Verbind je met ons

Interviews

Kara Sprague, CEO van HackerOne – Interviewserie

mm
gepubliceerd

Kara SpragueCEO van HackerOne is een ervaren technologie-executive met meer dan twintig jaar ervaring in productleiderschap, algemeen management en strategisch advies binnen de software- en beveiligingssector. Ze nam de CEO-rol op zich in november 2024 na diverse senior managementfuncties bij F5 te hebben bekleed, waaronder Executive Vice President en Chief Product Officer, waar ze leiding gaf aan belangrijke product- en platforminitiatieven, en eerder als algemeen manager met de leiding over grootschalige bedrijven. Voordat ze bij F5 werkte, was ze meer dan tien jaar partner bij McKinsey & Company, waar ze toonaangevende technologiebedrijven adviseerde over groei en strategie. Haar carrière begon als technisch medewerker bij Oracle. Naast haar rol bij HackerOne is ze ook lid van de raad van bestuur van Trimble Inc.

HackerOne HackerOne is een cybersecuritybedrijf dat vooral bekend staat om zijn baanbrekende aanpak van beveiliging door hackers. Het verbindt organisaties met een wereldwijde community van ethische hackers om kwetsbaarheden te identificeren en te verhelpen voordat ze kunnen worden misbruikt. Het platform ondersteunt bedrijven en overheden met bug bounty-programma's, het melden van kwetsbaarheden, penetratietesten en beveiligingstestdiensten die menselijke expertise combineren met automatisering en AI-gestuurde workflows. Door de focus te verleggen van een reactief naar een proactief beveiligingsmodel is HackerOne een essentieel onderdeel geworden van de moderne applicatiebeveiligingsstack voor organisaties die risico's willen verminderen en de weerbaarheid op grote schaal willen verbeteren.

U trad in november 2024 aan als CEO van HackerOne na decennialang leiding te hebben gegeven aan bedrijven als Fortune 5, McKinsey, Oracle en andere grote technologiebedrijven. Wat trok u aan om deze uitdaging in dit stadium van uw carrière aan te gaan, en wat waren uw eerste prioriteiten toen u de leiding van het bedrijf op zich nam?

Ik heb mijn carrière doorgebracht op het snijvlak van technologie, strategie en risico, waarbij ik organisaties heb geholpen om door cruciale momenten te navigeren in een snel veranderende omgeving. Wat me aantrok in HackerOne is dat we ons precies op zo'n kantelpunt bevinden, nu AI het cybersecuritylandschap ingrijpend verandert.

Beveiliging is niet langer een ondersteunende functie, maar een essentiële drijfveer voor vertrouwen, veerkracht en bedrijfssnelheid. Bedrijven opereren tegenwoordig met sterk onderling verbonden systemen, constante datastromen en geautomatiseerde besluitvorming op een ongekende schaal. AI versnelt innovatie, maar introduceert ook nieuwe zwakke punten, afhankelijkheden en faalmodi waarvoor traditionele beveiligingsmodellen niet zijn ontworpen.

Daarom is de missie van HackerOne juist nu zo belangrijk. Onze missie is om de wereld in staat te stellen een veiliger internet te bouwen, en in een door AI gedreven wereld is die missie urgenter dan ooit. HackerOne is anders omdat we een wereldwijde gemeenschap van menselijke beveiligingsonderzoekers combineren met platformintelligentie om kwetsbaarheden te vinden en te verhelpen voordat aanvallers ze kunnen misbruiken. Dat model met menselijke tussenkomst is niet alleen onderscheidend, het is essentieel.

Vanaf dag één heb ik me gericht op drie prioriteiten: het uitbreiden van de mogelijkheden van ons agentplatform, investeren in onze onderzoeksgemeenschap en het verdiepen van het vertrouwen met klanten en partners. Dat betekent het opschalen van AI-redteaming, het ontwikkelen van Hai van een co-piloot naar een gecoördineerd team van AI-agents dat organisaties helpt om risico's sneller te prioriteren, valideren en verhelpen, en het lanceren van HackerOne Code om software eerder in de ontwikkelingscyclus te beveiligen. Vandaag de dag gebruikt meer dan 90% van onze klanten Hai om hun werk bij het valideren en verhelpen van kwetsbaarheden te versnellen.

Het landschap verandert snel, maar onze focus blijft constant: risico's beheersen voordat ze je definiëren. Bij HackerOne betekent dat dat we beveiliging continu, praktisch en afgestemd op het tempo van moderne innovatie maken.

HackerOne heeft een enorme groei van 200% gezien in pentesten en AI-redteaming, en een strategische verschuiving naar continu beheer van dreigingsblootstelling. Hoe beïnvloeden deze trends uw langetermijnvisie voor het bedrijf, en wat zegt dit momentum over de toekomst van bedrijfsbeveiliging?

Wat we zien is geen piek, maar een reset. Een stijging van 200% in pentesten en AI-redteaming bevestigt dat beveiliging op een bepaald moment simpelweg niet kan bijbenen met de snelheid waarmee moderne bedrijven veranderen.

Die realiteit vormt de basis van onze langetermijnvisie op continu beheer van bedreigingen gedurende de volledige levenscyclus – van code en cloud tot AI-systemen. Naarmate AI zowel innovatie als de snelheid van aanvallen versnelt, is de uitdaging niet langer het vinden van kwetsbaarheden, maar het bewijzen van wat exploiteerbaar is, het prioriteren van wat het belangrijkst is en het snel oplossen ervan. We bouwen een platform dat continue testen, autonome validatie, intelligente prioritering en menselijke expertise combineert om precies dat te doen.

Voor bedrijfsleiders is het signaal duidelijk: beveiliging wordt een continue bedrijfsdiscipline, geen periodieke controle. De bedrijven die het beste presteren, zijn de bedrijven die risico's vroegtijdig signaleren, sneller handelen en de schade beperken voordat deze een bedrijfsprobleem wordt. Deze verschuiving bepaalt de toekomst van bedrijfsbeveiliging.

Hoe integreert uw AI-systeem Hai in de workflow voor het opsporen van kwetsbaarheden, en waar biedt het de meeste voordelen voor onderzoekers en klanten?

Hai is een gecoördineerd team van AI-agenten dat direct is ingebed in de workflow voor kwetsbaarheidsbeheer. Het analyseert en contextualiseert continu bevindingen om organisaties te helpen risico's sneller te prioriteren, te valideren en te verhelpen. Hai werkt gedurende de gehele levenscyclus van een rapport en fungeert als een krachtversterker voor beveiligingsmedewerkers naarmate het volume toeneemt en de dreigingen complexer worden.

Hai biedt de meeste voordelen door ruis te filteren. Het verbetert de triage en het begrip door rapporten samen te vatten, patronen te identificeren, bevindingen te valideren en de meest relevante problemen te benadrukken. Ons onderzoek toont aan dat 20% van de gebruikers wekelijks 6 tot 10 uur bespaart. waardoor de weg van detectie naar een doeltreffende oplossing aanzienlijk wordt verkort.

Ook onderzoekers profiteren ervan. Met Meer dan de helft van hen gebruikt tegenwoordig AI of automatisering in hun werk.Hai helpt hen bij het ontwikkelen van sterkere proof-of-concepts, duidelijkere uitleg en consistentere validatie.

Welke nieuwe categorieën kwetsbaarheden zijn er het afgelopen jaar ontstaan ​​nu bedrijven AI steeds vaker in hun softwaresystemen integreren?

Naarmate AI steeds meer geïntegreerd raakt in producten en workflows, zien we op grote schaal nieuwe kwetsbaarheidscategorieën ontstaan. In ons meest recente Hacker-Powered Security Report is het aantal geldige meldingen van AI-kwetsbaarheden met 210% gestegen ten opzichte van vorig jaar, en bijna 80% van de CISO's neemt AI-assets nu mee in hun beveiligingstests. Prompt injection is daarbij het meest zichtbaar. een stijging van meer dan de helft op jaarbasisEn het blijft een van de meest voorkomende manieren waarop aanvallers het gedrag van modellen beïnvloeden. We zien ook een toename in modelmanipulatie, onveilige verwerking van uitvoer, datavergiftiging en zwakke punten in trainingsdata en responsbeheer.

Wat deze risico's zo belangrijk maakt, is dat ze niet alleen systemen beïnvloeden, maar ook beslissingen, werkprocessen en het vertrouwen van klanten. AI introduceert faalmogelijkheden die traditionele tests niet volledig dekken. Naarmate deze systemen in productie worden genomen en operationeel crucialer worden, zal gerichte en continue AI-beveiligingstests een steeds belangrijkere rol gaan spelen in de beveiligingsprogramma's van bedrijven.

Onze aanpak combineert AI-gestuurde automatisering voor het opschalen van ontdekkingen en patroonherkenning met menselijke expertise om subtiele fouten, nieuwe zwakke punten en de impact in de praktijk aan het licht te brengen. Hierdoor kunnen verdedigers met dezelfde snelheid en op dezelfde schaal opereren als aanvallers.

Naarmate de wereldwijde onderzoeksgemeenschap groeit, hoe waarborg je vertrouwen, kwaliteit en eerlijkheid, terwijl je tegelijkertijd je inzet voor diversiteit en inclusie binnen zo'n groot, door de massa gedreven ecosysteem waarmaakt?

Vertrouwen vormt de basis van een door de gemeenschap gedreven beveiligingsmodel en moet doelbewust worden opgebouwd naarmate de gemeenschap groeit. Voor ons begint dat met duidelijke standaarden, consistente stimulansen en een sterk bestuursmodel.

Onze community bestaat uit gekwalificeerde beveiligingsonderzoekers die samenwerken met klanten om daadwerkelijke kwetsbaarheden in een breed scala aan technologieën te identificeren, te valideren en te helpen verhelpen.

We waarborgen kwaliteit en eerlijkheid door platforminformatie te combineren met menselijk toezicht. Zo valideren we bevindingen, hanteren we uniforme gedragsregels en belonen we onderzoekers op basis van hun impact, niet op achtergrond, geografische locatie of anciënniteit. Reputatiesystemen, transparante triage en consistente uitbetalingsmodellen zorgen voor verantwoording aan beide zijden van de markt.

We zetten ons vol overtuiging in voor het succes van onze onderzoekers. Door middel van een goed inwerkprogramma, training en duidelijke groeipad helpen we nieuwe onderzoekers vaardigheden en geloofwaardigheid op te bouwen. In de afgelopen zes jaar, 50 onderzoekers hebben elk meer dan $1 miljoen verdiend op ons platform. â€” een krachtig signaal van zowel de kwaliteit van het werk als de objectiviteit van het model.

Diversiteit en inclusie zijn geen afzonderlijke initiatieven; ze vormen de kern van de kracht van het ecosysteem. Beveiligingsuitdagingen zijn wereldwijd en diverse perspectieven brengen verschillende aanvalspaden en blinde vlekken aan het licht. Het resultaat is een betrouwbare, goed presterende gemeenschap die sterker wordt – en niet meer gefragmenteerd – naarmate ze groeit.

Welke waarborgen heeft HackerOne getroffen om ervoor te zorgen dat AI-ondersteunde kwetsbaarheidsdetectie op een verantwoorde manier verloopt en vooringenomenheid of misbruik voorkomt?

Op ons platform zijn AI-agenten ontworpen om de duidelijkheid te verbeteren, bevindingen te valideren en de afhandeling te versnellen, terwijl mensen verantwoordelijk blijven voor beslissingen over acceptatie, ernst en reactie.

We hanteren dezelfde normen voor onszelf als voor onze klanten. We gebruiken onze AI-mogelijkheden intern, testen ze continu in de praktijk en belonen onze onderzoekers voor het signaleren van belangrijke kwetsbaarheden in onze eigen oplossingen. Dit zorgt voor een sterke feedbackloop waardoor vooroordelen, inconsistenties of misbruik vroegtijdig aan het licht komen.

Naarmate AI steeds meer geïntegreerd raakt in beveiligingsprocessen, is het ons doel een norm te stellen waarop teams kunnen vertrouwen – gebaseerd op transparantie, continue testen en menselijke verantwoordelijkheid.

Een stijging van 120% in gevonden kwetsbaarheden en de daarmee gepaard gaande beloningen wijst op grote verschuivingen in het dreigingslandschap. Beschouwt u dit als vooruitgang in detectie of als een teken dat bedrijfssoftware riskanter wordt?

Het is allebei — en dat is precies de bedoeling.

De toename weerspiegelt daadwerkelijke vooruitgang in detectie. Onderzoekers ontdekken steeds meer bruikbare, kwalitatief hoogwaardige kwetsbaarheden, en de hogere beloningen tonen aan dat bedrijven waarde hechten aan het opsporen en verhelpen van reële risico's. Meer ontdekkingen betekenen niet automatisch dat software riskanter is – ze betekenen dat de kwetsbaarheid eindelijk zichtbaar is.

Tegelijkertijd wordt bedrijfssoftware steeds complexer en meer onderling verbonden. AI, afhankelijkheden van derden en snellere releasecycli vergroten het aanvalsoppervlak sneller dan traditionele beveiligingsmaatregelen aankunnen.

De conclusie is simpel: risico is dynamisch, en beveiliging moet dat ook zijn. De meest weerbare organisaties gaan ervan uit dat blootstelling onvermijdelijk is en richten zich onophoudelijk op het oplossen van wat er echt toe doet.

Wat ziet u als de grootste uitdaging voor crowdsourced beveiligingsplatformen in de komende jaren, nu AI steeds geavanceerder wordt?

De grootste uitdaging voor elk beveiligingsplatform is het behouden van signaal en vertrouwen naarmate de snelheid en schaal toenemen.

Naarmate AI de drempel voor het vinden van informatie verlaagt, zullen platforms een enorme toename zien in het volume van geautomatiseerde en hybride workflows. Het risico is niet dat er te weinig resultaten zijn, maar dat klanten overweldigd worden door de hoeveelheid informatie en dat verkeerd afgestemde prikkels het vertrouwen ondermijnen.

De succesvolle platforms zullen de platforms zijn die de exploiteerbaarheid valideren, impact prioriteren en beloningen afstemmen op resultaten – en tegelijkertijd een sterk bestuur en menselijke verantwoording waarborgen. De toekomst draait niet om het vinden van meer problemen, maar om het sneller vinden van de juiste problemen en het omzetten van inzichten in actie voordat er zakelijke problemen ontstaan.

Ziet u HackerOne zich verder ontwikkelen dan alleen het opsporen van kwetsbaarheden, bijvoorbeeld naar continue monitoring, AI-gestuurde oplossingen of voorspellende dreigingsmodellering?

Onze focus ligt op het oplossen van het kernprobleem waarmee bedrijven worden geconfronteerd: het begrijpen en beheersen van reële risico's in voortdurend veranderende omgevingen.

Dat betekent natuurlijk dat we verder gaan dan het ontdekken van kwetsbaarheden op een bepaald moment. We zijn al actief in de gehele levenscyclus van kwetsbaarheden, van code- en AI-redteaming tot validatie en prioritering, en we blijven investeren in mogelijkheden die klanten helpen kwetsbaarheden eerder te herkennen, de impact sneller te begrijpen en herstelprocessen tot een goed einde te brengen.

AI speelt een centrale rol in die evolutie – met name bij het prioriteren en versnellen van workflows – maar altijd met menselijke verantwoordelijkheid als uitgangspunt. Ons leidende principe is continue, praktische beveiliging die gelijke tred houdt met moderne innovatie.

Nu tegenstanders steeds vaker AI inzetten, hoe wil HackerOne de concurrentie voorblijven en ervoor zorgen dat verdedigingsinstrumenten zich net zo snel ontwikkelen?

We blijven onze tegenstanders een stap voor door te opereren waar daadwerkelijke aanvallen plaatsvinden. Onze wereldwijde onderzoeksgemeenschap test al AI-gestuurde technieken in live-omgevingen, waardoor we vroegtijdig inzicht krijgen in hoe tegenstanders te werk gaan.

We combineren dat menselijk inzicht met AI-gestuurde automatisering om ontdekking, validatie, prioritering en herstel op te schalen. Minstens zo belangrijk is dat we ons eigen platform continu testen met dezelfde AI-redteaming-methoden die we onze klanten aanbieden.

Het doel is niet om elke nieuwe aanval te voorspellen, maar om een ​​systeem te bouwen dat sneller leert dan aanvallers. Zo kunnen verdedigingssystemen gelijke tred houden in een door AI gedreven dreigingslandschap.

Hartelijk dank voor het geweldige interview. Lezers die meer willen weten over hoe het bedrijf menselijke expertise en AI-gestuurde beveiliging inzet om organisaties te helpen reële risico's te identificeren en in te dammen voordat ze een zakelijk probleem worden, kunnen terecht op [link]. HackerOne.

Gerelateerde onderwerpen:
mm

Antoine is een visionair leider en oprichter van Unite.AI, gedreven door een onwrikbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Als serieel ondernemer gelooft hij dat AI net zo ontwrichtend voor de maatschappij zal zijn als elektriciteit, en wordt hij vaak betrapt op het uiten van lyrische verhalen over de potentie van ontwrichtende technologieën en AGI.

Als futuristisch, hij is toegewijd aan het onderzoeken hoe deze innovaties onze wereld zullen vormgeven. Daarnaast is hij de oprichter van Effecten.io, een platform dat zich richt op investeringen in geavanceerde technologieën die de toekomst opnieuw definiëren en hele sectoren opnieuw vormgeven.