Conectează-te cu noi

interviuri

Kara Sprague, CEO al HackerOne – Serie de interviuri

mm
Publicat

Kara Sprague, CEO al HackerOne, este un director executiv veteran în domeniul tehnologiei, cu peste două decenii de experiență în leadership de produs, management general și consultanță strategică în sectoarele software și de securitate. A preluat rolul de CEO în noiembrie 2024, după ce a ocupat funcții de conducere la F5, inclusiv vicepreședinte executiv și director de produs, unde a condus inițiative majore de produs și platformă, precum și roluri anterioare de manager general, supraveghind afaceri la scară largă. Înainte de F5, a petrecut peste un deceniu ca partener la McKinsey & Company, oferind consultanță companiilor de tehnologie de top cu privire la creștere și strategie, și și-a început cariera ca membru al personalului tehnic la Oracle. Pe lângă rolul său la HackerOne, este, de asemenea, membru al consiliului de administrație al Trimble Inc.

HackerOne este o companie de securitate cibernetică cunoscută mai ales pentru inovația sa în domeniul securității bazate pe hackeri, conectând organizațiile cu o comunitate globală de hackeri etici pentru a identifica și remedia vulnerabilitățile înainte ca acestea să poată fi exploatate. Platforma sprijină întreprinderile și guvernele prin programe de recompensare a erorilor, dezvăluirea vulnerabilităților, testarea penetrării și serviciile de testare a securității care combină expertiza umană cu automatizarea și fluxurile de lucru bazate pe inteligență artificială. Prin trecerea securității de la un model reactiv la unul proactiv, HackerOne a devenit o parte esențială a stivei moderne de securitate a aplicațiilor pentru organizațiile care doresc să reducă riscurile și să îmbunătățească reziliența la scară largă.

Ați preluat rolul de CEO la HackerOne în noiembrie 2024, după decenii de conducere în cadrul F5, McKinsey, Oracle și alte organizații tehnologice majore. Ce v-a atras să acceptați această provocare în această etapă a carierei dumneavoastră și care au fost primele priorități pe care le-ați stabilit când ați început să conduceți compania?

Mi-am petrecut cariera la intersecția dintre tehnologie, strategie și risc, ajutând organizațiile să navigheze prin momente în care mizele sunt mari, iar mediul se schimbă rapid. Ceea ce m-a atras la HackerOne este faptul că ne aflăm exact în acel punct de inflexiune din nou, pe măsură ce inteligența artificială remodelează peisajul securității cibernetice.

Securitatea nu mai este o funcție administrativă - este un factor esențial al încrederii, rezilienței și vitezei afacerii. Întreprinderile operează acum pe sisteme profund interconectate, fluxuri constante de date și procese decizionale automatizate la o scară fără precedent. IA accelerează inovația, dar introduce și noi probleme, dependențe și moduri de defecțiune pe care modelele tradiționale de securitate nu erau concepute să le gestioneze.

De aceea, misiunea HackerOne contează atât de mult acum. Misiunea noastră este de a oferi lumii puterea de a construi un internet mai sigur, iar într-o lume condusă de inteligența artificială, această misiune nu a fost niciodată mai urgentă. HackerOne este diferit deoarece combinăm o comunitate globală de cercetători în domeniul securității umane cu inteligența platformelor pentru a găsi și remedia vulnerabilități înainte ca atacatorii să le poată exploata. Acest model de implicare umană nu este doar diferențiat - este esențial.

Încă din prima zi, m-am concentrat pe trei priorități: extinderea capacităților platformei noastre de agenți, investițiile în comunitatea noastră de cercetători și consolidarea încrederii cu clienții și partenerii. Aceasta înseamnă scalarea colaborării în echipele AI (Intelligent AI Red Team), evoluția Hai dintr-un copilot într-o echipă coordonată de agenți AI care ajută organizațiile să prioritizeze, să valideze și să remedieze continuu riscurile mai rapid și lansarea HackerOne Code pentru a securiza software-ul mai devreme în ciclul de dezvoltare. Astăzi, peste 90% dintre clienții noștri folosesc Hai pentru a-și accelera munca de validare și remediere a vulnerabilităților.

Peisajul evoluează rapid, dar obiectivul nostru este constant: să limităm riscul înainte ca acesta să te definească. La HackerOne, asta înseamnă să facem securitatea continuă, practică și concepută pentru ritmul inovației moderne.

HackerOne a înregistrat atât o creștere cu 200% a pentesting-ului și a red teaming-ului bazat pe inteligență artificială, cât și o schimbare strategică către gestionarea continuă a expunerii la amenințări. Cum vă remodelează aceste tendințe viziunea pe termen lung pentru companie și ce semnalează acest impuls despre viitorul securității întreprinderilor?

Ceea ce vedem nu este o creștere bruscă, ci o resetare. O creștere de 200% a pentesting-ului și a red teaming-ului bazat pe inteligență artificială confirmă faptul că securitatea la un moment dat pur și simplu nu poate ține pasul cu viteza cu care se schimbă întreprinderile moderne.

Această realitate ne modelează viziunea pe termen lung privind gestionarea continuă a expunerii la amenințări pe întregul ciclu de viață - de la cod și cloud până la sistemele de inteligență artificială. Pe măsură ce inteligența artificială accelerează atât inovația, cât și viteza de atac, provocarea nu constă în găsirea vulnerabilităților; ci în demonstrarea a ceea ce este exploatabil, prioritizarea a ceea ce contează cel mai mult și remedierea rapidă a acestora. Construim o platformă care combină testarea continuă, validarea autonomă, prioritizarea inteligentă și expertiza umană pentru a face exact acest lucru.

Pentru liderii companiilor, semnalul este clar: securitatea devine o disciplină de afaceri continuă, nu un audit periodic. Companiile care vor avea performanțe mai bune vor fi cele care identifică riscurile mai devreme, acționează mai rapid și controlează expunerea înainte ca aceasta să devină o problemă de afaceri. Această schimbare definește viitorul securității companiilor.

Cum se integrează sistemul dumneavoastră de inteligență artificială, Hai, în fluxul de lucru pentru descoperirea vulnerabilităților și unde oferă cel mai mare avantaj cercetătorilor și clienților?

Hai este o echipă coordonată de agenți de inteligență artificială, integrați direct în fluxul de lucru pentru gestionarea vulnerabilităților, care analizează și contextualizează continuu constatările, ajutând organizațiile să prioritizeze, să valideze și să remedieze riscurile mai rapid. Aceasta operează pe tot parcursul ciclului de viață al unui raport, acționând ca un multiplicator de forță pentru apărători, pe măsură ce volumele cresc și amenințările devin mai complexe.

Hai oferă cel mai mare avantaj prin eliminarea zgomotului. Îmbunătățește triajul și înțelegerea prin rezumarea rapoartelor, identificarea tiparelor, validarea constatărilor și evidențierea problemelor cele mai importante. Studiile noastre arată că 20% dintre utilizatori economisesc între 6 și 10 ore în fiecare săptămână, scurtând semnificativ calea de la detectare la remedierea în siguranță.

Cercetătorii beneficiază și ei. Cu mai mult de jumătate dintre ei folosesc acum inteligența artificială sau automatizarea în munca lorHai îi ajută să producă dovezi de concept mai solide, explicații mai clare și o validare mai consistentă.

Ce noi categorii de vulnerabilități au apărut în ultimul an, pe măsură ce companiile adoptă IA mai agresiv în toate programele lor software?

Pe măsură ce inteligența artificială (IA) este integrată în produse și fluxuri de lucru, observăm apariția unor noi categorii de vulnerabilități la o scară semnificativă. În cel mai recent Raport al nostru privind securitatea bazată pe hackeri, rapoartele valide privind vulnerabilitățile IA au crescut cu 210% de la an la an, iar aproape 80% dintre CISO includ acum active IA în sfera de testare a securității. Injectarea promptă a fost cea mai vizibilă. crescând cu mai mult de jumătate de an față de anul precedentși rămâne una dintre cele mai comune modalități prin care atacatorii influențează comportamentul modelelor. De asemenea, observăm o creștere a manipulării modelelor, a gestionării nesigure a ieșirilor, a otrăvirii datelor și a slăbiciunilor legate de datele de antrenament și de gestionarea răspunsurilor.

Ceea ce face ca aceste riscuri să fie deosebit de importante este faptul că nu afectează doar sistemele - ci influențează deciziile, fluxurile de lucru și încrederea clienților. IA introduce căi de eroare pe care testarea tradițională nu le acoperă pe deplin. Pe măsură ce aceste sisteme sunt implementate în producție și devin mai critice din punct de vedere operațional, testarea dedicată și continuă a securității prin IA va deveni din ce în ce mai centrală pentru programele de securitate ale întreprinderilor.

Abordarea noastră combină automatizarea bazată pe inteligență artificială pentru a scala descoperirea și detectarea tiparelor cu expertiza umană pentru a descoperi erori subtile, puncte slabe noi și impactul în lumea reală - permițând apărătorilor să opereze la aceeași viteză și scară ca atacatorii.

Pe măsură ce comunitatea globală a cercetătorilor se extinde, cum vă mențineți încrederea, calitatea și corectitudinea, promovând în același timp angajamentele față de diversitate și incluziune într-un ecosistem atât de vast, alimentat de public?

Încrederea este fundamentul unui model de securitate bazat pe participarea publicului și trebuie construită în mod deliberat pe măsură ce comunitatea se extinde. Pentru noi, acest lucru începe cu standarde clare, stimulente consecvente și o guvernanță puternică.

Comunitatea noastră este formată din cercetători în domeniul securității verificați care colaborează cu clienții pentru a identifica, valida și ajuta la remedierea vulnerabilităților din lumea reală într-o gamă largă de tehnologii.

Menținem calitatea și corectitudinea combinând inteligența platformei cu supravegherea umană — validând descoperirile, aplicând reguli uniforme de angajare și recompensând cercetătorii în funcție de impact, nu de experiență, geografie sau vechime. Sistemele de reputație, triajul transparent și modelele de plată consecvente creează responsabilitate de ambele părți ale pieței.

Suntem profund investiți în succesul cercetătorilor. Prin integrare, instruire și căi de creștere clare, ajutăm noii cercetători să își dezvolte abilitățile și credibilitatea. În ultimii șase ani, 50 de cercetători au câștigat peste 1 milion de dolari fiecare pe platforma noastră — un semnal puternic atât al calibrului lucrării, cât și al corectitudinii modelului.

Diversitatea și incluziunea nu sunt inițiative separate; ele sunt esențiale pentru puterea ecosistemului. Provocările de securitate sunt globale, iar perspective diverse scot la iveală diferite căi de atac și puncte slabe. Rezultatul este o comunitate de încredere și performantă, care devine mai puternică - nu mai fragmentată - pe măsură ce crește.

Ce măsuri de siguranță a implementat HackerOne pentru a se asigura că descoperirea vulnerabilităților asistată de inteligență artificială rămâne responsabilă și evită prejudecățile sau utilizarea necorespunzătoare?

Pe platforma noastră, agenții IA sunt concepuți pentru a îmbunătăți claritatea, a valida constatările și a accelera remedierea - în timp ce oamenii rămân responsabili pentru deciziile privind acceptarea, severitatea și răspunsul.

Ne menținem aceleași standarde pe care le așteptăm de la clienți. Folosim intern capacitățile noastre de inteligență artificială, le testăm continuu în fluxuri de lucru reale și recompensăm comunitatea noastră de cercetători pentru identificarea vulnerabilităților cu impact ridicat în propriile noastre soluții. Acest lucru creează o buclă strânsă de feedback pentru a scoate la iveală din timp prejudecăți, inconsecvențe sau utilizări greșite.

Pe măsură ce inteligența artificială devine tot mai integrată în operațiunile de securitate, obiectivul nostru este de a stabili un standard în care echipele să poată avea încredere - bazat pe transparență, testare continuă și responsabilitate umană.

O creștere cu 120% a numărului de vulnerabilități descoperite și a recompenselor sugerează schimbări majore în peisajul amenințărilor. Interpretați acest lucru ca un progres în detectare sau ca un semn că software-ul pentru întreprinderi devine mai riscant?

Sunt ambele - și acesta este scopul.

Creșterea reflectă un progres real în detectare. Cercetătorii descoperă puncte slabe mai concrete și de înaltă calitate, iar recompensele sporite arată că întreprinderile apreciază scoaterea la iveală și remedierea riscurilor reale. Mai multe descoperiri nu înseamnă automat că software-ul este mai riscant - ci înseamnă că expunerea este în sfârșit vizibilă.

În același timp, software-ul pentru întreprinderi devine din ce în ce mai complex și mai interconectat. Inteligența artificială, dependențele de terți și ciclurile de lansare mai rapide extind suprafața de atac mai rapid decât erau concepute controalele tradiționale pentru a le gestiona.

Concluzia este simplă: riscul este dinamic, iar securitatea trebuie să fie la fel. Cele mai rezistente organizații presupun că expunerea este inevitabilă și se concentrează neobosit pe remedierea a ceea ce contează cu adevărat.

Care considerați că este cea mai mare provocare pentru platformele de securitate crowdsourcing în următorii ani, pe măsură ce inteligența artificială devine mai capabilă?

Cea mai mare provocare în orice platformă de securitate este menținerea semnalului și a încrederii pe măsură ce viteza și scalarea cresc.

Pe măsură ce inteligența artificială reduce bariera în calea descoperirii, platformele vor înregistra o creștere a volumului de descoperiri provenite din fluxurile de lucru automatizate și hibride. Riscul nu constă în numărul prea mic de descoperiri - ci în zgomotul care copleșește clienții și în stimulentele nealiniate care erodează încrederea.

Platformele care vor avea succes vor fi cele care validează exploatabilitatea, prioritizează impactul și aliniază recompensele cu rezultatele - menținând în același timp o guvernanță puternică și o responsabilitate umană. Viitorul nu înseamnă să găsești mai multe probleme; ci să le găsești mai rapid pe cele potrivite și să transformi informațiile în acțiuni înainte ca problemele de business să poată apărea.

Vă imaginați că HackerOne se va extinde dincolo de descoperirea vulnerabilităților în domenii precum monitorizarea continuă, remedierea bazată pe inteligență artificială sau modelarea predictivă a amenințărilor?

Ne concentrăm pe rezolvarea problemei principale cu care se confruntă întreprinderile: înțelegerea și limitarea riscurilor reale în medii în continuă schimbare.

Asta înseamnă, în mod firesc, să trecem dincolo de descoperirea la un moment dat. Operăm deja pe tot parcursul ciclului de viață al expunerii, de la cod și colaborarea cu inteligența artificială (AI), până la validare și prioritizare, și vom continua să investim în capabilități care să ajute clienții să identifice expunerea mai devreme, să înțeleagă impactul mai rapid și să conducă remedierea până la închidere.

Inteligența artificială joacă un rol central în această evoluție — în special în prioritizare și accelerarea fluxului de lucru — dar întotdeauna cu responsabilitatea umană în centru. Steaua noastră polară este securitatea continuă și practică, care ține pasul cu inovația modernă.

Pe măsură ce adversarii adoptă din ce în ce mai mult inteligența artificială, cum intenționează HackerOne să rămână cu un pas înainte și să se asigure că instrumentele defensive evoluează la fel de rapid?

Ne menținem cu un pas înaintea adversarilor noștri operând acolo unde apar atacuri reale. Comunitatea noastră globală de cercetători testează deja tehnici bazate pe inteligență artificială în medii reale, oferindu-ne o vizibilitate timpurie asupra modului în care operează adversarii în realitate.

Combinăm această perspectivă umană cu automatizarea bazată pe inteligență artificială pentru a scala descoperirea, validarea, prioritizarea și remedierea problemelor. La fel de important, testăm continuu propria noastră platformă folosind aceleași abordări de tip „red teaming” bazate pe inteligență artificială pe care le oferim clienților.

Scopul nu este de a prezice fiecare atac nou, ci de a construi un sistem care învață mai repede decât atacatorii. Așa reușesc instrumentele defensive să țină pasul într-un peisaj al amenințărilor condus de inteligența artificială.

Vă mulțumesc pentru interviul excelent - cititorii care doresc să afle mai multe despre modul în care compania utilizează expertiza umană și securitatea bazată pe inteligență artificială pentru a ajuta organizațiile să identifice și să limiteze riscurile din lumea reală înainte ca acestea să devină o problemă de afaceri pot vizita HackerOne.

Subiecte asemănătoare:
mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintită pentru modelarea și promovarea viitorului AI și al roboticii. Un antreprenor în serie, el crede că AI va perturba societatea la fel de mult ca electricitatea și este adesea surprins încântător de potențialul tehnologiilor disruptive și AGI.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă oră care redefinesc viitorul și remodelează sectoare întregi.