์ธํฐ๋ทฐ
์ ์ด๋ฆฌ ๋ก์ฆ, ๋ฆฌ๋น ์ํ๋ฆฌํฐ์ ์ฐฝ๋ฆฝ์ ๋ฐ CEO – ์ธํฐ๋ทฐ ์๋ฆฌ์ฆ
애쉴리 로즈, 리빙 시큐리티의 창립자 및 CEO는 시리즈적인 기업가이자 사이버 보안 혁신가로서 보안에서 인간의 위험을 해결하는 방식을 재정의하는 데 초점을 맞추고 있습니다. 2017년에 회사를 설립한 이후, 그녀는 전통적인 인식 훈련을 넘어서 측정 가능한 위험 감소와 문화적 변화를 위한 데이터 기반, 행동 중심의 사이버 보안 접근 방식을 개발하는 데领导했습니다. 제품 리더십과 기업가 정신의 배경을 활용하여, 그녀는 리빙 시큐리티를 빠르게 성장하는 SaaS 플랫폼으로 성장시키고, 여성 사이버 보안과 같은 이니셔티브를 위한 멘토, 고문, 옹호자로서 보안 생태계에 기여했습니다.
리빙 시큐리티는 인간 위험 관리에 중점을 둔 사이버 보안 SaaS 회사로서, 조직이 직원 행동과 관련된 위험을 식별, 측정, 및 감소하도록 도와줍니다. 그들의 플랫폼은 행동, 身分, 및 위협 데이터를 집계하여 고위험 사용자를 식별하고, 위협을 예방하기 위한 실시간 훈련 및 개입을 제공합니다. 분석, 자동화, 시뮬레이션 및 게임화된 경험과 같은 참여형 훈련 방법을 결합하여, 회사는 조직이 규정 준수 기반의 보안 인식에서 적극적이고 측정 가능한 위험 감소로 전환하도록 ermög합니다.
2017년에 리빙 시큐리티를 설립하기 전에, 소비자 제품 비즈니스 구축 및 제품 소유자로서의 경험을 가지셨습니다. 사이버 보안 및 인간 위험에 초점을 맞추는 데 결정적인 순간이나 깨달음이 무엇이었나요? 또한, AI가 작업력의 일부가 되는 경우, 초기 가설이 어떻게 유지되고 있나요?
2017년, 대부분의 조직은 보안 인식 훈련을 체크박스 연습으로 취급했고, 그것은 행동을 변경하지 않았습니다. 전환점은 인간 행동이 침해를 유발한다는 것을 깨닫고, 더 잊을 수 없는 훈련이答案이 될 수 없다는 것을 깨달았습니다. 리빙 시큐리티의 공동 창립자 드류 로즈는 보안 프로그램을 직접 운영하고 있었고, 사이버 보안 탈출실과 같은 초기 프로토타입을 구축하기 시작했습니다. 우리는 직접적으로 보안이 경험적일 때, 사람들이 참여하고, 학습하고, 실제로 행동을 변경한다는 것을 보았습니다. 그것이 리빙 시큐리티의 기초가되었습니다.
공동 창립자로서, 드류와 나는 곧 깨달았습니다. 참여는 시작점에 불과했습니다. 경험을 플랫폼으로 확장하면서, 우리는 사람들이 행동하는 방식, 어려움을 겪는 곳, 및 실제로 위험이 집중되는 곳을 볼 수 있었습니다. 그것은 훨씬 더 큰 격차를暴露했습니다. 조직은 실제로 인간 위험이나 그것을 목표로 감소시키는 방법에 대한 실질적인 가시성을 가지고 있지 않았습니다. 이러한 통찰력은 인간 위험 관리를 개척하도록 이끌었습니다. 이는 행동, 접근, 및 위협에 기반하여 위험을 식별, 측정, 및 감소하는 것입니다. AI가 작업력의 일부가됨에 따라, 초기 가설은 확장되었습니다. 이제 도전은 더 이상 인간 행동만이 아닙니다. 인간과 AI 시스템이 함께 작동하는 방식을 포함합니다. 인간은 여전히 중심에 있지만, 이제 AI 에이전트를 관리하고 배포하고 있습니다. 이는 에이전트의 위험을 개인에게 연결해야 함을 의미합니다. 이것이 우리의 워크포스 보안으로의 진화를 추동합니다.
인간 오류는 침해를 설명하는 데 불완전한 설명이라고 주장했습니다. 인간 행동과 AI 주도 동작이 공격 표면에 기여하는 경우, 조직은 오늘날 작업력 위험을 어떻게 재고해야 합니까?
침해를 “인간 오류”로 프레임하는 것은 문제를 단순화하고 실제로 위험이 어디에서 비롯되는지 숨깁니다. 인간 위험은 오직 실수에 관한 것이 아닙니다. 그것은 행동, 접근, 및 위협에 대한 노출의 조합으로 형성됩니다. 일부 직원은 민감한 시스템에 특권적인 접근을 가지고 있으며, 일부는 더 자주 대상이 되며, 일부는 더 위험한 행동을 나타냅니다. 따라서 위험은 균일하게 분포되지 않습니다. 조직은 이러한 요소가 교차하는 곳과 인간 위험 존재하는 곳에 대한 가시성을 얻어야 합니다.
결과적으로, 조직은 인식 기반 모델을 넘어서서 작업력 위험을 공동의 운영적인 도전으로 재고해야 합니다. 이것은 인간 위험과 AI 주도 동작을 모두 포함하는 것입니다. 이것은 작업의 흐름에서 지속적인 가시성에 초점을 맞추고, 위험을 집중시키는 곳을 이해하고, 하이브리드 작업력 전체에 걸쳐 목표를 지정하고 실시간 개입을 적용하는 것을 의미합니다.
AI 도구는 이제 코드를 작성하고, 워크플ロー를 처리하며, 심지어 결정도 합니다. AI 시스템이 도구가 아닌 작업력의 일부로 취급되는 시점은 언제입니까?
AI 시스템은 기업 환경 내에서 작동하는 순간에 도구가 아닌 작업력의 일부가 됩니다. 그 시점에서,它们는 직원과 마찬가지로 행동, 권한, 및 데이터 접근을 통해 위험을 소개합니다. 조직은 AI 에이전트가 단순한 생산성 레이어가 아니라 운영 참여자라는 것을 인식해야 합니다. 따라서, 인간 사용자와 마찬가지로 통제되고 모니터링되어야 합니다.
조직은 위험이 더 이상 직원에게만 국한되지 않고 AI 에이전트에게도 확장되는 경우, 거버넌스를 어떻게 접근해야 합니까?
조직은 정책 기반 거버넌스를 넘어서서 지속적인 행동 기반 프로세스로 거버넌스를 취급해야 합니다. 대부분의 조직은 이미 AI 정책을 가지고 있지만, 시행 및 가시성에 대한 격차가 있습니다. 특히 직원이 승인되지 않은 환경을 벗어난 도구를 채택하고, AI 시스템이 다양한 수준의 접근을 갖는 경우에 그렇습니다.
효과적인 거버넌스는 역할 및 데이터 접근에 따라 허용되는 사용을 명확하게 정의하는 것으로 시작됩니다. 그러나, 또한 워크플로우에 내장된 실시간 지침 및 지속적인 측정이 필요하여 조직이 위험이 어디에서 나타나는지 볼 수 있고, 적응할 수 있습니다. 궁극적으로, 거버넌스는 실제로 어떻게 일이 발생하는지 반영해야 합니다. 즉, 인간과 AI 시스템이 모두 결정하고, 데이터에 접근하고, 위험을 소개하는 하이브리드 작업력입니다.
리빙 시큐리티는 행동 기반 보안 모델에 중점을 두었습니다. AI 시스템이 인간보다 행동을 생성하는 경우, 이 철학은 어떻게 번역되나요?
리빙 시큐리티의 행동 기반 접근 방식은 AI에 자연스럽게 확장됩니다. 왜냐하면 위험을 생성하는 것이 누구인지에 대한 초점이 아니라, 어떻게 위험이 도입되는지에 대한 초점이 있었기 때문입니다. 사람이든 AI 시스템이든, 위험은 행동, 데이터 접근, 및 결정에 나타납니다. AI 시스템이 더 많은 운영 책임을 맡을수록, 동일한 모델이 적용됩니다. 조직은 이러한 행동에 대한 가시성 및 실시간 개입 능력이 필요합니다.
이것이 Livvy를 개발하게 된 이유입니다. Livvy는 리빙 시큐리티 플랫폼을 구동하는 AI 지능으로서, 예측 지능 및 지속적인 모니터링을 인간 및 AI 활동 모두에 적용합니다. AI를 별도의 도전으로 취급하는 대신, 단일 작업력 위험 모델 내에서 행동을 연속적으로 측정, 안내, 및 관리할 수 있는 더 통합된 접근 방식을 ermög합니다.
많은 조직은 여전히 주기적인 보안 인식 훈련에 의존합니다. 현대적인 환경에서 이 모델은 왜 부서지며, 실제로 적응형, 데이터 기반 접근 방식은 무엇입니까?
주기적인 보안 인식 훈련은 정적인 위협 환경을 위해 설계되었으며, 위험을 줄이는 데 широк은 교육이 충분하다고 가정합니다. 실제로, 대부분의 사건은 교육의 부족이 아닌 일상적인 운영 행동에서 비롯됩니다. 위험은 일반적으로 사용자 하위 집합에 집중되어 있습니다. 더 적응형, 데이터 기반 접근 방식은 실제로 위험 존재하는 곳을 식별하고, 작업 흐름에서 목표를 지정하고 실시간 지침을 제공하는 것을 중점으로 합니다. 훈련 완성을 넘어서 측정 가능한 위험 감소로 전환합니다.
您的 플랫폼은 실제 데이터를 사용하여 인간 위험을 양적화하는 것을 강조합니다. 조직은 동적으로 위험을 이해하기 위해, 而不是 회상적으로, 어떤 가장 중요한 신호를 추적해야 합니까?
조직은 행동, 身分 및 접근, 및 위협 노출과 같은 신호에 초점을 맞추어야 합니다. 이러한 신호는 위험이 생성되고 작업력 전체에 걸쳐 집중되는 방식을 반영합니다. 이제 이것은 AI에도 확장됩니다. 직원이 사용하는 도구, 이러한 시스템의 접근, 및 구성 또는 프롬프트와 같은 신호를 포함합니다. 이러한 신호는 개별적으로 유용하지만, 실제 가치는 위험에 대한 이야기를 बत을 때 나타납니다.
예를 들어, 재무 시스템에 접근할 수 있는 CFO는 MFA를 사용하지 않고, 민감한 데이터에 연결된 AI 도구를 사용하며, 피싱 캠페인에 의해 적극적으로 대상이 되는 경우, 접근이 제한되고 노출이 낮은 BDR보다 훨씬 다른 수준의 위험을 나타냅니다. 위험이란 무엇을 하는지에만 있는 것이 아닙니다. 무엇에 접근할 수 있는지, 시스템이 대신에 작동하는 방식, 및 얼마나 자주 대상이 되는지에 대한 것입니다. 이러한 요소를 함께 볼 때, 침해가 가장 가능성이 높은 곳을 이해하고, 실시간으로 조치를 취할 수 있습니다. 즉, 개인에게 경고를 보내거나, 제어를 강화하거나, 해당 그룹에 대한 개입을 우선합니다.
AI는 새로운 취약점을 생성하지만, 또한 방어적으로 사용되고 있습니다. 균형이 어떻게 이동하고, AI의 보안 영향은 순수한 긍정적이거나 순수한 부정적인 방향으로 이동하고 있습니까?
AI는 공격 표면을 확장하는 동시에, 조직이 위험을 감지하고 대응하는 방식을 개선합니다. 한편으로, 더 복잡한 워크플로우와 자율적인 행동을 가능하게 하여 새로운 취약점을 도입할 수 있습니다. 다른 한편으로, 보안 팀이 행동을 대규모로 분석하고 더 빠르게 대응하도록 ermög합니다. 균형은 조직이 얼마나 잘 적응하는지에 달려 있습니다. 현재, 많은 조직은まだ 가시성 및 거버넌스에 따라 추적하고 있습니다. 특히 AI가 완전히 매핑되지 않은 방식으로 사용되는 경우에 그렇습니다. 장기적으로, 이는 순수한 긍정적인 영향을 가질 수 있습니다. 그러나, 조직이 AI를 작업력의 일부로 취급하고, 인간 위험과 동일한 수준의 모니터링, 지침, 및 통제를 적용하는 경우에만 가능합니다.
모든 직원이나 AI 시스템이 동일한 위험을 가지는 것은 아닙니다. 조직은 마찰이나 과도한 감시를 생성하지 않고 어떻게 개입을 우선순위로 할 수 있습니까?
모든 위험이 동일하지는 않습니다. 위험을 동일하게 취급하는 것이 마찰을 생성하는 것입니다. 핵심은 실제로 위험이 집중되는 곳에 초점을 맞추는 것입니다. 약 10%의 사용자가 73%의 위험을 유발한다는 사실을 고려할 때, 모든 작업력 전체에 걸쳐 개입을 적용하는 대신, 해당 지역에만 목표를 지정하고 실시간 개입을 적용합니다. 이는 행동, 접근, 및 노출 데이터를 사용하여谁와 무엇에 주의가 필요는지 우선순위를 정하는 것을 의미합니다. 작업 흐름에서 지침을 제공하여, 보안 경로가 가장 쉬운 경로가 되도록 합니다. 이를 통해 마찰을 줄이고, 대신 감시를 증가시키지 않습니다.
5년 후, 작업력 보안은 어떻게 보일까요? 그리고, 대부분의 조직은 오늘날 무엇을 과소평가하고 있습니까?
5년 후, 작업력 보안은 인간과 AI 에이전트가 함께 작동하는 방식으로 위험을 이해하고 관리하는 능력으로 정의될 것입니다. 이는 주기적인 훈련이나 정적인 제어에 관한 것이 아닙니다. 지속적인 가시성, 실시간 위험 평가, 및 행동, 접근, 및 위협이 변경됨에 따라 동적으로 행동할 수 있는 능력에 관한 것입니다. 인간은 여전히 중심에 있지만, AI를 통해 자신을 확장하고 있습니다. 따라서, 보안은 인간과 AI 시스템을 모두 고려해야 합니다.
대부분의 조직은 이미 인간 위험에 대한 가시성 격차를 가지고 있으며, AI는 이를 악화시키고 있습니다. 많은 조직은 AI 전략을 가지고 있다고 생각하지만, 실제로 사람과 사람들이 사용하는 도구에 대한 가시성을 가지고 있지 않습니다. 첫 번째 단계는 인간 위험, 행동, 접근, 및 위협에 대한 노출을 이해하는 것입니다. 두 번째 단계는 이러한 가시성을 직원이 사용하는 AI 에이전트로 확장하는 것입니다. 이러한 에이전트는 사람에게 주어진 접근 및 결정만큼 강력하고 위험합니다. 이러한 기초 없이, 조직은 단순히 AI에 뒤처지는 것이 아닙니다. 전체 작업력에 걸쳐 점점 더 큰 블라인드 스폿을 운영하고 있습니다.
위대한 인터뷰에 감사드립니다. 더 많은 것을 배우고 싶은 독자는 리빙 시큐리티를 방문해야 합니다.
