Connect with us

Interviews

Sandy Dunn, CISO bij SPLX – Interviewreeks

mm
Published
Updated

Sandy Dunn, CISO bij SPLX is een ervaren CISO met 20+ jaar ervaring in de zorg en startups, en biedt CISO-advies via QuarkIQ. Ze leidt de OWASP Top 10 voor LLM-toepassingen voor cybersecurity en governance-checklist en draagt bij aan de OWASP AI-exchange, OWASP Top 10 voor LLM en de Cloud Security Alliance. Als adjunct-hoogleraar cybersecurity aan de Boise State University is ze ook een veelgevraagd spreker, adviseur en bestuurslid van het Institute for Pervasive Cybersecurity van Boise State. Sandy heeft een master in information security management van SANS en talloze certificaten, waaronder CISSP, meerdere SANS GIAC-credentials, Security+, ISTQB en FAIR.

SPLX is een cybersecuritybedrijf dat eind-tot-eindbescherming biedt voor AI-systemen via geautomatiseerde red teaming, runtime-bescherming, governance, herstel, bedreigingsinspectie en modelbeveiliging. Het platform voert duizenden adversarial simulaties uit in minder dan een uur om kwetsbaarheden te identificeren, systeemprompts te verharden voordat ze worden geïmplementeerd, en omvat Agentic Radar, een open-sourcehulpmiddel voor het in kaart brengen en analyseren van risico’s in multi-agent AI-workflows.

Wat trok je aanvankelijk aan bij de kruispunt van AI en cybersecurity, en hoe leidde die weg tot je rol bij SPLX en betrokkenheid bij OWASP?

AI was al jaren onderdeel van cybersecurity-gesprekken voordat ChatGPT verscheen, maar het voelde vaak alsof het niet had geleefd tot de hype. Toen het werd gelanceerd, verwachtte ik onder de indruk te zijn, maar had ik het tegenovergestelde effect. Toen ik voor het eerst ChatGPT gebruikte, was ik zowel verbaasd over wat het kon doen als bang voor hoe snel het kon worden misbruikt voor vijandige aanvallen of misbruik van privacy. Dat moment zette een vuur aan. Ik dook headfirst in LLM’s, las elke onderzoeksrapport die ik kon vinden, sloot me aan bij elke relevante Slack- en Discord-gemeenschap en voerde mijn eigen experimenten uit. Ik luisterde een tijdje in de OWASP Top 10 voor LLM-kanaal, en toen de eerste lijst werd gepubliceerd, wist ik dat het een belangrijke mijlpaal was. Maar als CISO voelde ik dat beveiligingsteams meer informatie nodig hadden. We hadden mensen verteld waar ze zich zorgen over moesten maken, maar niet wat ze moesten doen. Ik benaderde Steve Wilson, de projectleider, over het creëren van een “LLM Security CISO Checklist”. Het werd vervolgens het eerste OWASP GenAI-subproject, dat veel aanvullende subprojecten inspireerde.

Door dat werk ontmoette ik Kristian Kamber en Ante Gojsalic (de oprichters van SPLX) en adviseerde ik ook verschillende AI-beveiligingsstartups, sommige met veelbelovende ideeën, andere minder. Op dat moment was ik CISO bij een B2B-chatbotbedrijf, waar ik een uitgebreid AI-adversariaal testplaybook creëerde. Toen ik de demo van SPLX zag, herkende ik meteen dat ze het probleem hadden opgelost waar ik mee worstelde: hoe om adversariaal testen te operationaliseren. Toen SPLX een CISO nodig had, greep ik de kans om deel uit te maken van een geweldig bedrijf met geweldige mensen die belangrijke uitdagingen aanpakken.

Als CISO bij SPLX, welke zijn de meest novatieve aanvalstechnieken die je ontdekt, vooral met betrekking tot agentic AI?

Vanwege de nuances van GenAI-systeemontwerp is het niet mogelijk om GenAI-kwetsbaarheden en -aanvallen uit te bannen die de autonomie en mogelijkheden van de agent misbruiken. Memory Poisoning-aanvallen zoals MINJA zijn een recent voorbeeld hiervan. Met MINJA kunnen aanvallers een agent zijn geheugenbanken subtiel corrumperen door middel van vervalste interacties, waardoor schadelijke “herinneringen” worden geïmplanteerd met prompts die leiden tot misleidende of gevaarlijke gedragingen later. Een ander voorbeeld is de Echo Chamber-aanval. Hierbij creëert een aanvaller conversatie-lussen door een agent herhaalde kwaadaardige context te sturen. Onderzoekers konden beveiligingsmechanismen omzeilen door schadelijke instructies te versterken over meerdere beurten.

Indirecte en cross-modale prompt-injectie is een ander voorbeeld. Kwaadaardige instructies verbergen zich in externe inhoud zoals afbeeldingen of documenten die agenten consumeren. Deze instructies kunnen autonome beslissingen overnemen zonder directe invoer van de gebruiker.

Geavanceerde AI-agent-ecosysteem-aanvallen zoals tool-vergiftiging vereisen een zorgvuldige beoordeling van de hele levering voor AI-agent-implementaties. Aanvallers creëren ogenschijnlijk legitieme tools voor agentplatforms, maar embedden kwaadaardige instructies in toolbeschrijvingen en -documentatie. Wanneer agenten deze tools laden, worden de ingebedde instructies onderdeel van de context van de agent, waardoor ongeautoriseerde acties mogelijk worden, zoals gegevensuitstroom of systeemcompromis.

Hoe helpt het SPLX-platform organisaties om LLM-specifieke bedreigingen zoals prompt-injectie of adversariaal jailbreak-aanvallen te detecteren en te reageren?

SPLX is een eind-tot-eindbeveiligingsplatform dat LLM-geactiveerde toepassingen en multi-agent-systemen beschermt gedurende de hele AI-levenscyclus, van ontwikkeling tot implementatie tot real-time-bewerking. Ons AI-runtime-beveiliging is ontworpen om deze bedreigingen te stoppen terwijl ze plaatsvinden door continue monitoring en filtering van invoer en uitvoer. Het fungeert als een real-time firewall voor AI en handhaaft strikte gedragsgrenzen voor AI. De dynamische detectiemotor van SPLX markeert kwaadaardige activiteit in real-time, waardoor AI-systemen veilig reageren en binnen de bedoelde grenzen blijven.

De bijgewerkte OWASP GenAI Security Top 10 breidt sleutelrisico’s uit zoals systeemprompt-lekkage en vector-database-kwetsbaarheden. Hoe weerspiegelen deze nieuwe bedreigingen de evoluerende vijandige landschap?

De 2025 OWASP Top 10-updates weerspiegelen een evoluerend begrip van hoe LLM’s en generatieve AI-technologieën in real-world-scenario’s worden gebruikt. Het is belangrijk om op te merken dat er veel meer dan tien LLM-bedreigingen zijn, maar het doel is om de top 10 te identificeren. De grote veranderingen zijn LLM07 Insecure Plugin Design, die is opgenomen in de supply chain, en LLM010 Model Theft, die is opgenomen in Unbounded Consumption voor de 2025-lijst, waardoor ruimte ontstond om toe te voegen:

1. System-Prompt Leakage, die de bedreiging identificeert van het blootstellen van het systeemprompt, waardoor guardrails, logische stromen of zelfs geheimen die in LLM-prompts zijn ingebed, kunnen worden onthuld.

2. Vector-Database Vulnerabilities, die de potentiële beveiligingsproblemen binnen RAG-systemen markeren, zoals cross-tenant data-lekkage, embedding-inversie of vergiftigde documenten die later gevaarlijke uitvoer laten zien.

3. De updates laten zien dat AI-gerichte aanvallen zijn geëvolueerd van gekunstelde, opportunistische prompt-aanvallen naar geavanceerde aanvallen die de hele AI-supply chain richten. Moderne aanvallen laten strategisch denken zien over het hele AI-systeem, met een focus op persistentie, schaal en systemische impact in plaats van eenmalige exploits.

De uitgebreide dekking van agentic-architecturen erkent een andere kritieke ontwikkeling. Naarmate AI-systemen grotere autonomie en beslissingsmogelijkheden krijgen, nemen de gevolgen van beveiligingsfouten exponentieel toe. Het verminderen van menselijke toezicht, waardoor krachtigere toepassingen mogelijk worden, heeft een versterkend effect dat het effect van succesvolle aanvallen vermenigvuldigt.

Wat zijn in jouw mening de meest over het hoofd gezien kwetsbaarheden in ondernemingen die agentic AI implementeren?

Het meest over het hoofd gezien probleem is hetzelfde uitdaging die we tegenkomen bij traditionele software- en systeemimplementaties, het principe van de minste privileges. We worstelen nog steeds met de minste privileges voor menselijke gebruikers en service-accounts, en nu moeten organisaties een nieuwe uitdaging aanpakken: het beheer van non-human identities (NIH). Mensen implementeren agenten terwijl agent-identiteit en -toegang nog niet volledig worden begrepen of opgelost. We zien agenten met brede machtigingen om documenten te lezen, externe API’s te benaderen en zelfs systemen te wijzigen. Dit is geen technische fout in het model zelf, maar een fundamentele architectonische fout. Een gecompromitteerde agent met overmatige privileges kan chaos veroorzaken, van het uitstroomen van grote hoeveelheden gegevens tot het initiëren van financiële transacties.

Een ander vaak gemist of genegeerd probleem is de “trust”-relatie tussen agenten. In agentic-systemen zijn agenten vaak ontworpen om met elkaar te communiceren en samen te werken. We zien een nieuwe klasse aanvallen waarin een gecompromitteerde agent een legitieme kan imiteren, wat essentieel een “Agent-in-the-Middle” is. Het is als een Trojaans paard, maar op architectonisch niveau.

Kun je ons doorloopbaar maken welke actiepunten ondernemingsbeveiligingsteams moeten nemen bij het implementeren van agentic AI-hulpmiddelen in productieomgevingen?

1. Begin met incident response-plannen. Wat ziet de slechtste dag eruit, en werk dan terug om ervoor te zorgen dat beveiligingscontroles en zichtbaarheid op hun plaats zijn. Wanneer een AI-breach plaatsvindt, heeft uw security operations center een playbook nodig. Wie wordt op de hoogte gesteld? Hoe isoleert u een gecompromitteerde agent? Wat is het proces voor terugkeren naar een bekende goede staat? Het hebben van een plan voordat een crisis plaatsvindt, is essentieel.

2. Inventarisatie van de aanvalsoppervlak en dreigingsbeoordeling. U kunt niet beveiligen wat u niet weet dat u heeft. De eerste stap is om een volledige inventarisatie te maken van alle AI-agenten, tools in gebruik en gegevenstoegang. Welke gegevens raakt het aan? Welke machtigingen heeft het? Wat is het potentiële effect als het wordt gecompromitteerd? Prioriteer op basis van hoge impact en meest waarschijnlijke dreigingen. Vervolgens moet u een openhartig gesprek voeren met het uitvoerend team over risicobereidheid. Een voordeel van de versnelde AI-activiteit is dat CISO’s, risicofunctionarissen, juridische teams en uitvoerend leiderschap gedwongen worden om een echt gesprek te voeren over bedrijfsdoelstellingen, risicobereidheid en beveiligingsbudgetten. Historisch gezien was er een verwachting van geen incidenten met minimale budgetten. CISO’s hebben (grotendeels) kunnen voorkomen dat een groot incident plaatsvond door alleen voldoende beveiliging te implementeren om hun organisatie minder aantrekkelijk te maken dan de organisatie met minder beveiliging. AI-geactiveerde aanvallers maken deze strategie nu onrealistisch.

3. Implementeer beveiligingsmaatregelen, minste privileges en monitoringtools. Scope is belangrijk voor elke agent-implementatie. Definieer het doel van een agent, zijn grenzen en zijn machtigingen. Geef een agent geen toegang tot uw hele SharePoint-bibliotheek als het alleen toegang nodig heeft tot één map. Implementeer controles die beperken welke API’s het kan aanroepen en welke acties het kan uitvoeren. Denk eraan als een nieuwe, zeer slimme, dronken stagiair. U erkent dat het verbazingwekkende capaciteiten heeft, maar u zou het niet vertrouwen. U zou de toegang beperken tot wat het binnen het bedrijf kan doen, u zou het niet toegang geven tot iets belangrijks, u zou monitoren wat het doet en u zou mogelijk alarmsystemen hebben als het probeert iets te doen wat het absoluut niet zou moeten doen, zoals toegang tot het kantoor van de CEO.

4. Implementeer een AI-specifieke beveiligingsstack die samensmelt met uw traditionele beveiligingsstack. Traditionele beveiligingshulpmiddelen waren niet ontworpen voor GenAI-systemen of agentic-systemen. U moet hulpmiddelen implementeren die zijn ontworpen voor problemen die uniek zijn voor GenAI, zoals promptvalidatie, uitvoer-sanitatie en continue monitoring van agentgedrag. Deze hulpmiddelen moeten in staat zijn om subtiele, semantische aanvallen te detecteren die specifiek zijn voor GenAI en agentic-systemen.

5. Integreer AI-red teaming in de CI/CD-pipeline. U moet continue uw agenten testen op kwetsbaarheden op basis van de significantie van de wijzigingen en de risicobereidheid van de organisatie. De recente GPT-5-update is een voorbeeld van hoe disruptieve wijzigingen kunnen zijn voor agentic-workflows. Maak geautomatiseerde red teaming een kernonderdeel van uw ontwikkelingsleven cyclus. Dit helpt u om problemen te identificeren terwijl u uw agenten bijwerkt en wijzigt.

Hoe moeten organisaties geautomatiseerde red teaming, CIAM, RAG-governance en monitoring integreren in hun GenAI-risicobeheerstrategie?

De sleutel is integratie in plaats van ze te behandelen als afzonderlijke initiatieven. Uw GenAI-risicobeheerstrategie moet een samenhangend kader zijn waarin elk onderdeel het andere versterkt.

Begin met geautomatiseerde red teaming als basis. Het is belangrijk om continue adversariale testing te hebben die evolueert met het dreigingslandschap. Het SPLX-platform simuleert duizenden aanvals scenario’s over verschillende risicocategorieën, testend voor prompt-injectie, jailbreaks, contextmanipulatie en tool-vergiftiging. Het kritieke aspect is het maken van dit onderdeel van uw CI/CD-pipeline, zodat elke agent-update wordt beveiligd voordat deze wordt geïmplementeerd.

CIAM voor AI-systemen vereist het heroverwegen van traditionele identiteitsmodellen. AI-agenten hebben granulaire machtigingen nodig die dynamisch kunnen worden aangepast op basis van context en risiconiveaus. Implementeer attribuut-gebaseerde toegangscontrole die niet alleen de identiteit van de agent in overweging neemt, maar ook de gegevens die het verwerkt, de tools waartoe het toegang aanvraagt en de dreigingscontext.

RAG-governance is bijzonder cruciaal. Stel data-afstammingstracing in voor alle inhoud die in vectoropslag wordt opgenomen. Implementeer validatiepijplijnen voor inhoud die adversariale voorbeelden of kwaadaardige instructies kunnen detecteren die in documenten zijn ingebed.

Voor monitoring heeft u telemetrie nodig die zowel technische als gedragsindicatoren vastlegt. Technische monitoring omvat invoer-/uitvoeranalyse, API-aanroep patronen en resource-verbruik. Gedragsmonitoring richt zich op beslissingskwaliteit, taakvoltooiingspatronen en interactiecontexten die een compromis kunnen aanduiden.

Integratie is belangrijk. De resultaten van de red teaming moeten de CIAM-beleidsregels informeren, de monitoringsystemen moeten feedback geven aan uw RAG-governanceprocessen, en al dit moet worden gecoördineerd via een centraal enterprise-risicobeheerplatform dat signalen kan correleren over al deze domeinen.

Met AI-gerelateerde inbreuken die nog in de vroege stadia zitten, maar klaar zijn om te groeien, welke trends moeten beveiligingsleiders zich de komende 12 tot 18 maanden voorbereiden?

Ik verwacht een aanzienlijke escalatie in supply chain-aanvallen die alles richten, inclusief AI-infrastructuur. AI-supply chain-aanvallen vergiftigen trainingsdatasets, compromitteren modelrepositories of injecteren kwaadaardige code in software-afhankelijkheden om permanente toegang tot AI-systemen te krijgen.

Er is al een golf van autonome sociale manipulatie, zoals deepfake vishing-incidenten, maar de evolutie naar volledig autonome generatie is wat me het meest zorgen baart. AI-agenten die complete sociale manipulatiecampagnes over meerdere platforms simultaan afhandelen, elk aangepast aan specifieke doelwitten en contexten, creëren een multiplicatoreffect dat traditionele verdedigingen niet zijn voorbereid op.

Ik geloof dat we de opkomst zullen zien van AI-native aanvallen die opereren op machinesnelheid. Traditionele beveiligingshulpmiddelen en menselijke analisten kunnen niet bijhouden met een aanvaller die complexe, meerdere fasen van exploits in milliseconden kan uitvoeren.

Hoe voorzie je de evolutie van regelgevings- en compliance-kaders als reactie op generatieve AI-risico’s?

Ik verwacht een grote verschuiving in regelgevingskaders, met als doel innovatie in evenwicht te brengen met een focus op verantwoordelijkheid, transparantie, beveiligde ontwikkelingspraktijken en supply chain-beveiliging.

Ik verwacht dat er een focus komt op data-afstamming en -integriteit. Regelgevende instanties zullen willen weten waar de data vandaan komt die wordt gebruikt om AI-modellen te trainen en aan te vullen. Ze zullen bewijs willen zien dat de data is gesaneerd, dat het geen gevoelige informatie bevatte en dat het niet is vergiftigd.

Ten slotte denk ik dat we sector-specifieke regelgeving zullen zien. De risico’s voor een financiële instelling die een AI-agent gebruikt om transacties af te handelen, zijn anders dan die van een zorginstelling die een agent gebruikt voor diagnose. Regelgevers zullen specifieke standaarden definiëren voor kritieke industrieën, waaronder automatische red teaming, human-in-the-loop-toezicht en strikte auditing voor AI-systemen die levensbedreigende gevolgen kunnen hebben.

Als adjunct-hoogleraar en bestuurslid van het Institute for Pervasive Cybersecurity van Boise State, hoe bereidt u de volgende generatie AI-beveiligingsprofessionals voor, en welke vaardigheden zien u als meest kritisch in het huidige evoluerende landschap?

Critisch denken en probleemoplossing zijn nog steeds de belangrijkste vaardigheden die studenten nodig hebben voor een geweldige carrière in cybersecurity, maar vaardigheden zoals menselijke psychologie en linguïstiek, die eerder alleen werden aangetroffen in cyberdreigingsinlichtingenteams, zijn vaardigheden die een breed scala aan cybersecurity-functies zullen bevoordelen in de AI-toekomst.

Mensen- en communicatievaardigheden zijn ook belangrijk. Cybersecurity is meer dan alleen IT-systemen; het gaat over mensen, het helpen van een bedrijf om zijn bedrijfsdoelstellingen te bereiken en in staat zijn om complexe technische risico’s te vertalen en te communiceren aan niet-technische stakeholders, zodat ze de juiste beslissingen kunnen nemen voor het bedrijf. De toekomst van cybersecurity zal afhankelijk zijn van professionals die niet alleen technisch slim zijn, maar ook geworteld en vaardige communicators.

Ten slotte is het AI-beveiligingslandschap zo snel evoluerend, dus het zal belangrijk zijn om te kunnen leren en aanpassen.

Bedankt voor het geweldige interview en de gedetailleerde inzichten; lezers die meer willen leren, moeten SPLX bezoeken.

Related Topics:
mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.