Anuj Goel, Cyware의 CEO 및 공동 창립자 – 인터뷰 시리즈

Anuj Goel은 Cyware의 CEO이자 공동 창립자로, 조직이 위협 인텔리전스와 보안 운영을 관리하는 방식을 변화시키기 위해 설계된 최첨단 사이버 퓨전 기술의 개발을 주도합니다. Cyware를 설립하기 전에 Goel은 Citi에서 고위직을 맡았으며 Adobe와 Oracle에서 근무한 경험을 통해 Cyware의 CTO인 Akshat Jain과 협력했습니다. 그의 리더십 아래 Cyware는 사이버 보안 분야의 혁신으로 인해 Deloitte Technology Fast 500 목록에 등재되는 것을 포함하여 여러 상을 받았습니다. Goel은 사이버 퓨전, 위협 응답 및 리더십 개발에 대한 통찰력을 자주 공유합니다.

Cyware는 위협 인텔리전스, 자동화 및 조정된 사건 응답을 통합하는 고급 사이버 보안 플랫폼을 구축합니다. 플래그십 사이버 퓨전 플랫폼을 통해 조직은 보안 운영을 중앙화할 수 있으며, 다양한 보안 환경에서 실시간 위협 공유 및 자동화된 워크플ロー가 가능합니다. 이 기술은 위협 인텔리전스 처리, 저코드 SOAR 기능 및 예방적 방어 조정을 지원하여 개인 및 공공 부문 클라이언트가 사이버 보안態勢를 간소화하고 강화하도록 도와줍니다. Cyware의 아키텍처는 실로를 제거하고, 탐지를 가속화하며, AI 및 기계推論에 의해 구동되는 협력적 방어 생태계를 생성하도록 설계되었습니다.

让我们从您的旅程开始——是什么启发您从Citi的网络安全领导职位转到创立Cyware？

在Citi，我领导了全球网络战略。这一角色让我直接接触到大型安全程序中的运营差距，特别是威胁情报和日常安全运营之间的集成缺乏。虽然大型组织正在投资从各种来源收集威胁情报，但大部分情报仍然未被利用，因为它没有被实时上下文化或运营化。

我看到了打破各种安全功能之间的壁垒的机会，这些功能彼此之间没有共享威胁数据。 tôi观察到的最大的差距之一是协调响应和最后一英里的行动的缺乏。即使威胁情报可用，跨不同系统采取行动也需要手动努力，导致延迟和错过的威胁。

Akshat Jain和我共同创立了Cyware，以解决这些挑战。我们的目标是创建一个连接威胁情报与安全运营的平台，启用组织上下文化数据、自动化工作流程和跨团队协作以实现更快、更有效的响应。

您在2018年推出Cyware时，看到威胁情报和网络安全融合领域哪些具体的差距现象尚未被现有解决方案解决？

当我们在2018年推出Cyware时，我们看到威胁情报处理和其在日常安全运营中的实际使用之间存在明显的差距。许多解决方案专注于聚合威胁数据，但很少有解决方案帮助安全团队使该情报相关、及时和可执行。组织正在收集大量的威胁情报，但缺乏将其集成到检测和响应工作流程中的工具。

另一个主要差距是应用威胁情报的自动化的缺乏。大多数团队仍然依赖手动流程来分析和采取情报，这导致了延迟和低效。团队之间的协作也有限，使得协调响应更加困难。

我们构建了Cyware来填补这些差距。我们的目标是帮助组织将原始威胁数据转化为有意义的洞察力，自动化情报的运营使用，并实现实时共享和协作，使团队能够更快地行动并领先于威胁。

Cyware Quarterback AI将代理AI方法引入安全运营。什么是“代理AI”，以及它如何改变安全团队的游戏规则？

在我们的上下文中，代理AI指的是能够理解意图、做出决定并在整个安全环境中采取行动的自主、目的驱动的软件代理。Cyware Quarterback AI的代理模型被构建为一个多代理系统，包括专门的代理，如摄取代理、丰富代理、关联代理、威胁狩猎代理、行动代理和威胁情报共享代理。这些代理实时协同工作，以管理整个安全生命周期，从数据摄取到执行响应和共享情报。

使Cyware方法独特的是，它建立在其Quarterback AI驱动的编排平台之上，该平台包括超过400个与安全和IT工具的本机集成，这些工具可能部署在云、现场或混合环境中。这使得AI能够超越仅仅分析或推荐，并实际执行跨工具栈的操作。对于安全团队来说，这将导致更快、更可靠的操作，而无需手动流程的开销，使他们能够以更大的速度、精度和一致性领先于威胁。

您如何平衡自动化的力量与事件响应工作流程中对人类判断的关键需求？

在Cyware，我们遵循“人类在循环中”的方法，即AI处理例行和重复任务，但将最关键的决定委托给人类分析师。这确保人类判断在事件响应中保持中心地位，同时自动化提高速度、效率和一致性。

与传统的“AI在循环中”的模型不同，AI驱动流程，人类仅在咨询时被咨询，我们的方法保持人类在高影响力决策中的控制。Quarterback AI管理非关键任务，如数据摄取、丰富、关联和低风险响应操作。然而，当涉及更大风险或需要更深入上下文的决定时，它会提醒分析师并寻求批准。

这种结构使安全团队能够从自动化的规模和速度中受益，而不会牺牲控制或监督。它实现了更快的响应，减少了警报疲劳，并确保专家判断在最需要的地方得到应用。

凭证泄露是当今增长最快的威胁向量之一。Cyware的凭证暴露监控方法如何出色，特别是通过AI驱动的自动化？

凭证泄露继续成为最快增长的威胁之一，通常作为更严重的违规行为的门户。Cyware通过将高质量的凭证暴露情报与推动实时、上下文感知响应的高级自动化相结合来解决这一风险。

使我们的方法独特的是我们如何上下文化和采取凭证暴露数据的行动。当检测到暴露的凭证时，我们的系统会自动分析诸如用户角色、资产敏感性和业务影响等因素，以确定事件的优先级。这确保安全团队专注于最重要的暴露。

通过我们的高级自动化，我们的平台可以采取立即行动，例如通知用户、重置密码、过期活动会话、创建事件调查票或通过广泛使用的通信应用程序（如Slack）向用户或安全团队发出警报。这些操作是根据预定义的自动化规则执行的，减少了手动干预的需要，同时加快了响应时间。

通过将静态暴露警报转化为自动化、基于策略的操作，Cyware帮助组织以速度和精度应对凭证威胁。

威胁情报通常变得孤立或未被利用。Cyware如何在安全工具中操作化该数据，以确保它驱动行动而不是闲置？

威胁情报通常变得未被利用，因为它与依赖它的工具和工作流程断开连接。Cyware通过在整个安全生态系统中操作化威胁数据来解决这一问题，确保它驱动及时和有意义的行动。

我们的平台使安全团队能够从多个来源聚合情报，例如商业提供商、信息共享和分析中心（ISAC）和信息共享和分析组织（ISAO）、监管机构、国家安全运营中心（SOC）和计算机应急响应团队（CERT），以及开源情报，并通过外部丰富服务进行丰富。我们进一步使用内部遥测数据（包括来自安全信息和事件管理（SIEM）系统、端点检测和响应（EDR）平台、资产清单和历史事件记录的数据）来上下文化该情报。

经过丰富和上下文化的情报然后使用我们的AI驱动编排框架分发到连接的工具（如检测平台、防火墙和票务系统），该框架支持超过400个本机集成。这使得即时关联、主动威胁阻塞和自动响应在多样化环境中成为可能。

通过将威胁情报直接嵌入运营工作流程中，Cyware将其从静态信息转化为实时防御驱动器。

您能谈谈Cyware在使ISAC、CERT和企业之间实现安全、实时威胁共享方面的作用吗？这对于构建强大的数字生态系统有多重要？

Cyware在使ISAC、CERT和企业之间实现安全、实时和双向威胁共享方面发挥着至关重要的作用，通过提供集体防御的底层技术。在ISAC中，成员组织可以在定义的信任边界和访问控制下安全地交换威胁情报，包括指标、战术、技术和程序（TTP）以及基于上下文的建议。企业还使用Cyware与其内部业务单位和外部供应商共享相关情报，创建跨其环境的统一安全织物。

我们已经建立了行业首个跨行业威胁情报共享高速公路，使行业ISAC能够与其他行业共享策划的情报。这项功能使一个行业的组织能够从其他行业检测到的威胁中学习，并采取主动的缓解措施。这加强了行业之间的协调，并有助于在风险影响其他关键行业之前预测风险。

通过使可信且及时的威胁共享大规模实现，Cyware将零碎的洞察力转化为协调的防御，增强了数字生态系统的韧性。

您的平台强调了可衡量的影响力，例如将威胁检测时间从周减少到分钟。您能举出一个现实世界的例子，说明Cyware如何显著改变了安全事件的结果吗？

最近的例子之一涉及一家面临活跃安全事件的大型企业。一个广泛使用的安全工具错误地评估了情况，导致识别攻击者活动时延迟。在此期间，客户正在运行Cyware的概念验证，并使用我们的平台进行情报驱动的调查。

通过将威胁情报嵌入调查并跟踪攻击者的行动，客户能够发现关键证据，这些证据之前被忽略了。通过我们的平台进行的调查成为他们事件分析的核心部分，并后来被提交给执法部门作为证据。

此案例强调了Cyware如何赋予安全团队超越警报的能力，执行上下文感知的调查，这些调查既可执行又可防御。它还展示了在揭示事件的全部范围方面，情报、自动化和可见性的组合的价值。

由于您的平台集成了400多种工具和安全系统，因此您如何确保过载的安全团队的部署体验是无缝的？

我们设计了我们的平台，以便它能够快速、无缝地集成到现有的环境中，而不会为已经过载的安全团队添加复杂性。拥有超过400个预构建的集成与安全和IT工具，我们大多数连接都是即插即用，需要最少的配置。

我们的部署方法是模块化和灵活的，允许组织从特定的用例开始，并随着时间的推移扩展。我们还提供有指导的入门、手动支持和预配置的工作流程，这些工作流程与常见的运营需求保持一致，从而减少了内部团队的负担。

通过专注于互操作性、自动化和简单性，我们确保组织能够快速实现价值，而无需长时间的实施周期或大量资源。

展望未来五年，您如何设想代理AI在网络安全领域的演变——Cyware将在塑造这一未来方面发挥什么作用？

五年后，代理AI可能会在网络安全领域演变成一种几乎自治的力量，能够以最少的manual干预来管理复杂的检测、响应和威胁共享任务。这些AI代理将在系统中协同工作，实时从其环境、风险信号和组织优先级中学习，并据此采取行动。

在Cyware，我们通过将代理AI嵌入我们的平台核心来塑造这一未来。我们的多代理体系结构旨在推动整个网络防御生命周期中的智能决策和自动化执行。这确保AI加速运营任务，同时人类专业知识在最需要的地方保持中心地位。

通过将代理AI与我们的编排引擎、深度集成和实时威胁共享功能相结合，Cyware将继续在提供智能、适应性和协作安全运营方面保持领先地位。我们的目标是帮助组织以主动、可扩展和上下文感知的安全方式领先于威胁。

感谢这次精彩的采访，希望了解更多的读者请访问Cyware。