Connect with us

Intervjuer

Chaim Mazal, Chief AI & Security Officer of Gigamon – Intervju-serie

mm
Published
Updated

Chaim Mazal er Chief AI og Security Officer i Gigamon, ansvarlig for global sikkerhet, informasjonsteknologi, nettverksdrift, styring, risiko, etterlevelse, interne forretningsystemer og produktsikkerhet. Chaim leder også selskapets strategiske AI-program, som driver styring, tverrfaglig tilpasning og sikker, ansvarlig bruk av AI. Han er anerkjent av Security Magazine som en av de mest innflytelsesrike personene i sikkerhet 2025, og er en livstidsmedlem av OWASP Foundation og sitter i styrene for blant annet Cloudflare, GitLab og Rapid7. Han har tidligere hatt seniortillitsverv i flere bransjeledere, sist som SVP of Technology og CISO i Kandji.

Gigamon er et selskap som driver med cybersikkerhet og observabilitetsteknologi, med fokus på å gi dyp innsikt i nettverkstrafikk over hybrid- og multi-cloud-miljøer. Deres plattform fanger og analyserer data i bevegelse, inkludert pakker, strømmer og applikasjonsmetadata, for å levere handlebare innsikter til sikkerhets-, cloud- og IT-overvåkingsverktøy. Dette gjør det mulig for organisasjoner å oppdage skjulte trusler, forbedre ytelse, opprettholde etterlevelse og redusere kompleksitet ved å eliminere blinde flekker i stadig mer distribuerte og krypterte systemer. Gigamon hjelper store bedrifter og regjeringer med å sikre og forvalte moderne digital infrastruktur i stor skala.

Du har hatt en unik reise fra å tilbringe tid i hakker-fora som tenåring til å bli Chief AI og Security Officer i Gigamon. Hvordan har disse tidlige erfaringene formet måten du tenker om moderne AI-drevne cybertrusler?

Jeg fikk min første datamaskin da jeg var åtte og lærte ved å eksperimentere, nemlig å finne ut av DOS, lese manualer og til slutt lære meg Visual Basic. Da jeg kom dyptere inn i internett-samfunn, var jeg fascinert av hvordan programvare kunne manipuleres og hvor systemer var sårbare. Denne nysgjerrigheten utviklet seg til web-applikasjonspenetreringstesting og sikring av SaaS-utviklingslivssyklus.

Hva som er interessant med moderne trusler er at AI ikke oppfinner nye svakheter, men skalerer oppdagelsen og utnyttelsen av eksisterende svakheter. På grunn av denne tidlige perspektivet, nærmer jeg meg AI-sikkerhet med antagelsen om at det brukes mot meg fra dag én, noe som hjelper meg å reversere forsvar for våre kunder i Gigamon.

Du har observert at AI-generert phishing, ransomware og malware-kampanjer reduserer tid-til-påvirkning fra uker til timer. Hva er konkrete endringer du ser i hvordan disse angrepene er designet og deployert?

AI har fundamentalt senket terskelen for inngang til cyberkriminalitet. Å skrive malware, lage overbevisende phishing-kampanjer og identifisere svakheter krevde tidligere dypt teknisk ekspertise. Nå kan disse angrepene akselereres og til og med fullstendig automatiseres med hjelp av AI-verktøy. Hackere trenger ikke lenger en sterk teknisk bakgrunn for å lansere sofistikerte kampanjer, fordi AI kan generere kode, forbedre sosial ingeniring-meldinger og hjelpe operatører med feilsøking i sanntid.

Som en følge av denne økte tilgangen, har hele trusselslandskapet skiftet. Uten styringsrammer, etterlevelsekrav eller etiske begrensninger som bremser dem, kan angripere eksperimentere, tilpasse seg og deployere i hastighet, og til minimal kostnad. Som en følge av dette, har tid-til-påvirkning blitt dramatisk redusert, og hva som tidligere tok uker kan nå skje på timer. I mellomtiden er mange organisasjoner fortsatt i de tidlige stadiene av å adoptere AI defensivt, noe som betyr at noen av de mest effektive AI-bruksfallene for tiden drives av trusler.

Hva skiller fundamentalt en AI-drevet cyberangrep fra tradisjonelle automatiserte trusler, og kan du dele et eksempel som gjør denne forskjellen tydelig?

Hva som fundamentalt skiller en AI-drevet cyberangrep fra tradisjonelle automatiserte trusler, er autonomi og utholdenhet. Tidligere ville hakere kjøre et skript og stoppe når det feilet. “Tid til å leve” var begrenset til hvor lenge det tok å kjøre automatiseringen. Med AI, gis agenter et mål og, hvis de feiler, stopper de ikke. De fortsetter å iterere, å lete etter alternative stier for å oppnå samme mål. “Tid til å leve” er effektivt uendelig.

For eksempel, med en produksjonsbyggeavhengighet, kan angripere sette inn noe så lite som to linjer med skript samtidig som de holder filstørrelsen uendret, noe som betyr at bytene ser identiske ut. Når filen kompiles og kjøres, lanseres en terminalinstans som installerer en autonom agent i det corporate-miljøet, som deretter utfører en rekke skadelige oppgaver som kan iterere uendelig. Tidligere ble binærfiler sett på som post-deployerings-trussel-vektorer. Nå manipuleres de konstant, inkludert under byggeprosessen selv, for å utføre AI-aktivert handlinger inne i corporate-miljøer.

Mange organisasjoner avhenger fortsatt av legacy-sikkerhetskontroller og etablerte spillbøker. Hvorfor feiler disse tilnærmingene mot AI-aktiverede angrep, og hvor ser du de farligste blinde flekkene?

Vi har nådd et punkt hvor hvis du ikke innovasjon og tankefullt inkorporerer AI i dine sikkerhetsløsninger og -operasjoner, er du allerede forsinket, og det gjelder både store selskaper og startups. Organisasjoner som ikke integrerer AI i sin sikkerhetsstrategi, risikerer å bli forbigått av angripere som beveger seg raskere og opererer på større skala.

Det sagt, å forsvare seg mot AI-drevne trusler krever ikke nødvendigvis en fullstendig gjennomgåelse av teknologistaben. Mange av verktøyene bedriftene trenger, er allerede på plass. Den virkelige skiftet er i hvordan disse verktøyene brukes effektivt. Det handler om å styrke grunnleggende prinsipper, å bruke eksisterende teknologier mer intelligently og å tilpasse forsvar for å ta hensyn til utrente, men AI-aktiverede angripere.

Trusler bruker AI kreativt og strategisk. Hvis bedrifter ikke tar en tilsvarende strategisk tilnærming, risikerer de å skape massive blinde flekker. Ledere må tenke annerledes om hvordan de deployer verktøyene de allerede har, integrere AI i sine operasjoner og utvikle sine spillbøker for å forsvare seg mot hastigheten og skalaen i dagens angrep.

AI ser ut til å senke terskelen for inngang til cyberkriminalitet. Hvordan har denne skiftet endret profilen til dagens angripere, og hva slags risiko skaper det for bedrifter?

AI har gjort det mulig for nesten hvem som helst å bli en hacker. Med AI-verktøy til disposisjon, kan uvante aktører, selv tenåringer, nå lansere sofistikerte phishing-kampanjer, deployere rootkits og utføre ransomware-angrep som tidligere krevde betydelig teknisk ekspertise.

Denne skiftet legger til en ny nivå av uforutsigbarhet til trusselslandskapet. I stedet for å møte et mindre antall høyt sofistikerte grupper, møter bedrifter nå et bredere spekter av aktører som eksperimenterer raskt, lærer i sanntid og samarbeider over nett-samfunn.

For organisasjoner, betyr dette ikke bare flere angrep, men også større variasjon i hvordan de utføres. Bedrifter må forberede seg på et trussel-miljø hvor evne ikke lenger er direkte knyttet til erfaring, og hvor hvem som helst kan utføre kampanjer som rivaliserer med de som historisk sett har vært avanserte grupper.

Basert på hva du ser i angriper-samfunn, hvilke AI-drevne verktøy vinner terreng, og hvor raskt forbedrer disse evnene?

Det handler mindre om enkeltstående AI-verktøy som hjelper hakere og mer om deling av ressurser. I stedet for at ett enkelt verktøy kjører en lineær prosess, bruker angripere desentraliserte agenter som kryss-refererer data og deler informasjon kollektivt over ulike verktøy. Resultatet fungerer mer som et angrepsnett, eller en sværm, enn en enkeltstående evne.

Hva som er mest merkbart med dette, er hastigheten på forbedring. Disse evnene endrer seg dag for dag, og mange av verktøyene som brukes, var bevis for konsept for bare uker siden. Takten på innovasjon og iterasjon innen angriper-samfunn akselererer raskt, med nye teknikker og verktøy som oppstår nesten i sanntid.

Sett fra en forsvarers synspunkt, hva slags signaler indikerer at en organisasjon møter en AI-drevet kampanje fremfor en mer konvensjonell angrep?

Sett fra en forsvarers synspunkt, er ett viktig signal at rekognosering ikke lenger ser sekvensiell eller avdelt ut. Historisk sett ville angripere følge klare trinn – samle informasjon i faser, spre aktivitet ut og målrette én overflate om gangen. Nå skjer alle disse aktivitetene samtidig. E-post-gater, eksternt tilgjengelige tjenester, kontoaktivitet, deteksjons- og unngåelses-teknikker utføres alle samtidig i stedet for sekvensielt.

Et annet signal er unifikasjon og koordinering av aktivitet. Hva som tidligere var stykkvis, er nå kondensert og delt kollektivt over verktøy, og fungerer mer som en sværm enn en enkeltstående innsats. Disse agentene itererer kontinuerlig, tilpasser seg og akselererer beslutningstaking rundt trussel-vektorer, og de tar ikke nei for et svar. Denne nivået av samtidig aktivitet, koordinering og utholdenhet antyder sterkere en AI-drevet kampanje enn et konvensjonelt angrep.

Du har argumentert for at mange nåværende AI-sikkerhetsverktøy mangler disse truslene helt. Hva gjør de feil, og hvilke evner er mest presserende nødvendig?

Mange nåværende AI-sikkerhetsverktøy er fortsatt bygget rundt den feilaktige antagelsen om at forebygging er det primære målet. Leverandører fortsetter å posisjonere AI som en bedre måte å blokkere trusler på periferien, men angripere er raskere, mer adaptive og stadig mer tålmodige, og bruker AI, deepfakes og avansert malware som kan unngå kontroller og forbli uoppdaget i måneder.

Hva som er mest presserende nødvendig, er omfattende, sanntids-synlighet og sterkere deteksjons- og respons-evner. Organisasjoner må implementere kontinuerlig risikovurdering, opprettholde synlighet inn i kryptert trafikk hvor mange trusler skjuler seg, og bruke nettverks-avledede telemetri og API-er for å forstå hva som kjører over systemene og hvordan data flytter seg. Resiliens i dag handler ikke om å holde hver enkelt trussel ute, men om å se, stoppe og lære av trusler før de eskalerer.

Ettersom AI akselererer både forsvar og angrep, tror du at defensiv AI kan realistisk holde pace, eller går vi inn i en periode hvor angripere vil opprettholde en strukturell fordel?

AI akselererer både sider av ligningen, men på kort sikt, tror jeg at angripere har en fordel. De møter ingen regulative begrensninger, ingen etterlevelsekrav eller etiske skranker. Dette betyr at de kan eksperimentere fritt og iterere i en forhøyet takt. På den andre siden, må bedrifter balansere innovasjon med styring, personvern og operasjonell risiko, noe som naturligvis bremser AI-adoptsjon og implementering.

Det sagt, defensiv AI kan absolutt komme ut på toppen hvis organisasjoner og ledere skifter sin tilnærming. Suksessfulle sikkerhetstaktikker kommer ikke fra å bruke AI reneste til forebygging. Det vil kreve å integrere AI i deteksjons-, undersøkelses- og respons-arbeidsflyter som backes av sanntids-synlighet. Fordelen er ikke permanent på angriperens side, men den vil forbli der til organisasjoner stopper å stole på forebygging. Den virkelige skaden skjer når en angriper bryter gjennom nettverket, ofte leverer av land og venter på å eksfiltrere data. Ledere må skifte fra “kan vi forhindre et brudd” til “hvor raskt kan vi oppdage og fjerne inntrengere?”

Sett mot en fremtid på seks til tolv måneder, hvilke AI-drevne angreps-teknikker forventer du vil bli vidt utbredt, og hva bør sikkerhets-teamene gjøre nå for å forberede seg?

Seks til tolv måneder er en enorm mengde tid i dette miljøet. Ting endrer seg realistisk sett hver seks til tolv uker. Den raskere fremgangen av AI gjør det vanskelig å forutsi bestemte teknikker hakere vil bruke fremover, så fokus burde være mindre på å gjette hva som kommer neste og mer på hvordan man kan forberede seg.

Forsvarere må bruke samme AI-drevne teknologi angripere bruker, med en sterk vekt på forsvar i dybden. Det betyr å bruke AI til å kryss-referere konstante strømmer av data over endpointer i sanntid, å stole på uforanderlig nettverks-telemetri for å identifisere transaksjons-atferd over private cloud, offentlige cloud og lokale miljøer, og å mata denne telemetrien inn i riktig verktøy, så sikkerhetsteamene er aktivt klar over når deres organisasjon blir kartlagt.

Samtidig må periferi-først-forsvar-mentaliteten pensjoneres. Det er ikke et spørsmål om hvorvidt et AI-drevet brudd skjer, men når. Prioriteten nå er tidlig identifisering, reduksjon av påvirkning og raskt avhjelp. Dette inkluderer å ha en solid hendelses-respons-plan, å bruke null-tillit-prinsipper, å påtvinge nettverks-segmentering, å opprettholde tilgangs-styring med kontinuerlige gjennomganger og å gjøre dynamiske justeringer etter behov for å beskytte kundedata og begrense påvirkning.

Takk for det inn Smykke-intervjuet, lesere interessert i dyp observasjon og AI-drevne nettverkssikkerhet kan besøke Gigamon.

mm

Antoine er en visjonær leder og grunnleggende partner i Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En seriegründer, han tror at AI vil være like disruptiv for samfunnet som elektrisitet, og blir ofte tatt i å tale om potensialet for disruptiv teknologi og AGI.
Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnleggeren av Securities.io, en plattform som fokuserer på å investere i banebrytende teknologier som omdefinerer fremtiden og omformer hele sektorer.