Connect with us

Carl Froggett, CIO da Deep Instinct – Série de Entrevistas

Entrevistas

Carl Froggett, CIO da Deep Instinct – Série de Entrevistas

mm
Published
Updated

Carl Froggett, é o Diretor de Informação (CIO) da Deep Instinct, uma empresa fundada em uma premissa simples: que o aprendizado profundo, um subconjunto avançado de IA, poderia ser aplicado à cibersegurança para prevenir mais ameaças, mais rapidamente.

O Sr. Froggett tem um histórico comprovado em construir equipes, arquitetura de sistemas, implementação de software de empresa em larga escala, bem como alinhar processos e ferramentas com requisitos de negócios. Froggett foi anteriormente Chefe de Defesa de Infraestrutura Global, CISO Cyber Security Services na Citi.

Sua formação é na indústria financeira, poderia compartilhar sua história de como você então transitou para a cibersegurança?

Eu comecei a trabalhar em cibersegurança no final dos anos 90, quando estava na Citi, transitando de um papel de TI. Eu rapidamente me movi para uma posição de liderança, aplicando minha experiência em operações de TI ao mundo evoluindo e desafiador da cibersegurança. Trabalhando em cibersegurança, eu tive a oportunidade de me concentrar na inovação, enquanto também implantava e executava soluções de tecnologia e cibersegurança para várias necessidades de negócios. Durante meu tempo na Citi, minhas responsabilidades incluíam inovação, engenharia, entrega e operações de plataformas globais para os negócios e clientes da Citi em todo o mundo.

Você fez parte da Citi por mais de 25 anos e passou muito desse tempo liderando equipes responsáveis por estratégias de segurança e aspectos de engenharia. O que o atraiu para se juntar à startup Deep Instinct?

Eu me juntei à Deep Instinct porque eu queria assumir um novo desafio e usar minha experiência de uma maneira diferente. Por 15+ anos, eu estive fortemente envolvido em startups de cibersegurança e empresas de FinTech, mentorando e crescendo equipes para apoiar o crescimento dos negócios, levando algumas empresas até o IPO. Eu estava familiarizado com a Deep Instinct e vi sua tecnologia de aprendizado profundo (DL) única e disruptiva produzir resultados que nenhum outro fornecedor poderia. Eu queria fazer parte de algo que iria iniciar uma nova era de proteção de empresas contra as ameaças maliciosas que enfrentamos todos os dias.

Pode discutir por que a aplicação da Deep Instinct do aprendizado profundo à cibersegurança é um jogo mudador?

Quando a Deep Instinct foi inicialmente formada, a empresa estabeleceu um objetivo ambicioso de revolucionar a indústria de cibersegurança, introduzindo uma filosofia de prevenção em primeiro lugar, em vez de estar na posição de “detectar, responder, conter”. Com o aumento dos ciberataques, como ransomware, explorações de zero-day e outras ameaças nunca antes vistas, o modelo de segurança reativo não está funcionando. Agora, à medida que continuamos a ver ameaças aumentarem em volume e velocidade devido à IA geradora, e à medida que os atacantes reinventam, inovam e evadem controles existentes, as organizações precisam de uma capacidade preditiva e preventiva para ficar um passo à frente dos atores maliciosos.

A IA adversária está em ascensão, com atacantes aproveitando WormGPT, FraudGPT, mutação de malware e mais. Entramos em um momento crucial, que exige que as organizações lutassem contra a IA com a IA. Mas nem toda IA é criada igual. Defender contra a IA adversária requer soluções que sejam impulsionadas por uma forma mais sofisticada de IA, nomeadamente, o aprendizado profundo (DL). A maioria das ferramentas de cibersegurança aproveita modelos de aprendizado de máquina (ML) que apresentam várias limitações para as equipes de segurança quando se trata de prevenir ameaças. Por exemplo, essas ofertas são treinadas em subconjuntos limitados de dados disponíveis (tipicamente 2-5%), oferecem apenas 50-70% de precisão com ameaças desconhecidas e introduzem muitos falsos positivos. As soluções de ML também requerem intervenção humana pesada e são treinadas em conjuntos de dados pequenos, expostas a vieses e erros humanos. Elas são lentas e não responsivas, mesmo no endpoint, deixando ameaças persistirem até que sejam executadas, em vez de lidar com elas enquanto estão dormentes. O que torna o DL eficaz é sua capacidade de autoaprendizado à medida que ingere dados e trabalha autonomamente para identificar, detectar e prevenir ameaças complicadas.

O DL permite que os líderes mudem de uma mentalidade tradicional de “assumir violação” para uma abordagem de prevenção preditiva para combater malware gerado por IA de forma eficaz. Essa abordagem ajuda a identificar e mitigar ameaças antes que elas aconteçam. Ela entrega uma taxa de eficácia extremamente alta contra malware conhecido e desconhecido e uma taxa de falsos positivos extremamente baixa em comparação com soluções baseadas em ML.

O núcleo do DL só requer uma atualização uma ou duas vezes por ano para manter essa eficácia e, à medida que opera de forma independente, não requer buscas constantes na nuvem ou compartilhamento de inteligência. Isso a torna extremamente rápida e amigável à privacidade.

Como o aprendizado profundo consegue prevenir preditivamente malware desconhecido que nunca foi encontrado anteriormente?

O malware desconhecido é criado de várias maneiras. Um método comum é alterar o hash no arquivo, o que pode ser tão pequeno quanto anexar um byte. Soluções de segurança de endpoint que confiam em listas de hashes negros são vulneráveis a essas “mutações” porque as assinaturas de hash existentes não corresponderão aos hashes dessas novas mutações. O empacotamento é outra técnica na qual arquivos binários são empacotados com um empacotador que fornece uma camada genérica no arquivo original — pense nisso como uma máscara. Novas variantes também são criadas modificando o malware binário original. Isso é feito nas características que os fornecedores de segurança podem assinar, começando com strings codificadas, nomes de domínio/IP de servidores C&C, chaves de registro, caminhos de arquivo, metadados ou até mesmo mutexes, certificados, offsets, bem como extensões de arquivo correlacionadas aos arquivos criptografados pelo ransomware. O código ou partes do código também podem ser alterados ou adicionados, o que evita técnicas de detecção tradicionais.

O DL é construído em uma rede neural e usa seu “cérebro” para treinar-se continuamente em dados brutos. Um ponto importante aqui é que o treinamento do DL consome todos os dados disponíveis, sem intervenção humana no treinamento — uma razão pela qual é tão preciso. Isso leva a uma taxa de eficácia muito alta e uma taxa de falsos positivos muito baixa, tornando-a hiper resistente a ameaças desconhecidas. Com nossa estrutura de DL, não confiamos em assinaturas ou padrões, então nossa plataforma é imune a modificações de hash. Também classificamos com sucesso arquivos empacotados — seja usando os simples e conhecidos, ou até mesmo FUDs.

Durante a fase de treinamento, adicionamos “ruído”, que altera os dados brutos dos arquivos que alimentamos em nosso algoritmo, para gerar automaticamente “mutações” leves, que são alimentadas em cada ciclo de treinamento durante nossa fase de treinamento. Essa abordagem torna nossa plataforma resistente a modificações aplicadas às variantes de malware desconhecidas, como strings ou até mesmo polimorfismo.

Uma mentalidade de prevenção em primeiro lugar é frequentemente a chave para a cibersegurança, como a Deep Instinct se concentra em prevenir ciberataques?

Os dados são a vida de todas as organizações e protegê-los deve ser primordial. Tudo o que é necessário é um arquivo malicioso para ser violado. Por anos, “assumir violação” tem sido a mentalidade de segurança de fato, aceitando a inevitabilidade de que os dados serão acessados por atores ameaçadores. No entanto, essa mentalidade e as ferramentas baseadas nessa mentalidade falharam em fornecer segurança de dados adequada, e os atacantes estão tirando proveito dessa abordagem passiva. Nossa pesquisa recente encontrou que houve mais incidentes de ransomware no primeiro semestre de 2023 do que em todo o ano de 2022. Abordar efetivamente esse panorama de ameaças em mudança não requer apenas uma mudança de mentalidade de “assumir violação”: significa que as empresas precisam de uma abordagem e um arsenal de medidas preventivas completamente novos. A ameaça é nova e desconhecida, e é rápida, é por isso que vemos esses resultados em incidentes de ransomware. Assim como as assinaturas não conseguiam acompanhar o panorama de ameaças em mudança, nem pode qualquer solução baseada em ML.

Na Deep Instinct, estamos aproveitando o poder do DL para fornecer uma abordagem de prevenção em primeiro lugar para a segurança de dados. A Plataforma de Prevenção Preditiva da Deep Instinct é a primeira e única solução baseada em nossa estrutura de DL única, projetada especificamente para cibersegurança. É a solução de cibersegurança mais eficiente, eficaz e confiável do mercado, prevenindo >99% de ameaças de zero-day, ransomware e outras ameaças desconhecidas em <20 milissegundos com a taxa de falsos positivos mais baixa da indústria (<0,1%). Já aplicamos nossa estrutura de DL única para proteger aplicações e endpoints, e mais recentemente estendemos as capacidades para proteção de armazenamento com o lançamento da Prevenção para Armazenamento da Deep Instinct.

Uma mudança para a prevenção preditiva para a segurança de dados é necessária para ficar à frente das vulnerabilidades, limitar falsos positivos e aliviar o estresse das equipes de segurança. Estamos à frente dessa missão e ela está começando a ganhar tração, à medida que mais fornecedores legados agora estão anunciando capacidades de prevenção em primeiro lugar.

Pode discutir que tipo de dados de treinamento é usado para treinar seus modelos?

Como outros modelos de IA e ML, nosso modelo treina em dados. O que torna nosso modelo único é que ele não precisa de dados ou arquivos dos clientes para aprender e crescer. Esse aspecto de privacidade único dá aos nossos clientes um sentido adicional de segurança ao implantar nossas soluções. Nós nos inscrevemos em mais de 50 feeds que baixamos arquivos para treinar nosso modelo. A partir daí, validamos e classificamos os dados nós mesmos com algoritmos que desenvolvemos internamente.

Devido a esse modelo de treinamento, nós apenas precisamos criar 2-3 novos “cérebros” por ano, em média. Esses novos cérebros são implantados de forma independente, reduzindo significativamente qualquer impacto operacional nos nossos clientes. Isso também não requer atualizações constantes para acompanhar o panorama de ameaças em evolução. Essa é a vantagem da plataforma ser impulsionada pelo DL e nos permite fornecer uma abordagem proativa e de prevenção em primeiro lugar, enquanto outras soluções que aproveitam a IA e o ML fornecem capacidades reativas.

Uma vez que o repositório esteja pronto, construímos conjuntos de dados usando todos os tipos de arquivos com classificações maliciosas e benignas, juntamente com outros metadados. A partir daí, treinamos um cérebro em todos os dados disponíveis — não descartamos nenhum dado durante o processo de treinamento, o que contribui para taxas de falsos positivos baixas e uma taxa de eficácia alta. Esses dados continuam aprendendo sozinhos sem nossa entrada. Nós ajustamos os resultados para ensinar o cérebro e, em seguida, ele continua aprendendo. É muito semelhante a como um cérebro humano funciona e como aprendemos — quanto mais somos ensinados, mais precisos e inteligentes nos tornamos. No entanto, somos extremamente cuidadosos para evitar o sobreajuste, para manter nosso cérebro de DL de memorizar os dados em vez de aprender e entendê-los.

Uma vez que temos um nível de eficácia extremamente alto, criamos um modelo de inferência que é implantado nos clientes. Quando o modelo é implantado nessa etapa, ele não pode aprender coisas novas. No entanto, ele tem a capacidade de interagir com novos dados e ameaças desconhecidas e determinar se elas são maliciosas. Basicamente, ele toma uma decisão de “zero day” em tudo o que vê.

A Deep Instinct é executada em um ambiente de contêiner do cliente, por que isso é importante?

Uma de nossas soluções de plataforma, Prevenção de Aplicativos da Deep Instinct (DPA), oferece a capacidade de aproveitar nossas capacidades de DL por meio de uma interface de API/iCAP. Essa flexibilidade permite que as organizações incorporem nossas capacidades revolucionárias dentro de aplicações e infraestrutura, o que significa que podemos expandir nosso alcance para prevenir ameaças usando uma estratégia de defesa em profundidade de cibersegurança. Isso é um diferenciador único. O DPA é executado em um contêiner (que fornecemos) e se alinha com as estratégias de modernização digitais que nossos clientes estão implementando, como migrar para ambientes de contêiner on-premises ou na nuvem para suas aplicações e serviços. Geralmente, esses clientes também estão adotando uma abordagem “shift left” com DevOps. Nosso modelo de serviço orientado a API complementa isso, permitindo o desenvolvimento e os serviços ágeis para prevenir ameaças.

Com essa abordagem, a Deep Instinct se integra perfeitamente à estratégia de tecnologia de uma organização, aproveitando os serviços existentes sem novos hardware ou preocupações logísticas e sem novo overhead operacional, o que leva a um TCO muito baixo. Nós aproveitamos todos os benefícios que os contêineres oferecem, incluindo escalabilidade automática em massa, resiliência, baixa latência e atualizações fáceis. Isso permite uma estratégia de cibersegurança de prevenção em primeiro lugar, incorporando a prevenção de ameaças em aplicações e infraestrutura em larga escala, com eficiências que soluções legadas não podem alcançar. Devido às características do DL, temos a vantagem de baixa latência, alta eficácia/baixa taxa de falsos positivos, combinada com ser sensível à privacidade — nenhum arquivo ou dado jamais deixa o contêiner, que está sempre sob o controle do cliente. Nosso produto não precisa compartilhar com a nuvem, fazer análises ou compartilhar arquivos/dados, o que o torna único em comparação com qualquer produto existente.

IA geradora oferece o potencial de escalar ciberataques, como a Deep Instinct mantém a velocidade necessária para desviar desses ataques?

Nossa estrutura de DL é construída em redes neurais, então seu “cérebro” continua aprendendo e treinando-se em dados brutos. A velocidade e precisão com que nossa estrutura opera são o resultado do cérebro ser treinado em centenas de milhões de amostras. À medida que esses conjuntos de dados de treinamento crescem, a rede neural continua se tornando mais inteligente, permitindo que ela seja muito mais granular ao entender o que torna um arquivo malicioso. Porque ela pode reconhecer os blocos de construção de arquivos maliciosos em um nível mais detalhado do que qualquer outra solução, o DL para ameaças conhecidas, desconhecidas e de zero-day com melhor precisão e velocidade do que outros produtos de cibersegurança estabelecidos. Isso, combinado com o fato de que nosso “cérebro” não requer análises ou buscas na nuvem, o torna único. O ML por si só nunca foi bom o suficiente, é por isso que temos análises na nuvem para apoiar o ML — mas isso o torna lento e reativo. O DL simplesmente não tem essa limitação.

Quais são algumas das maiores ameaças que são amplificadas com a IA geradora que as empresas devem ter em mente?

Os e-mails de phishing se tornaram muito mais sofisticados graças à evolução da IA. Anteriormente, os e-mails de phishing eram tipicamente fáceis de identificar, pois estavam geralmente repletos de erros gramaticais. Mas agora, os atacantes estão usando ferramentas como o ChatGPT para criar e-mails mais aprofundados e gramaticalmente corretos em uma variedade de idiomas, que são mais difíceis para os filtros de spam e os leitores capturarem.

Outro exemplo são os deepfakes, que se tornaram muito mais realistas e convincentes devido à sofisticação da IA. As ferramentas de áudio IA também estão sendo usadas para simular as vozes de executivos dentro de uma empresa, deixando mensagens de voz fraudulentas para os funcionários.

Como mencionado anteriormente, os atacantes estão usando a IA para criar malware desconhecido que pode modificar seu comportamento para bypassar soluções de segurança, evadir detecção e se espalhar mais eficazmente. Os atacantes continuarão a aproveitar a IA, não apenas para construir malware novo, sofisticado, único e anteriormente desconhecido, que pode bypassar soluções existentes, mas também para automatizar a “cadeia de ataque” de ponta a ponta. Fazer isso reduzirá significativamente seus custos, aumentará sua escala e, ao mesmo tempo, resultará em campanhas de ataque mais sofisticadas e bem-sucedidas. A indústria de cibersegurança precisa repensar as soluções, treinamento e programas de conscientização que confiamos nos últimos 15 anos. Como podemos ver nas violações deste ano apenas, eles já estão falhando, e vai piorar.

Poderia resumir brevemente os tipos de soluções que a Deep Instinct oferece quando se trata de soluções de aplicativos, endpoints e armazenamento?

A Plataforma de Prevenção Preditiva da Deep Instinct é a primeira e única solução baseada em uma estrutura de DL única, projetada especificamente para resolver os desafios de cibersegurança de hoje — nomeadamente, prevenir ameaças antes que elas possam ser executadas e aterrissar em seu ambiente. A plataforma tem três pilares:

  1. Agentless, em um ambiente de contêiner, conectado via API ou ICAP: A Prevenção de Aplicativos da Deep Instinct é uma solução agentless que previne ransomware, ameaças de zero-day e outras ameaças maliciosas desconhecidas antes que elas atinjam suas aplicações, sem impactar a experiência do usuário.
  2. Baseado em agente no endpoint: A Prevenção de Endpoints da Deep Instinct é uma plataforma de prevenção de ameaças de pré-execução autônoma — não na execução como a maioria das soluções de hoje. Ou pode fornecer uma camada real de prevenção de ameaças para complementar qualquer solução de EDR existente. Ela previne ameaças conhecidas e desconhecidas, de zero-day e ransomware, pré-execução, antes de qualquer atividade maliciosa, reduzindo significativamente o volume de alertas e reduzindo falsos positivos, para que as equipes de SOC possam se concentrar exclusivamente em ameaças legítimas e de alta fidelidade.
  3. Uma abordagem de prevenção em primeiro lugar para a proteção de armazenamento: A Prevenção para Armazenamento da Deep Instinct oferece uma abordagem de prevenção preditiva para parar ransomware, ameaças de zero-day e outras ameaças maliciosas desconhecidas de infiltrar ambientes de armazenamento — seja os dados armazenados on-prem ou na nuvem. Fornecendo uma solução rápida e extremamente eficaz no armazenamento centralizado para os clientes, evita que o armazenamento se torne um ponto de propagação e distribuição para quaisquer ameaças.

Obrigado pela grande revisão, leitores que desejam aprender mais devem visitar Deep Instinct.

mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.