その他の未知のマルウェアがアプリケーションに到達する前に阻止するエージェントレス ソリューションです。
2. エンドポイントに基づくエージェントベース: Deep Instinct Prevention for Endpoints は、スタンドアロンの実行前防止第一プラットフォームであり、今日のほとんどのソリューションのように実行時ではありません。または、実際の脅威防御層を提供することもできます。 既存の EDR ソリューションを補完する。悪意のあるアクティビティが実行される前に、既知および未知のゼロデイ 脅威やランサムウェア脅威を事前に防止し、アラートの量を大幅に削減し、誤検知を減らすことで、SOC チームは忠実度の高い正当な脅威のみに集中できるようになります。
3. ストレージ保護に対する予防第一のアプローチ: Deep Instinct Prevention for Storage は、データがオンプレミスに保存されているかクラウドに保存されているかに関係なく、ランサムウェア、ゼロデイ脅威、その他の未知のマルウェアがストレージ環境に侵入するのを阻止する予測的防御アプローチを提供します。集中ストレージ上で高速で非常に効率の高いソリューションを顧客に提供することで、ストレージが脅威の伝播および配布ポイントになるのを防ぎます。

素晴らしいレビューをありがとうございます。さらに詳しく知りたい読者は、こちらをご覧ください。 深い本能.