Connect with us

Chaim Mazal, Chief AI & Security Officer på Gigamon – Intervju-serie

Intervjuer

Chaim Mazal, Chief AI & Security Officer på Gigamon – Intervju-serie

mm
Published
Updated

Chaim Mazal är Chief AI och Security Officer på Gigamon, ansvarig för global säkerhet, informationsteknologi, nätverksdrift, styrning, risk, regelefterlevnad, interna affärssystem och produktsäkerhet. Chaim leder också företagets strategiska AI-program, som driver styrning, tvärfunctionell antagande och säker, ansvarsfull användning av AI. Han är erkänd av Security Magazine som en av de mest inflytelserika personerna inom säkerhet 2025 och är en livstidmedlem i OWASP-stiftelsen och sitter i rådgivande styrelser, inklusive Cloudflare, GitLab och Rapid7. Han har tidigare haft seniorledande positioner i flera branschledare, senast som SVP för teknik och CISO på Kandji.

Gigamon är ett cybersäkerhets- och observabilitetsteknologiföretag som fokuserar på att ge djup insikt i nätverkstrafik över hybrid- och multimolnmiljöer. Dess plattform fångar och analyserar data i rörelse, inklusive paket, flöden och applikationsmetadata, för att ge åtgärdbara insikter till säkerhets-, moln- och IT-övervakningsverktyg. Detta möjliggör för organisationer att upptäcka dolda hot, förbättra prestanda, upprätthålla regelefterlevnad och minska komplexitet genom att eliminera blind fläckar i alltmer distribuerade och krypterade system. Förtrodda av stora företag och regeringsorganisationer hjälper Gigamon till att skydda och hantera modern digital infrastruktur i stor skala.

Du har haft en unik resa från att tillbringa tid i hackningsforum som tonåring till att bli Chief AI och Security Officer på Gigamon. Hur har dessa tidiga upplevelser format ditt sätt att tänka om moderna AI-drivna cyberrisker?

Jag fick min första dator när jag var åtta och lärde mig genom att experimentera, nämligen genom att lära mig DOS, läsa manualer och så småningom lära mig Visual Basic. När jag blev djupare involverad i internetgemenskaper var jag fascinerad av hur programvara kunde manipuleras och var systemen var ömtåliga. Den nyfikenheten utvecklades till webbapplikationspenetreringstestning och säkring av SaaS-utvecklingslivscykel.

Vad som är intressant med moderna hot är att AI inte uppfinner nya svagheter, men skalar upp upptäckten och exploateringen av befintliga. På grund av den tidiga perspektiven närmar jag mig AI-säkerhet med antagandet att det används av motståndare från dag ett, vilket hjälper mig att omvända försvar för våra kunder på Gigamon.

Du har observerat att AI-genererad phishing, ransomware och malware-kampanjer minskar tiden från veckor till timmar. Vilka konkreta förändringar ser du i hur dessa attacker utformas och distribueras?

AI har fundamentalt sänkt tröskeln för cyberriminalitet. Att skriva malware, skapa övertygande phishing-kampanjer och identifiera sårbarheter krävde tidigare djup teknisk expertis. Nu kan dessa attacker accelereras och till och med fullständigt automatiseras med hjälp av AI-verktyg. Hackare behöver inte längre en stark teknisk bakgrund för att lansera sofistikerade kampanjer eftersom AI kan generera kod, finslipa sociala ingenjörsmessages och hjälpa operatörer att felsöka i realtid.

Som ett resultat av denna ökade tillgänglighet har hela hotlandskapet förändrats. Utan ramverk för styrning, regelefterlevnadskrav eller etiska begränsningar för att sakta ner dem, kan angripare experimentera, anpassa sig och distribuera i hög hastighet och till minimal kostnad. Som ett resultat har tiden till påverkan minskat dramatiskt, och vad som tidigare tog veckor kan nu hända på timmar. Samtidigt är många organisationer fortfarande i de tidiga stadierna av att anta AI försvarsmässigt, vilket innebär att några av de mest effektiva AI-användningarna för närvarande drivs av hotaktörer.

Vad skiljer en AI-driven cyberrattack från traditionella automatiserade hot, och kan du dela ett exempel som gör den skillnaden tydlig?

Vad som skiljer en AI-driven cyberrattack från traditionella automatiserade hot är autonomi och uthållighet. I det förflutna körde hackare ett skript och slutade när det misslyckades. “Tiden att leva” var begränsad till hur länge det tog att köra automatiseringen. Med AI ges agenter ett mål och, om de misslyckas, slutar de inte. De fortsätter att iterera, leta efter alternativa vägar för att uppnå samma mål. Tiden att leva är effektivt oändlig.

Exempelvis, med en produktionsbyggnadsberoende, kan angripare infoga något så litet som två rader skript medan de håller filstorleken oförändrad, vilket innebär att bytesen ser identiska ut. När filen kompileras och körs lanserar den en terminalinstans som installerar en autonom agent i den korporativa miljön, som sedan utför en serie skadliga uppgifter som kan iterera oändligt. I det förflutna ansågs binära filer vara hotvektorer efter distribution. Nu manipuleras de konstant, inklusive under byggnadsprocessen i sig, för att utföra AI-aktiverade åtgärder inom korporativa miljöer.

Många organisationer förlitar sig fortfarande på äldre säkerhetskontroller och etablerade spelböcker. Varför fungerar dessa tillvägagångssätt inte mot AI-aktiverade attacker, och var ser du de farligaste blindfläckarna?

Vi har nått en punkt där om du inte innovativa och tankeväckande inkorporerar AI i dina säkerhetslösningar och operationer, är du redan efter, och det gäller för stora företag och startups lika. Organisationer som misslyckas med att integrera AI i sin säkerhetsstrategi riskerar att bli omkörd av angripare som rör sig snabbare och opererar i större skala.

Det sagt, att försvara sig mot AI-aktiverade hot kräver inte nödvändigtvis en fullständig omkonstruktion av teknikstacken. Många av de verktyg som företagen behöver är redan på plats. Den verkliga förändringen är hur effektivt dessa verktyg används. Det handlar om att förstärka grunderna, applicera befintliga teknologier mer intelligently och anpassa försvar för att ta hänsyn till outbildade men AI-aktiverade angripare.

Hotaktörer använder AI kreativt och strategiskt. Om företagen inte tar en liknande strategisk approach riskerar de att skapa enorma blindfläckar. Ledare måste tänka annorlunda om hur de distribuerar de verktyg de redan har, integrerar AI i sina operationer och utvecklar sina spelböcker för att försvara sig mot hastigheten och omfattningen av dagens attacker.

AI verkar sänka tröskeln för cyberriminalitet. Hur har denna förändring förändrat profilen för dagens angripare, och vilka risker skapar det för företagen?

AI har gjort det möjligt för nästan vem som helst att bli en hackare. Med AI-verktyg till sitt förfogande kan oerfarna aktörer, till och med tonåringar, nu lansera sofistikerade phishing-kampanjer, distribuera rootkit och utföra ransomware-attacker som tidigare krävde betydande teknisk expertis.

Denna förändring lägger till en ny nivå av oförutsägbarhet i hotlandskapet. Istället för att möta ett mindre antal högt sofistikerade grupper, möter företagen nu en bredare spektrum av aktörer som experimenterar snabbt, lär sig i realtid och samarbetar över online-gemenskaper.

För organisationer innebär detta inte bara fler attacker, utan också större variation i hur de utförs. Företagen måste förbereda sig på en hotmiljö där förmåga inte längre är direkt kopplad till erfarenhet, och där vem som helst kan utföra kampanjer som rivaliserar med de som historiskt sett avancerade grupper.

Baserat på vad du ser i angriparnas gemenskaper, vilka AI-drivna verktyg är på väg att bli vanliga, och hur snabbt förbättras dessa förmågor?

Det handlar mindre om enskilda AI-verktyg som hjälper hackare och mer om delningen av resurser. Istället för att ett enda verktyg kör en linjär process, använder angripare decentraliserade agenter som korsreferenser data och delar information kollektivt över olika verktyg. Resultatet fungerar mer som ett attacknät eller en svärm, snarare än en enskild förmåga.

Vad som är mest anmärkningsvärt med detta är hastigheten på förbättringen. Dessa förmågor förändras varje dag, och många av de verktyg som används var bevis för koncept bara veckor tidigare. Takten på innovation och iteration inom angriparnas gemenskaper accelererar snabbt, med nya tekniker och verktyg som dyker upp nästan i realtid.

Från en försvarares perspektiv, vilka signaler tyder på att en organisation möter en AI-driven kampanj snarare än en mer konventionell attack?

Från en försvarares perspektiv är en av de stora signalerna att rekognosceringen inte längre ser sekventiell eller avgränsad ut. Historiskt sett följde angripare tydliga steg – insamling av information i faser, utrymme för aktivitet och målinriktning av en yta i taget. Nu sker alla dessa aktiviteter samtidigt. E-postgatewayer, externt tillgängliga tjänster, kontouppgifter, upptäckts- och undvikandetekniker utövas alla i tandem snarare än sekventiellt.

En annan signal är enhetlig och samordnad aktivitet. Vad som tidigare var styckvis är nu kondenserat och delat kollektivt över verktyg, och agerar mer som en svärm än en enskild ansträngning. Dessa agenter itererar kontinuerligt, anpassar sig och expederar beslutsfattande kring hotvektorer, och de tar inte nej för ett svar. Den nivån av samtidig aktivitet, samordning och uthållighet tyder starkt på en AI-driven kampanj snarare än en konventionell attack.

Du har hävdat att många nuvarande AI-säkerhetsverktyg missar dessa hot helt. Vad gör de fel, och vilka förmågor är mest brådskande behov?

Många nuvarande AI-säkerhetsverktyg byggs fortfarande kring den felaktiga antagandet att förebyggande är det primära målet. Leverantörer fortsätter att positionera AI som ett bättre sätt att blockera hot vid periferin, men angripare är snabbare, mer anpassningsbara och alltmer tåliga, och använder AI, deepfakes och avancerad malware som kan undvika kontroller och förbli oupptäckta i månader.

Vad som är mest brådskande behov är omfattande, realtidsbaserad synlighet och starkare upptäckts- och responsförmåga. Organisationer måste implementera kontinuerlig riskbedömning, upprätthålla synlighet i krypterad trafik där många hot gömmer sig, och utnyttja nätverksbaserad telemetri och API:er för att förstå vad som körs över systemen och hur data flyttas. Motståndskraft idag handlar inte om att hålla alla hot ute, utan om att se, stoppa och lära av hot innan de eskalerar.

När AI accelererar både försvar och anfall, tror du att defensiv AI realistiskt kan hålla jämna steg, eller är vi på väg in i en period där angriarna kommer att behålla en strukturell fördel?

AI accelererar båda sidor av ekvationen, men på kort sikt tror jag att angriarna har en fördel. De möter inga regulatoriska begränsningar, inga krav på regelefterlevnad eller etiska ramar. Detta innebär att de kan experimentera fritt och iterera i en förhöjd takt. På den andra sidan måste företagen balansera innovation med styrning, integritet och operativ risk, vilket naturligtvis saktar ner AI-antagandet och implementeringen.

Det sagt, defensiv AI kan absolut komma ut på topp om organisationer och ledare förändrar sitt tillvägagångssätt. Framgångsrika säkerhetstaktiker kommer inte från att använda AI enbart för förebyggande. Det kommer att kräva att integrera AI i upptäckts-, undersöknings- och responsarbetsflöden som backas upp av realtidsbaserad synlighet. Fördelen är inte permanent på angriarens sida, men den kommer att förbli där tills organisationer slutar lita på förebyggande. Den verkliga skadan sker när en angriare bryter sig in i nätverket, ofta levererar av land och väntar på att exfiltrera data. Ledare måste förändra sin strategi från “kan vi förhindra en intrång” till “hur snabbt kan vi upptäcka och avlägsna inkräktare?”

Om vi ser framåt sex till tolv månader, vilka AI-aktiverade attacktekniker förväntar du dig kommer att bli vanliga, och vad bör säkerhetsteam göra nu för att förbereda sig?

Sex till tolv månader är en enorm mängd tid i denna miljö. Saker förändras realistiskt varje sex till tolv veckor. Den snabba progressionen av AI gör det svårt att förutsäga specifika tekniker som hackare kommer att använda i framtiden, så fokus bör ligga mindre på att gissa vad som kommer härnäst och mer på hur man kan förbereda sig.

Försvarare behöver utnyttja samma AI-drivna teknologi som angriarna använder, med ett starkt fokus på försvar i djupet. Det innebär att använda AI för att korsreferera konstanta strömmar av data över ändpunkter i realtid, lita på oföränderlig nätverkstelemetri för att identifiera transaktionsbeteende över privata moln, offentliga moln och lokala miljöer, och mata in den telemetrin i lämpliga verktyg, så att säkerhetsteam är aktivt medvetna när deras organisation kartläggs.

Samtidigt behöver den periferibaserade försvarsmentaliteten pensioneras. Det är inte en fråga om om en AI-aktiverad intrång sker, utan när. Prioriteterna är nu tidig upptäckt, minskad påverkan och snabb avhjälpning. Det inkluderar att ha en solid incidenthanteringsplan, applicera nolltillitprinciper, genomdriva nätverkssegmentering, upprätthålla åtkomsthantering med kontinuerliga granskningar och göra dynamiska justeringar som behövs för att skydda kunddata och begränsa påverkan.

Tack för den insiktsfulla intervjun, läsare som är intresserade av djup observabilitet och AI-driven nätverkssäkerhet kan besöka Gigamon.

mm

Antoine är en visionär ledare och medgrundare av Unite.AI, driven av en outtröttlig passion för att forma och främja framtiden för AI och robotik. En serieentreprenör, han tror att AI kommer att vara lika omstörtande för samhället som elektricitet, och fångas ofta i extas över potentialen för omstörtande teknologier och AGI. Som en futurist, är han dedikerad till att utforska hur dessa innovationer kommer att forma vår värld. Dessutom är han grundare av Securities.io, en plattform som fokuserar på att investera i banbrytande teknologier som omdefinierar framtiden och omformar hela sektorer.