Intervjuer

Mike Wiacek, grunnlegger og CTO av Stairwell – Intervju-serie

mm
Published
Updated

Mike Wiacek er CTO og grunnlegger av Stairwell. Han er lidenskapelig opptatt av sikkerhet og bygging av en teamkultur som er rotet i samarbeid, ærlighet og en dedikasjon til å hjelpe kunder å utmanøvrere angripere. Før han grunnla Stairwell, var Mike medgrunnlegger og Chief Security Officer av Alphabet’s Chronicle og også grunnla Google’s Threat Analysis Group.

Stairwell er et selskap som hjelper organisasjoner å oppdage og respondere på trusler ved hjelp av en data-først-tilnærming. Deres plattform samler og analyserer kontinuerlig filer over tid, noe som muliggjør sanntids-overvåking, retrospektiv trussel-jakt og AI-drevne innsikter. Med avansert statisk og atferdsmessig analyse, utstyrer Stairwell sikkerhetsteam med å identifisere zero-day-trusler og ta informerte beslutninger raskere.

Du grunnla Stairwell etter å ha ledet sikkerhetsinnsatsen hos Google TAG og Chronicle. Hva var det som manglet i sikkerhetslandskapet som overbeviste deg om at det var på tide å bygge noe nytt?

Etter å ha ledet sikkerhet hos Google TAG og bygget Chronicle, så jeg det samme brutte mønsteret spille ut overalt: trussel-intelligens-team arbeidet før angrepet, SOCs under, og IR-team etterpå, alle prøvde å svare på samme grunnleggende spørsmål med forskjellige verktøy, forskjellige data og helt forskjellige tanker. Ingen kontinuitet. Ingen felles sannhet. Det var ikke at ideen var feil — det var at implementeringen var.

Det meste av industrien er bygget rundt logger. Men logger er tilpassede målinger. De er tolkninger. Observasjoner. De er skjøre, og de er bygget for å svare på gårsdagens spørsmål. Hvis loggen ikke fanget det, er du ute av hell. Og verre enn det, log-volum-vekst er kostbar og uegnet.

Enterprises glemmer om sin viktigste aktivum — de rå filene. De eksekverbare, skriptene, DLL-ene, det er der sannheten bor. Filer lyver ikke. De endrer seg ikke avhengig av hvem som observerer dem. Og hvis du har de rå artefaktene, kan du gjøre noe som ingen log-basert verktøy noen gang kunne: matche likhet, detektere variasjoner, oppdage relasjoner og svare på hvert spørsmål over hele tiden.

Så jeg bygget Stairwell for å forene all dette. En plattform. En kilde til sannhet. Kontinuerlig analyse av hva som faktisk kjører i din miljø — ikke bare hva som blir logget om det. Når hvert team arbeider fra samme bevis, blir de alle bedre. Raskere triage. Smartere deteksjon. Dypere undersøkelser. Det er hvordan vi stopper å kjempe mot gårsdagens brudd og begynner å komme foran det neste.

Stairwell har som mål å gi forsvarerne evnen til å tenke som angripere. Hvordan muliggjør din plattform dette praktisk, og hvilke typer organisasjoner kan dra nytte av denne tilnærmingen?

Angripere venter ikke på varslinger. De opererer ikke i siloer. De bryr seg ikke om din logg-bevaringspolitikk, risiko-appetitt eller budsjettmessige bekymringer.

De lærer dine verktøy, unngår dine kontroller, og kjeder sammen filer, infrastruktur og timing for å nå målet sitt på en stille måte. Forsvarere må gjøre det samme — tenke i relasjoner, ikke varslinger. Det er tankesettet Stairwell gir deg.

Praktisk sett begynner dette med å se på alt som kjører. Vi samler og bevarer rå artefakter — eksekverbare, skript, lastere, nyttelaster — og analyserer dem kontinuerlig. Ikke bare når de først sees. Alltid. Det betyr at du kan jakte som en motpart: finn en droppet fil, gå over til dens variasjoner, identifiser lasteren, spore den til infrastruktur-gjenbruk og avdekke hver fase av kampanjen.

Du trenger ikke å reversere hver enkelt sample. Stairwell automatiserer det. Du trenger ikke å gjette hva en fil gjør. Stairwells Intelligent Analyse forteller deg. Du trenger ikke å undre deg hva som ligner på det. Stairwells Variant-oppdagelse viser deg.

Hvem kan dra nytte av dette? Alle som er lei av å fly blindt.

Hvis du er et høyt-verdi-mål — kritisk infrastruktur, finans, forsvar — kan du ikke ha råd til å gjette. Hvis du er et lean-team, gjør Stairwell deg til en kraftmultiplikator. Hvis du drukner i varslinger, hjelper vi deg å kutte gjennom støyen og løpe hver varsel til bakken.

Bunnen linje: angripere tenker i relasjoner. Nå kan forsvarere også gjøre det – med en fugleperspektiv på alt, alltid.

Din bakgrunn inkluderer arbeid hos NSA, Google og Chronicle. Hvordan har disse erfaringene formet din forståelse av nasjonalstatlige og vedvarende trusler, særlig i forhold til å beskytte kritisk infrastruktur?

Jeg tenker på sikkerhet som et datasøk-problem. La oss samle, lagre og analysere så mye data som mulig og finne svar på spørsmål innenfor den datan. Den manglende delen av data for de fleste organisasjoner er deres faktiske filer. Dine filer er din viktigste aktivum. Sikkerhetsteam i bedrifter kan ikke svare på det mest grunnleggende spørsmålet — Er noen av din trussel-intelligens funnet på din CEOs laptop? Stairwell lar deg vite det umiddelbart og kontinuerlig deretter.

Stairwell håndterer over 8 milliarder fil-observasjoner ved hjelp av Google Cloud Bigtable. Hva var de største tekniske hindrene i å bygge et trussel-analyse-system som opererer på denne skalaen?

En av de tingene vi er mest stolte av er at vi har funnet en ingeniør-løsning for å samle, lagre og analysere hver eksekverbar fil i en bedrift. Vi analyserer kontinuerlig disse filene mot vår malware-korpus, YARA-regler, trussel-rapporter. Hver ny fil blir etterforsket — innen sekunder. Interessant nok er prosessen så lett at kunder ofte spør om å sjekke om filene blir samlet. Når vi viser dem at det fungerer, blir de ofte overrasket over hvor lite CPU det okkuperer.

Du har sagt at du ønsker Stairwell å gjøre for sikkerhet hva Google gjorde for søk. Hva betyr det i forhold til bruker-erfaring og produkt-retning?

Vi er effektivt en søke-motor for dine eksekverbare filer og relaterte filer. Vi lar sikkerhetsteam svare på spørsmål om deres filer. Spørsmål som — er denne filen malware? Er det noen variasjoner av denne filen noen steder i våre systemer? Hvilke endepunkter har denne malware? Er denne nylig identifiserte sårbare filen på noen av våre enheter? Er denne filen vanlig? Har den vanlige søsken noen steder andre? Hvor er den? Og NÅR ankom den?

En av Stairwells kjerne-styrker er evnen til å utføre proaktiv og retrospektiv trussel-jakt — det vil si at det kan både detektere aktive trusler og avdekke tidligere angrep som kan ha gått ubemerket forbi. Hvordan skiller denne tilnærmingen seg fra tradisjonelle sikkerhets-verktøy som SIEMs (Sikkerhets-informasjon og hendelse-styringssystemer) eller EDRs (Endepunkt-detteksjons- og respons-plattformer), som ofte fokuserer på sanntids-varslinger?

Tradisjonelle verktøy som SIEMs og EDRs er bygget for . De fokuserer på sanntids-varslinger og punkt-i-tiden-detteksjoner. Nyttig i øyeblikket, men blinde for alt som ikke utløste en regel, eller som glapp forbi når ingen så på.

Stairwell fungerer annerledes. Vi spør ikke bare hva skjedde. Vi spør hva som noen gang har vært i din miljø.

Vi bevarer og analyserer kontinuerlig rå filer — hver eksekverbar, hver skript — over alle tider. Så selv om noe ble slettet, omdøpt, pakket om eller latent, kan du fortsatt finne det. Fortsatt analysere det. Og fortsatt løpe det til bakken.

Det betyr at du kan jakte proaktivt før varselet. Og retrospektivt etter bruddet — selv måneder senere, med full kontekst og full historie. Prøv å gjøre det med en SIEM som har utgått sine logger eller en EDR som bare ser hva som kjører nå.

Stairwell gir deg muligheten til å spørre: Har dette noen gang vært i vår miljø? Og få et ekte svar, ikke bare “ikke nylig” eller “vi kan ikke si”. Det er forskjellen.

Med økende interesse fra føderale organisasjoner i AI og trussel-detteksjon, hvordan ser du på Stairwells AI-modeller bidrar til forsvar på nasjonalt nivå?

Føderale forsvarere trenger ikke flere dashboards. De trenger raskere svar, tydeligere intensjoner og verktøy som holder pace med motstandere som itererer raskere enn regjeringens anskaffelsessyklus.

Stairwells tilnærming til AI er ikke bare boltet-på klassifiseringer. Det er bygget på toppen av en dyp fundament av milliarder av virkelige artefakter, global fil-prevalens, variant-linje og år med trussel-atferd. Vi kombinerer statisk og atferdsmessig funksjons-ekstraksjon med strukturert LLM-prompting for å forklare hvorfor noe betyr noe — ikke bare flagge at det kan.

Det betyr at vi kan gi nasjonale forsvarere hva de sjelden får:

  • Øyeblikkelig omvendt-injektor-innsikt i mistenkte filer… alle av dem. Vi tvinger angripere inn i en tap-tap-situasjon: Enten være identisk med “godt-ware”, eller være unik og bli fanget. Det er ingen midt-vei, og vi utnytter det.
  • Kontekst-rike svar om intensjon, funksjon og relasjoner
  • Variant-bevisst deteksjon som ikke bryter når motstandere pakker om eller omdøper sin malware. Faktisk, jo mer motstandere pakker, jo mer står de ut!

AI brukes hastig av leverandører for å automatisere hva som alltid har blitt gjort. Vi bruker AI for å løse problemer på den måten de burde ha blitt løst fra begynnelsen, men vi hadde aldri teknologien til å gjøre det.

Vi tenker allerede som motparten. Våre modeller er trent for å dissekere, tilskrive og vippe. Det er akkurat hva føderale byråer trenger — ikke bare flere varslinger, men evnen til å forstå og respondere før den neste kampanjen treffer.

Sikkerhetsteam er ofte overveldet av varslinger og falske positiver. Hvordan hjelper Stairwell å redusere støyen mens de fortsatt avdekker de mest kritiske truslene?

Stairwell hjelper sikkerhetsteam å operasjonalisere deres trussel-intelligens. En av de hardeste delene av sikkerhet er å finne ut hvilke endepunkter som er infisert med malware. Stairwell identifiserer disse enhetene på sekunder. Stairwell Intelligent Analyse, vår AI-drevne funksjon, gjør fil-triage enkelt. Mens vår Run-to-Ground-kapasitet bruker prevalensen av filer innen din bedrift og over alle bedrifter for å gjøre målrettede malware nesten umulig å operere.

Angripere er stadig i å bruke AI for å skape mer evasive og konstant utviklende trusler. Hvordan hjelper Stairwell forsvarere å holde pace med denne skiftningen i offensiv teknik?

I en verden hvor AI kan brukes til å enkelt skape ‘zero-day’-malware som ingen har sett før, er sikkerhets-tilnærmingene testet. Tradisjonelle verktøy som EDRs, som bruker signaturer og atferdsmessige signatur-tilnærminger, er blinde for ny malware. Stairwell analyserer hva filen er skrevet for å gjøre. Stairwell er godt posisjonert for å finne aldri sett før malware skapt av AI fordi det bruker fil-analyse og datasøk-teknikker for å etterforske.

Hva er den vanligste misforståelsen sikkerhetsledere har om sin trussel-postur — og hvordan hjelper Stairwell å lukke denne gapen?

Verden har akseptert forestillingen om at EDRs er perfekte. Virkeligheten er at de gir en falsk følelse av sikkerhet. Uheldigvis avhenger EDRs av atferdsmessige signaturer og må oppdateres hver dag. Deres svakhet er at de ikke analyserer filene på hver enkelt enhet, hver dag. Stairwell er neste generasjons sikkerhet som bruker signal-intelligens, inkludert din bedrifts filer, for å bringe en datasøk-tilnærming til sikkerhet for å etterforske malware på sekunder.

Til slutt, hvordan definerer du suksess — ikke bare i forretningsmessige termer, men i termer av påvirkning på forsvarere og sikkerhets-samfunnet som helhet?

Suksess kan være mange ting, men det er ingenting bedre enn å få en telefon fra en kunde som sier at Stairwell fant en malware på en enhet, eller USB, som EDR eller andre sikkerhets-verktøy gikk glipp av og forhindret malware fra å bli overført til et annet system.

Takk for det flotte intervjuet, lesere som ønsker å lære mer kan besøke Stairwell.

mm

Antoine er en visjonær leder og grunnleggende partner i Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En seriegründer, han tror at AI vil være like disruptiv for samfunnet som elektrisitet, og blir ofte tatt i å tale om potensialet for disruptiv teknologi og AGI.
Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnleggeren av Securities.io, en plattform som fokuserer på å investere i banebrytende teknologier som omdefinerer fremtiden og omformer hele sektorer.