Интервью
Эшли Роуз, Основатель и Генеральный Директор Living Security – Серия Интервью
Эшли Роуз, Основатель и Генеральный Директор Living Security, является серийным предпринимателем и инноватором в области кибербезопасности, который фокусируется на переопределении того, как организации решают проблемы человеческого риска в безопасности. С момента основания компании в 2017 году она возглавляла разработку данных, ориентированного на поведение подхода к кибербезопасности, который выходит за рамки традиционного обучения осведомленности и переходит к измеримому снижению риска и культурным изменениям. Основываясь на ее опыте в области руководства продуктом и предпринимательства, она помогла масштабировать Living Security в быстро растущую платформу SaaS, используемую организациями предприятий, а также вносит свой вклад в более широкую экосистему кибербезопасности в качестве наставника, советника и защитника инициатив, таких как Женщины в кибербезопасности.
Living Security является компанией по кибербезопасности SaaS, которая фокусируется на Управлении Человеческим Риском, giúpая организациям выявлять, измерять и снижать риски, связанные с поведением сотрудников. Ее платформа агрегирует поведенческие, идентификационные и угрозные данные, чтобы определить пользователей с высоким риском и предоставить целевое, реальное обучение и вмешательства, предназначенные для предотвращения нарушений до их возникновения. Объединяя аналитику, автоматизацию и увлекательные методы обучения, такие как симуляции и игровые trải nghiệm, компания позволяет предприятиям перейти от соблюдения требований безопасности к проактивному, измеримому снижению риска на протяжении всего своего персонала.
Вы основали Living Security в 2017 году после раннего опыта построения и масштабирования потребительского продукта и работы в качестве владельца продукта. Какой конкретный момент или осознание привело вас к переходу в кибербезопасность и фокусу на человеческом риске, и как эта первоначальная тезис сохранилась, когда ИИ становится частью рабочей силы?
В 2017 году большинство организаций рассматривали обучение осведомленности о безопасности как упражнение по проверке, и это не меняло поведение. Переломным моментом было осознание того, что если человеческое поведение было причиной нарушений, ответ не мог заключаться в более забываемом обучении. Дрю Роуз, сооснователь Living Security, сам управлял программами безопасности и начал геймифицировать их, создавая ранние прототипы, которые стали кибербезопасными комнатами для побега. Мы увидели лично, что когда вы сделали безопасность опытной, люди взаимодействовали, учились и действительно меняли поведение. Это стало основой для Living Security.
Как сооснователи, Дрю и я быстро поняли, что вовлеченность была только началом. Когда мы масштабировали эти trải nghiệm в платформу, мы начали видеть закономерности в том, как люди вели себя, где они боролись и где риск был фактически концентрирован. Это раскрыло гораздо большее пробел: организации не имели реального понимания человеческого риска или того, как его снижать целевым образом. Это осознание привело нас к тому, чтобы стать пионерами в области Управления Человеческим Риском, которое заключается в выявлении, измерении и снижении риска на основе индивидуального поведения, доступа и угроз, а не просто предоставлении обучения. Когда ИИ становится неотъемлемой частью рабочей силы, эта первоначальная тезис расширилась: проблема больше не заключается только в человеческом поведении, но и в том, как люди и системы ИИ работают вместе. Люди все еще находятся в центре, теперь управляя и развертывая агентов ИИ, что означает, что вы должны расширить видимость на эти агенты и связать этот риск с отдельным человеком. Это то, что движет нашей эволюцией в направлении Безопасности Рабочей Силы.
Вы утверждали, что человеческая ошибка является неполным объяснением нарушений. Как организации должны переосмыслить риск рабочей силы сегодня, когда как человеческое поведение, так и действия, управляемые ИИ, способствуют поверхности атаки?
Формулирование нарушений как “человеческой ошибки” упрощает проблему и скрывает, откуда фактически исходит риск. Человеческий риск не только заключается в ошибках, он формируется комбинацией поведения, доступа и воздействия угроз. Некоторые сотрудники имеют привилегированный доступ к чувствительным системам, некоторые нацеливаются чаще, и некоторые демонстрируют более рискованное поведение, поэтому риск нарушений не равномерно распределен. Чтобы действительно понять риск, организации нуждаются в видимости того, где эти факторы пересекаются и где существует человеческий риск.
В результате организации должны выйти за рамки моделей, основанных на осведомленности, и переосмыслить риск рабочей силы как общую, операционную проблему, которая охватывает как человеческий риск, так и действия, управляемые ИИ. Это означает фокус на непрерывной видимости того, как выполняется работа, понимание того, где концентрируется риск, и применение целевых, реальных вмешательств на протяжении всей гибридной рабочей силы, а не рассматривать риск как изолированные ошибки пользователей.
Инструменты ИИ сейчас пишут код, обрабатывают рабочие процессы и даже принимают решения. В какой момент системы ИИ перестают быть инструментами и начинают рассматриваться как часть рабочей силы с точки зрения безопасности?
Системы ИИ перестают быть просто инструментами и начинают рассматриваться как часть рабочей силы в момент, когда они принимают действия внутри корпоративных сред. В этот момент они вводят риск таким же образом, как и сотрудники: через действия, которые они выполняют, разрешения, с которыми они работают, и данные, к которым они обращаются. Сдвиг для организаций заключается в том, чтобы признать, что агенты ИИ не являются просто слоями производительности – они операционные участники, и они должны быть управляемы, контролируемы и защищены наряду с человеческими пользователями в рамках единой модели риска рабочей силы.
Как организации должны подойти к управлению, когда риск больше не ограничивается сотрудниками, но распространяется на агенты ИИ, работающие с различными уровнями автономности и доступа?
Организации должны выйти за рамки политики, основанной на управлении, и рассматривать его как непрерывный, поведенческий процесс, который применяется как к людям, так и к агентам ИИ. Большинство организаций уже имеют политики ИИ на месте, но пробел заключается в обеспечении соблюдения и видимости, особенно когда сотрудники принимают инструменты за пределами санкционированных сред и системы ИИ работают с различными уровнями доступа.
Эффективное управление начинается с четкого определения допустимого использования на основе роли и доступа к данным, но оно также требует реального руководства, встроенного в рабочие процессы, и непрерывного измерения, чтобы организации могли видеть, где возникает риск, и адаптироваться. В конечном итоге, управление должно отражать, как работа фактически происходит сегодня: на протяжении всей гибридной рабочей силы, где и люди, и системы ИИ принимают решения, доступ к данным и вводят риск.
Living Security фокусировалась сильно на моделях безопасности, основанных на поведении. Как эта философия переводится, когда некоторые поведения теперь исходят от систем ИИ, а не от людей?
Поведенческий подход Living Security естественным образом распространяется на ИИ, поскольку фокус никогда не был только на том, кто создает риск, но на том, как риск вводится через действия. Будь то человек или система ИИ, риск проявляется в поведении, доступе к данным, действиях, которые выполняются внутри рабочих процессов, и принятии решений. Когда системы ИИ берут на себя больше операционной ответственности, та же модель применяется: организации нуждаются в видимости этих поведений, а также в способности руководить и вмешиваться в реальном времени.
Это то, что привело к разработке Livvy, интеллекта ИИ, который питает платформу Living Security – применение прогностического интеллекта и непрерывного мониторинга на протяжении как человеческой, так и деятельности ИИ. Вместо того, чтобы рассматривать ИИ как отдельный вызов, он позволяет более единой подход, где поведение, человеческое или машинное, непрерывно измеряется, руководится и управляется в рамках единой модели риска рабочей силы.
Многие организации все еще полагаются на периодическое обучение осведомленности о безопасности. Почему эта модель разрушается в современных средах, и какой вид имеет真正щий адаптивный, данных-ориентированный подход на практике?
Периодическое обучение осведомленности о безопасности разрушается, потому что оно было построено для статичной угрозы и предполагает, что риск может быть снижен через широкое образование. На самом деле, большинство инцидентов возникают из повседневных операционных поведений, а не из-за отсутствия обучения, и риск часто концентрируется среди небольшого подмножества пользователей. Более адаптивный, данных-ориентированный подход фокусируется на непрерывном выявлении того, где фактически существует риск, и предоставлении целевого, реального руководства в потоке работы – сдвигая фокус с завершения обучения на измеримое снижение риска.
Ваша платформа подчеркивает количественную оценку человеческого риска с использованием реальных данных. Какие наиболее важные сигналы организации должны отслеживать сегодня, чтобы понять риск динамически, а не ретроспективно?
Организации должны фокусироваться на поведении, идентификации и доступе, а также на воздействии угроз, сигналах, которые отражают, как риск создается и где он концентрируется на протяжении всей рабочей силы. Это теперь распространяется на ИИ, включая инструменты, которые сотрудники используют, доступ, который эти системы имеют, и то, как они настраиваются или запрашиваются. Сам по себе эти сигналы полезны, но реальная ценность заключается в том, как они объединяются, чтобы рассказать историю о риске.
Например, финансовый директор, который имеет доступ к финансовым системам, не использует МФА, использует инструменты ИИ, подключенные к чувствительным данным, и активно нацеливается фишинговыми кампаниями, представляет совершенно другой уровень риска, чем БДР с ограниченным доступом и более низким воздействием. Риск не только в том, что кто-то делает, но и в том, к чему у него есть доступ, системы, которые действуют от его имени, и как часто он нацеливается. Когда вы можете видеть эти факторы вместе, вы можете понять, где наиболее вероятно произойдет нарушение, и принять меры в реальном времени, будь то оповещение отдельного человека, ужесточение контроля или приоритизация вмешательства для этой группы.
ИИ создает новые уязвимости, но он также используется оборонительно. Где сдвигается баланс, и движемся ли мы к чисто положительному или чисто отрицательному влиянию на безопасность?
ИИ делает и то, и другое, расширяя поверхность атаки, а также улучшая, как организации обнаруживают и реагируют на риск. С одной стороны, он позволяет более сложным рабочим процессам и автономным действиям, которые могут ввести новые уязвимости; с другой стороны, он позволяет командам безопасности анализировать поведение в масштабе и действовать более быстро. Где баланс лежит, зависит от того, как хорошо организации адаптируются. Сейчас многие все еще догоняют видимость и управление, особенно когда ИИ используется способами, которые они еще не полностью отображают. В долгосрочной перспективе это может быть чисто положительным, но только если организации будут рассматривать ИИ как часть рабочей силы и применять тот же уровень мониторинга, руководства и контроля, что и для человеческого риска.
Не все сотрудники или системы ИИ представляют равный риск. Как организации должны расставлять приоритеты вмешательства, не создавая трения или чрезмерного наблюдения?
Не все риски равны, и рассматривать их так создает трение. Ключом является фокус на том, где фактически концентрируется риск – поскольку примерно 10% пользователей создают 73% риска – и применение целевых вмешательств там, а не на протяжении всей рабочей силы. Это означает использование поведенческих, доступных и экспозиционных данных для определения того, кто и что требует внимания, и предоставление руководства в потоке работы, а не добавление больше контроля. Сделав это правильно, это снижает трение, делая безопасный путь наиболее простым для следования, а не увеличивая наблюдение на протяжении всех.
Если мы ускорим время на пять лет, какой будет безопасность рабочей силы, и что большинство организаций все еще недооценивают сегодня?
Если мы ускорим время на пять лет, безопасность рабочей силы будет определяться тем, насколько хорошо организации могут понять и управлять риском на протяжении как людей, так и агентов ИИ, работающих вместе. Это не будет о периодическом обучении или статичных контролях, это будет о непрерывной видимости, реальном времени оценке риска и способности действовать динамически, когда поведение, доступ и угрозы меняются. Люди все еще будут в центре, но они будут управлять и расширять себя через ИИ, что означает, что безопасность должна учитывать и то, и другое.
Что большинство организаций все еще недооценивают, так это то, что уже существует пробел в видимости человеческого риска сегодня, и ИИ усугубляет его. Многие думают, что у них есть стратегия ИИ, но на самом деле они не имеют видимости ни в людей, ни в инструменты, которые эти люди используют. Шаг первый – понимание человеческого риска, поведения, доступа и воздействия угроз. Шаг второй – расширение этой видимости на агенты ИИ, которые сотрудники используют, которые столь же мощны и рисковы, как и доступ и решения, которые люди предоставляют им. Без этой основы организации не только отстают от ИИ, они работают с растущими слепыми пятнами на протяжении всей своей рабочей силы.
Спасибо за отличный интервью, читатели, которые хотят узнать больше, должны посетить Living Security.
