Интервью

Майк Вьяçek, основатель и технический директор Stairwell – Интервью

mm
Published
Updated

Майк Вьяçek является техническим директором и основателем Stairwell. Он увлечен вопросами безопасности и созданием командной культуры, основанной на сотрудничестве, честности и преданности помощи клиентам в обмане атакующих. До основания Stairwell Майк был сооснователем и главным офицером безопасности Alphabet’s Chronicle, а также основал Threat Analysis Group в Google.

Stairwell – это компания по кибербезопасности, которая помогает организациям обнаруживать и реагировать на угрозы с помощью подхода, основанного на данных. Ее платформа непрерывно собирает и анализирует файлы во времени, обеспечивая реальное мониторинг, ретроспективное охота за угрозами и анализ, основанный на искусственном интеллекте. Благодаря продвинутому статическому и поведенческому анализу Stairwell обеспечивает команды безопасности возможностью выявлять угрозы нулевого дня и принимать обоснованные решения быстрее.

Вы основали Stairwell после руководства усилиями по безопасности в Google TAG и Chronicle. Какой пробел вы увидели в ландшафте кибербезопасности, который убедил вас, что пора построить что-то новое?

После руководства безопасностью в Google TAG и создания Chronicle я увидел один и тот же сломанный шаблон, который повторяется везде: команды угроз работают до атаки, команды SOC во время атаки, и команды IR после атаки, все пытаются ответить на один и тот же фундаментальный вопрос с помощью разных инструментов, разных данных и совершенно разных подходов. Нет непрерывности. Нет общей истины. Это не то, что идея была неправильной – это то, что реализация была.

Большая часть отрасли построена вокруг журналов. Но журналы – это индивидуальные измерения. Они интерпретации. Наблюдения. Они хрупкие и построены для ответа на вопросы вчерашнего дня. Если журнал не захватил это, вы неудачник. И что еще хуже, рост объема журналов дорогостоящий и неустойчивый.

Войдите в предприятия и забудьте о своем самом важном активе – сырых файлах. Исполняемые файлы, скрипты, DLL, это где живет истина. Файлы не лгут. Они не меняются в зависимости от того, кто их наблюдает. И если у вас есть сырые артефакты, вы можете сделать что-то, что никакой инструмент, основанный на журналах, никогда не мог: сопоставить сходство, обнаружить варианты, открыть отношения и ответить на каждый вопрос во все времена.

Итак, я построил Stairwell, чтобы объединить все это. Одна платформа. Один источник истины. Непрерывный анализ того, что фактически запускается в вашей среде – не только того, что журналируется о нем. Когда каждая команда работает с одними и теми же доказательствами, они все становятся лучше. Быстрее триаж. Умнее обнаружение. Более глубокие расследования. Это то, как мы перестаем бороться с вчерашним взломом и начинаем опережать следующий.

Stairwell стремится дать защитникам возможность думать как атакующие. Как ваша платформа практически обеспечивает это, и какие типы организаций получают наибольшую выгоду от этого подхода?

Атакующие не ждут предупреждений. Они не работают в изоляции. Они не заботятся о вашей политике хранения журналов, риске или бюджетных проблемах.

Они учатся ваши инструменты, избегают ваших контролей и объединяют файлы, инфраструктуру и время, чтобы тихо достичь своей цели. Защитники должны делать то же самое – думать в отношениях, а не в предупреждениях. Это мышление Stairwell дает вам.

Практически, это начинается с видимости всего, что запускается. Мы собираем и сохраняем сырые артефакты – исполняемые файлы, скрипты, загрузчики, полезные нагрузки – и непрерывно анализируем их. Не только когда они впервые обнаружены. Навсегда. Это означает, что вы можете охотиться как противник: найти сброшенный файл, перейти к его вариантам, выявить загрузчик, отследить его до повторного использования инфраструктуры и раскрыть каждую стадию кампании.

Вам не нужно разбирать каждый образец. Stairwell автоматизирует это. Вам не нужно гадать, что делает файл. Интеллектуальный анализ Stairwell говорит вам. Вам не нужно задумываться, что еще похоже на него. Обнаружение вариантов Stairwell показывает вам.

Кто получает выгоду? Любой, кто устал летать вслепую.

Если вы высокоценная цель – критическая инфраструктура, финансы, оборона – вы не можете позволить себе предположения. Если вы компактная команда, Stairwell превращает вас в умножитель силы. Если вы тонете в предупреждениях, мы помогаем вам разрезать шум и привести каждое предупреждение к земле.

В итоге: атакующие думают в отношениях. Теперь защитники могут делать то же самое – с видом птичьего полета на все, всегда.

Ваш опыт включает работу в NSA, Google и Chronicle. Как эти опыт сформировали ваше понимание угроз государственного уровня и постоянных угроз, особенно в отношении защиты критической инфраструктуры?

Я думаю о безопасности как о проблеме поиска данных. Давайте соберем, сохраним и проанализируем как можно больше данных и найдем ответы на вопросы внутри этих данных. Отсутствующая часть данных для большинства организаций – это фактические файлы. Ваши файлы – это ваш самый ценный актив. Команды безопасности в предприятиях не могут ответить на самый базовый вопрос – есть ли в вашем файле интеллект угроз, найденный на ноутбуке вашего генерального директора? Stairwell говорит вам об этом сразу и непрерывно после этого.

Stairwell управляет более 8 миллиардами обнаружений файлов с помощью Google Cloud Bigtable. Какие были самые большие инженерные препятствия в построении системы анализа угроз, которая работает в этом масштабе?

Одна из вещей, которой мы наиболее гордимся, – это то, что мы нашли инженерное решение для эффективного сбора, хранения и анализа каждого исполняемого файла в предприятии. Мы непрерывно анализируем эти файлы против нашей коллекции вредоносного ПО, правил YARA, отчетов о угрозах. Любой новый файл расследуется – в течение секунд. Интересно, что процесс настолько легкий, что клиенты часто спрашивают, собираются ли файлы. Когда мы показываем им, что это работает, они часто удивляются, насколько мало CPU это занимает.

Вы сказали, что хотите, чтобы Stairwell сделал для кибербезопасности то же, что Google сделал для поиска. Что это значит в плане пользовательского опыта и направления продукта?

Мы по сути являемся поисковой системой для ваших исполняемых файлов и связанных с ними файлов. Мы позволяем командам безопасности отвечать на вопросы о ваших файлах. Вопросы типа – является ли этот файл вредоносным? Есть ли варианты этого файла где-либо в наших системах? Какие конечные точки имеют это вредоносное ПО? Является ли этот недавно выявленный уязвимый файл на каких-либо наших устройствах? Является ли этот файл обычным? Имеет ли он обычных братьев где-либо еще? Где он? И КОГДА он прибыл?

Одна из основных сильных сторон Stairwell – это способность проводить активную и ретроспективную охоту за угрозами – то есть она может обнаруживать активные угрозы и раскрывать прошлые атаки, которые могли остаться незамеченными. Как этот подход отличается от традиционных инструментов безопасности, таких как SIEM или EDR, которые часто фокусируются на реальных предупреждениях?

Традиционные инструменты, такие как SIEM и EDR, построены для настоящего. Они фокусируются на реальных предупреждениях и обнаружениях в определенный момент времени. Полезны в моменте, но слепы к чему-либо, что не вызвало правила или что прошло мимо, когда никто не смотрел.

Stairwell работает по-другому. Мы не спрашиваем только, что произошло. Мы спрашиваем, что когда-либо было в вашей среде.

Мы сохраняем и непрерывно анализируем сырые файлы – каждый исполняемый файл, каждый скрипт – во все времена. Итак, даже если что-то было удалено, переименовано, перепаковано или было в спящем состоянии, вы все равно можете найти его. Все равно проанализировать. И все равно привести его к земле.

Это означает, что вы можете охотиться активно до предупреждения. И ретроспективно после взлома – даже через месяцы, с полным контекстом и полной историей. Попробуйте сделать это с SIEM, который устарел свои журналы, или с EDR, который видит только то, что запускается прямо сейчас.

Stairwell дает вам силу задать вопрос: “Был ли этот файл когда-либо в нашей среде?” И получить реальный ответ, а не просто “недавно” или “мы не можем сказать”. Это разница.

С растущим интересом федеральных организаций к ИИ и обнаружению угроз, как вы видите вклад моделей ИИ Stairwell в оборону на национальном уровне?

Федеральные защитники не нуждаются в еще одном панели управления. Им нужны быстрые ответы, ясные намерения и инструменты, которые могут идти в ногу с противниками, которые итерируются быстрее, чем цикл государственных закупок.

Stairwell подход к ИИ не просто прикрепленные классификаторы. Он построен на основе глубокого фундамента из миллиардов реальных артефактов, глобального распространения файлов, линии вариантов и лет поведения угроз. Мы объединяем статический и поведенческий анализ с структурированным запросом LLM, чтобы объяснить, почему что-то важно – не просто флаг, что оно может быть.

Это означает, что мы можем дать национальным защитникам то, чего они редко получают:

  • Немедленный инсайт уровня обратной инженерии в подозрительные файлы… все из них. Мы заставляем атакующих попасть в проигрышную ситуацию: либо быть идентичным “хорошему ПО”, либо быть уникальным и быть пойманным. Нет середины, и мы используем это.
  • Ответы, богатые контекстом, о намерениях, функциональности и отношениях
  • Обнаружение, осведомленное о вариантах, которое не ломается, когда противники перепаковывают или переименовывают свое вредоносное ПО. На самом деле, чем больше противники упаковывают, тем больше они выделяются!

ИИ спешно используется поставщиками для автоматизации того, что всегда делалось. Мы используем ИИ для решения проблем так, как они должны были быть решены изначально, но у нас не было технологии, чтобы сделать это.

Мы уже думаем как противник. Наши модели обучены разобрать, атрибутировать и перейти. Это именно то, что федеральные агентства нуждаются – не просто еще одно предупреждение, но возможность понять и ответить до следующей кампании.

Команды безопасности часто перегружены предупреждениями и ложными положительными результатами. Как Stairwell помогает уменьшить этот шум, одновременно выделяя наиболее критические угрозы?

Stairwell помогает командам безопасности операционализировать свою интеллект угроз. Одним из самых трудных моментов безопасности является определение, какие конечные точки были заражены вредоносным ПО. Stairwell выявляет эти устройства за секунды. Интеллектуальный анализ Stairwell, наш функционал, основанный на ИИ, делает триаж файла тривиальным. Пока наша возможность “Привести к земле” использует распространение файлов в вашем предприятии и во всех предприятиях, чтобы сделать нацеленное вредоносное ПО почти невозможным для работы.

Атакующие все чаще используют ИИ для создания более скрытных и постоянно эволюционирующих угроз. Как Stairwell помогает защитникам идти в ногу с этим сдвигом в тактике нападения?

В мире, где ИИ можно использовать для создания “ноль-день” вредоносного ПО, которое никто никогда не видел раньше, подходы к безопасности тестируются. Традиционные инструменты, такие как EDR, которые используют сигнатуры и поведенческие сигнатуры, слепы к новому вредоносному ПО. Stairwell анализирует, что написан файл для выполнения. Stairwell хорошо расположен для обнаружения ранее не виденного вредоносного ПО, созданного ИИ, поскольку он использует анализ файлов и методы поиска данных для расследования.

Какое самое распространенное заблуждение, которое лидеры безопасности имеют о своей угрозе – и как Stairwell помогает закрыть этот разрыв?

Мир принял идею о том, что EDR идеальны. Реальность такова, что они обеспечивают ложное чувство безопасности. К сожалению, EDR полагаются на поведенческие сигнатуры и должны быть обновлены каждый день. Их слабость заключается в том, что они не анализируют файлы на каждом устройстве каждый день. Stairwell – это следующее поколение безопасности, использующее сигнальную интеллектуальность, включая файлы вашего предприятия, для принятия подхода поиска данных к безопасности для расследования вредоносного ПО за секунды.

Наконец, как вы определяете успех – не только в деловых терминах, но и в плане влияния на защитников и сообщество кибербезопасности в целом?

Успех может быть многим, но нет ничего лучше, чем получение звонка от клиента, который говорит, что Stairwell обнаружил кусок вредоносного ПО на устройстве или USB, которое EDR или другие инструменты безопасности пропустили и предотвратили передачу вредоносного ПО на другую систему.

Спасибо за отличное интервью, читатели, которые хотят узнать больше, должны посетить Stairwell.

mm

Антуан - видный лидер и сооснователь Unite.AI, движимый непоколебимой страстью к формированию и продвижению будущего ИИ и робототехники. Как серийный предприниматель, он считает, что ИИ будет столь же разрушительным для общества, как электричество, и часто увлекается потенциалом разрушительных технологий и ИИ.

Как футуролог, он посвящен изучению того, как эти инновации изменят наш мир. Кроме того, он является основателем Securities.io, платформы, ориентированной на инвестиции в передовые технологии, которые переопределяют будущее и меняют целые сектора.