Карл Фрогет, ЦИО на Deep Instinct – серија на интервјуа

Карл Фрогет,  е главен директор за информации (ЦИО) на Длабок инстинкт, претпријатие основано на едноставна премиса: тоа длабоко учење, напредна подгрупа на вештачка интелигенција, може да се примени на сајбер безбедноста за да се спречат повеќе закани, побрзо.

Г-дин Фрогет има докажано искуство во градење тимови, системска архитектура, имплементација на софтвер од големи размери, како и усогласување на процесите и алатките со деловните барања. Фрогет беше поранешен шеф на глобалната инфраструктурна одбрана, CISO Cyber ​​Security Services во Citi.

Вашето потекло е во финансиската индустрија, можете ли да ја споделите вашата приказна за тоа како тогаш преминавте кон сајбер безбедноста?

Почнав да работам во сајбер безбедноста во доцните 90-ти кога бев во Citi, преминувајќи од ИТ улога. Брзо се преселив на лидерска позиција, применувајќи го моето искуство во ИТ операциите во еволуирачкиот и предизвикувачки свет на сајбер безбедноста. Работејќи во сајбер-безбедноста, имав можност да се фокусирам на иновациите, а исто така имплементирав и користев решенија за технологија и сајбер безбедност за различни деловни потреби. За време на мојот престој во Citi, моите одговорности вклучуваа иновации, инженеринг, испорака и операции на глобални платформи за бизнисите и клиентите на Citi на глобално ниво.

Бевте дел од Citi повеќе од 25 години и поминавте голем дел од ова време водејќи тимови одговорни за безбедносни стратегии и инженерски аспекти. Што беше тоа што ве наведе да се приклучите на стартапот Deep Instinct?

Се приклучив на Deep Instinct затоа што сакав да прифатам нов предизвик и да го искористам моето искуство на поинаков начин. Повеќе од 15 години бев инволвиран во сајбер стартапи и FinTech компании, менторирање и растечки тимови за поддршка на растот на бизнисот, носејќи некои компании на ИПО. Бев запознаен со Deep Instinct и видов дека нивната единствена, нарушувачка технологија за длабоко учење (DL) дава резултати што ниту еден друг продавач не можеше. Сакав да бидам дел од нешто што ќе воведе нова ера на заштита на компаниите од злонамерните закани со кои се соочуваме секој ден.

Можете ли да разговарате зошто примената на длабокото учење на Deep Instinct за сајбер-безбедноста ја менува играта?

Кога Deep Instinct првично се формираше, компанијата постави амбициозна цел да ја револуционизира индустријата за сајбер безбедност, воведувајќи филозофија за превенција наместо да биде на задната страна со пристапот „откриј, реагирај, содржи“. Со зголемените сајбер напади, како што се откупниот софтвер, нула-ден експлоатации и други досега невидени закани, статус кво-реакционерниот безбедносен модел не функционира. Сега, додека продолжуваме да гледаме зголемување на обемот и брзината на заканите поради генеративната вештачка интелигенција, и додека напаѓачите повторно измислуваат, иновираат и ги избегнуваат постоечките контроли, на организациите им е потребна предвидлива, превентивна способност за да останат чекор понапред од лошите актери.

Противничката вештачка интелигенција е во пораст со лошите актери кои користат WormGPT, FraudGPT, мутираат малициозен софтвер и многу повеќе. Влеговме во клучно време, кое бара од организациите да се борат против вештачката интелигенција со вештачка интелигенција. Но, не сите ВИ се создадени еднакви. Одбраната од противничка вештачка интелигенција бара решенија што се напојуваат со пософистицирана форма на вештачка интелигенција, имено, длабоко учење (DL). Повеќето алатки за сајбер-безбедност ги користат моделите за машинско учење (ML) кои претставуваат неколку недостатоци на безбедносните тимови кога станува збор за спречување закани. На пример, овие понуди се обучени за ограничени подмножества на достапни податоци (обично 2-5%), нудат само 50-70% точност со непознати закани и воведуваат многу лажни позитиви. Решенијата за ML, исто така, бараат тешка човечка интервенција и се обучуваат на мали збирки на податоци, изложувајќи ги на човечка пристрасност и грешки. Тие се бавни и не реагираат дури и на крајната точка, дозволувајќи им на заканите да траат додека не се извршат, наместо да се справуваат со нив додека се во мирување. Она што го прави DL ефективно е неговата способност за самостојно учење додека внесува податоци и работи автономно за да ги идентификува, открие и спречи комплицираните закани.

DL им овозможува на лидерите да се префрлат од традиционалниот менталитет за „претпоставување на прекршување“ на пристап за предвидливо спречување за ефикасна борба против малициозен софтвер генериран од вештачка интелигенција. Овој пристап помага да се идентификуваат и ублажат заканите пред тие да се случат. Обезбедува исклучително висока стапка на ефикасност против познати и непознати малициозен софтвер и екстремно ниски лажно-позитивни стапки наспроти решенија базирани на ML. Јадрото на DL бара ажурирање само еднаш или двапати годишно за да се одржи таа ефикасност и, бидејќи работи независно, не бара постојано пребарување на облак или споделување на интелигенција. Ова го прави исклучително брз и пријателски за приватност.

Како длабокото учење може предвидливо да спречи непознат малициозен софтвер кој никогаш претходно не бил сретнат?

Непознат малициозен софтвер се создава на неколку начини. Еден вообичаен метод е менување на хашот во датотеката, кој може да биде мал како додавање бајт. Безбедносните решенија на крајната точка кои се потпираат на црната листа на хаш се ранливи на такви „мутации“ бидејќи нивните постоечки потписи за хаширање нема да одговараат на хашот на тие нови мутации. Пакувањето е друга техника во која бинарните датотеки се спакувани со пакувач кој обезбедува генерички слој на оригиналната датотека - замислете го како маска. Нови варијанти се создаваат и со модифицирање на самиот оригинален бинарен малициозен софтвер. Ова е направено на карактеристиките што продавачите на безбедност може да ги потпишат, почнувајќи од хардкодирани низи, имиња на IP/домени на C&C сервери, клучеви во регистарот, патеки на датотеки, метаподатоци или дури и mutexes, сертификати, поместувања, како и екстензии на датотеки кои се во корелација со шифрирани датотеки со откуп. Кодот или деловите од кодот, исто така, може да се менуваат или додадат, што ги избегнува традиционалните техники за откривање.

DL е изграден на невронска мрежа и го користи својот „мозок“ за постојано да се тренира на необработени податоци. Важна точка овде е тоа што обуката DL ги троши сите достапни податоци, без човечка интервенција во обуката - клучна причина зошто е толку точна. Ова води до многу висока стапка на ефикасност и многу ниска стапка на лажно позитивни, што го прави хиперотпорен на непознати закани. Со нашата рамка за DL, ние не се потпираме на потписи или обрасци, така што нашата платформа е имуна на хаш модификации. Ние, исто така, успешно ги класифицираме спакуваните датотеки - без разлика дали се користат едноставни и познати, па дури и FUD.

За време на фазата на обука, додаваме „шум“, што ги менува необработените податоци од датотеките што ги внесуваме во нашиот алгоритам, со цел автоматски да генерираме благи „мутации“, кои се внесуваат во секој циклус на обука за време на нашата фаза на обука. Овој пристап ја прави нашата платформа отпорна на модификации кои се применуваат на различни непознати варијанти на малициозен софтвер, како што се жици или дури и полиморфизам.

Начинот на размислување на прво место на превенција често е клучен за сајбер безбедноста, како Deep Instinct се фокусира на спречување на сајбер напади?

Податоците се крвотокот на секоја организација и нивната заштита треба да биде најважна. Потребна е само една злонамерна датотека за да биде пробиена. Со години, „да се претпостави дека прекршувањето“ е де факто безбедносен начин на размислување, прифаќајќи ја неизбежноста дека до податоците ќе пристапат актери за закана. Сепак, овој начин на размислување и алатките засновани на овој менталитет, не успеаја да обезбедат соодветна безбедност на податоците, а напаѓачите целосно го користат овој пасивен пристап. Нашиот неодамнешно истражување беше откриено дека имало повеќе инциденти со откупнина во првата половина на 2023 година отколку целата 2022 година. Ефикасното справување со овој променлив пејзаж на закани не бара само оддалечување од начинот на размислување за „претпоставување прекршување“: тоа значи дека на компаниите им треба сосема нов пристап и арсенал на превентивни мерки. Заканата е нова и непозната и брза, поради што ги гледаме овие резултати во инциденти со откупни софтвери. Исто како што потписите не можеа да бидат во чекор со променливиот пејзаж на закани, така не може ниту некое постоечко решение засновано на ML.

Во Deep Instinct, ја користиме моќта на DL за да обезбедиме прв пристап за превенција кон безбедноста на податоците. На Платформа за предвидлива превенција на длабок инстинкт е првото и единствено решение засновано на нашата единствена рамка за DL специјално дизајнирана за сајбер безбедност. Тоа е најефикасното, најефикасното и најдоверливото решение за сајбер безбедност на пазарот, спречувајќи >99% од нула-ден, откупни софтвери и други непознати закани за <20 милисекунди со најниска (<0.1%) лажно позитивна стапка во индустријата. Веќе ја применивме нашата единствена рамка за DL за обезбедување апликации крајни точки, а неодамна ги проширија можностите за заштита на складирањето со лансирањето на Превенција на длабок инстинкт за складирање.

Потребна е промена кон предвидливо спречување за безбедноста на податоците за да се остане понапред од ранливостите, да се ограничат лажните позитиви и да се намали стресот на безбедносниот тим. Ние сме во првите редови на оваа мисија и таа почнува да добива на сила бидејќи повеќе наследни продавачи сега ги промовираат способностите за превенција.

Можете ли да разговарате за тоа каков тип на податоци за обука се користат за обука на вашите модели?

Како и другите AI и ML модели, нашиот модел тренира на податоци. Она што го прави нашиот модел уникатен е дека не му се потребни податоци или датотеки од клиентите за да научи и да расте. Овој уникатен аспект на приватност им дава на нашите клиенти дополнително чувство на сигурност кога ги применуваат нашите решенија. Се претплатиме на повеќе од 50 доводи од кои преземаме датотеки за да го обучиме нашиот модел. Оттаму, самите ги потврдуваме и класифицираме податоците со алгоритми што ги развивме внатрешно.

Поради овој модел на обука, во просек треба да создаваме само 2-3 нови „мозоци“ годишно. Овие нови мозоци се истиснати независно, значително намалувајќи  секое оперативно влијание врз нашите клиенти. Исто така, не бара постојани ажурирања за да биде во чекор со развојот на пејзажот на закани. Ова е предноста на платформата што се напојува со DL и ни овозможува да обезбедиме проактивен пристап на прво место за превенција, додека другите решенија што користат AI и ML обезбедуваат реакционерни способности.

Откако складиштето е подготвено, градиме збирки на податоци користејќи ги сите типови датотеки со малициозни и бенигни класификации заедно со други метаподатоци. Оттука, дополнително го тренираме мозокот за сите достапни податоци - не отфрламе никакви податоци за време на процесот на обука, што придонесува за ниски лажни позитиви и висока стапка на ефикасност. Овие податоци постојано се учат сами без наш придонес. Ги менуваме резултатите за да го научиме мозокот и потоа тој продолжува да учи. Тоа е многу слично на тоа како функционира човечкиот мозок и како учиме - колку повеќе нè учат, толку стануваме попрецизни и попаметни. Сепак, ние сме крајно внимателни за да избегнеме преоптоварување, за да го спречиме нашиот DL мозок да ги меморира податоците наместо да ги учи и разбира.

Откако ќе имаме екстремно високо ниво на ефикасност, создаваме модел за заклучоци што се користи за клиентите. Кога моделот е распореден во оваа фаза, тој не може да научи нови работи. Сепак, тој има способност да комуницира со нови податоци и непознати закани и да утврди дали тие се од злонамерна природа. Во суштина, тој донесува одлука „нула ден“ за сè што гледа.

Deep Instinct работи во контејнерско опкружување на клиентот, зошто е ова важно?

Едно од нашите решенија за платформа, Deep Instinct Prevention for Applications (DPA), нуди можност да ги искористиме нашите DL способности преку API / iCAP интерфејс. Оваа флексибилност им овозможува на организациите да ги вградат нашите револуционерни способности во апликациите и инфраструктурата, што значи дека можеме да го прошириме нашиот дофат за да спречиме закани користејќи длабинска сајбер стратегија за одбрана. Ова е уникатен диференцијатор. DPA работи во контејнер (кој го обезбедуваме) и се усогласува со модерните стратегии за дигитализација што ги спроведуваат нашите клиенти, како што е мигрирање во средини во просториите или во облак контејнери за нивните апликации и услуги. Општо земено, овие клиенти исто така усвојуваат „поместување налево“ со DevOps. Нашиот модел на услуга ориентиран кон API го надополнува ова со овозможување на Agile развој и услуги да спречат закани.

Со овој пристап, Deep Instinct беспрекорно се интегрира во технолошката стратегија на организацијата, користејќи ги постоечките услуги без нови хардверски или логистички проблеми и без нови оперативни трошоци, што доведува до многу низок TCO. Ги користиме сите придобивки што ги нудат контејнерите, вклучително и масивно автоматско скалирање по барање, еластичност, мала латентност и лесни надградби. Ова овозможува стратегија за сајбер-безбедност, прва превенција, вградувајќи ја превенцијата на заканите во апликациите и инфраструктурата во масовен обем, со ефикасност што не можат да ја постигнат наследените решенија. Поради DL карактеристиките, ја имаме предноста на ниска латентност, висока ефикасност / ниски лажно позитивни стапки, во комбинација со тоа што сме чувствителни на приватност - ниедна датотека или податоци никогаш не го напуштаат контејнерот, кој е секогаш под контрола на клиентот. Нашиот производ не треба да споделува со облакот, да прави аналитика или да ги споделува датотеките/податоците, што го прави единствен во споредба со кој било постоечки производ.

Генеративната вештачка интелигенција нуди потенцијал за зголемување на сајбер-нападите, како Deep Instinct ја одржува брзината што е потребна за да се одвратат овие напади?

Нашата DL рамка е изградена на невронски мрежи, така што неговиот „мозок“ продолжува да учи и да се тренира на необработени податоци. Брзината и прецизноста со која работи нашата рамка се резултат на тренирањето на мозокот на стотици милиони примероци. Како што растат овие збирки на податоци за обука, невронската мрежа постојано станува попаметна, што и овозможува да биде многу погрануларна во разбирањето на она што го прави за злонамерна датотека. Бидејќи може да ги препознае градежните блокови на малициозни датотеки на подетално ниво од кое било друго решение, DL ги запира познатите, непознатите и нулти дневните закани со подобра точност и брзина од другите воспоставени производи за сајбер безбедност. Ова, во комбинација со фактот дека нашиот „мозок“ не бара никаква аналитика или пребарување базирана на облак, го прави единствен. ML сам по себе никогаш не бил доволно добар, поради што имаме облак аналитика за да го поткрепиме ML – но тоа го прави бавен и реактивен. DL едноставно го нема ова ограничување.

Кои се некои од најголемите закани што се засилени со Генеративната вештачка интелигенција на кои претпријатијата треба да земат предвид?

Фишинг-мејловите станаа многу пософистицирани благодарение на еволуцијата на вештачката интелигенција. Претходно, е-пораките за фишинг обично беа лесно да се забележат бидејќи обично беа преполни со граматички грешки. Но, сега актерите за закана користат алатки како ChatGPT за да направат подлабоки, граматички поправени е-пораки на различни јазици кои се потешко да ги фатат филтрите за спам и читателите.

Друг пример се длабоките фалсификати кои станаа многу пореални и поверодостојни поради софистицираноста на вештачката интелигенција. Алатките за аудио вештачка интелигенција исто така се користат за симулирање на гласовите на директорите во компанијата, оставајќи лажни говорни пораки за вработените.

Како што е наведено погоре, напаѓачите користат вештачка интелигенција за да создадат непознат малициозен софтвер кој може да го измени неговото однесување за да ги заобиколи безбедносните решенија, да избегне откривање и да се шири поефикасно. Напаѓачите ќе продолжат да ја користат вештачката интелигенција не само за да изградат нов, софистициран, уникатен и претходно непознат малициозен софтвер кој ќе ги заобиколи постоечките решенија, туку и да го автоматизира синџирот на напади „од крај до крај“. Ако го направите ова, значително ќе ги намалите нивните трошоци, ќе го зголемите нивниот обем и, во исто време, ќе резултира со напади со пософистицирани и успешни кампањи. Сајбер индустријата треба да ги преиспита постоечките решенија, обуките и програмите за подигање на свеста на кои се потпиравме во последните 15 години. Како што можеме да видиме во прекршувањата само оваа година, тие веќе пропаѓаат и ќе се влоши.

Можете ли накратко да ги сумирате видовите решенија што ги нуди Deep Instinct кога станува збор за решенија за апликација, крајна точка и складирање?

Платформата за предвидливо спречување на длабок инстинкт е првото и единствено решение засновано на уникатна рамка за DL специјално дизајнирана да ги реши денешните предизвици за сајбер безбедноста - имено, спречување на заканите пред да можат да се извршат и слетаат на вашата околина. Платформата има три столба:

1. Без агент, во контејнеризирана средина, поврзана преку API или ICAP: Deep Instinct Prevention for Applications е решение без агент што спречува откуп, закани од нула ден и други непознати малициозен софтвер пред да стигнат до вашите апликации, без да влијае на корисничкото искуство.
2. Агент-базиран на крајната точка: Deep Instinct Prevention for Endpoints е самостојна прва платформа за спречување пред извршување - не при извршување како повеќето решенија денес. Или може да обезбеди вистински слој за спречување закани ги надополнуваат сите постоечки решенија за EDR. Спречува претходно извршување на познати и непознати, закани од нула ден и откупни софтвери, пред било каква злонамерна активност, значително намалувајќи го обемот на предупредувања и намалувајќи ги лажните позитиви, така што тимовите на СПЦ можат исклучиво да се фокусираат на легитимни закани со висока верност.
3. Прв пристап за превенција за заштита на складирањето: Deep Instinct Prevention for Storage нуди предиктивен превентивен пристап за запирање на откупниот софтвер, заканите од нула ден и други непознати малициозен софтвер да се инфилтрираат во средини за складирање - без разлика дали податоците се складирани on-prem или во облак. Обезбедувањето брзо, исклучително висока ефикасност решение на централизираното складирање за клиентите спречува складирањето да стане место за ширење и дистрибуција за какви било закани.

Ви благодариме за одличната рецензија, читателите кои сакаат да дознаат повеќе треба да ја посетат Длабок инстинкт.