Mike Wiacek, grundare och teknisk chef för Stairwell – intervjuserie

Mike Wiacek är teknisk chef och grundare av Stairwell. Han brinner för säkerhet och att bygga en teamkultur som är förankrad i samarbete, ärlighet och ett engagemang för att hjälpa kunder att överlista angripare. Innan Mike grundade Stairwell var han medgrundare och säkerhetschef för Alphabets Chronicle och grundade även Googles Threat Analysis Group.

Trapphus är ett cybersäkerhetsföretag som hjälper organisationer att upptäcka och reagera på hot med hjälp av en data-first-strategi. Dess plattform samlar kontinuerligt in och analyserar filer över tid, vilket möjliggör realtidsövervakning, retrospektiv hotjakt och AI-drivna insikter. Med avancerad statisk och beteendeanalys utrustar Stairwell säkerhetsteam för att identifiera nolldagshot och fatta välgrundade beslut snabbare.

Du grundade Trapphus efter att ha lett säkerhetsarbetet på Google TAG och Chronicle. Vilket gap såg du i cybersäkerhetslandskapet som övertygade dig om att det var dags att bygga något nytt?

Efter att ha lett säkerheten på Google TAG och byggt Chronicle såg jag samma trasiga mönster utspela sig överallt: hotinformationsteam arbetade före attacken, SOC:er under och IR-team efteråt, alla försökte besvara samma grundläggande fråga med olika verktyg, olika data och helt olika tankesätt. Ingen kontinuitet. Ingen gemensam sanning. Det var inte så att idén var fel – utan att implementeringen var det.

Merparten av industrin är uppbyggd kring stockar. Men stockar är skräddarsydda mätningar. De är tolkningar. Observationer. De är sköra och de är byggda för att besvara gårdagens frågor. Om stocken inte fångade det har du otur. Och ännu värre, tillväxten av stockvolymen är kostsam och ohållbar.

Företag glömmer bort sin viktigaste tillgång – råfilerna. Körbara filer, skript, DLL-filer, det är där sanningen finns. Filer ljuger inte. De ändras inte beroende på vem som observerar dem. Och om du har råartefakterna kan du göra något som inget loggbaserat verktyg någonsin skulle kunna: matcha likheter, upptäcka varianter, upptäcka samband och besvara alla frågor genom tiderna.

Så jag byggde Trapphus att förena allt detta. En plattform. En källa till sanning. Kontinuerlig analys av vad som faktiskt körs i din miljö – inte bara vad som loggas om det. När alla team arbetar utifrån samma bevis blir de alla bättre. Snabbare prioritering. Smartare upptäckt. Djupare utredningar. Det är så vi slutar bekämpa gårdagens intrång och börjar ligga steget före nästa.

Trapphus syftar till att ge försvarare möjligheten att tänka som angripare. Hur möjliggör er plattform detta i praktiken, och vilka typer av organisationer gynnas mest av den metoden?

Angripare väntar inte på varningar. De arbetar inte i silos. De bryr sig inte om er policy för logglagring, riskaptit eller budgetproblem.

De lär sig dina verktyg, undviker dina kontroller och kedjar ihop filer, infrastruktur och timing för att i tysthet nå sitt mål. Försvarare måste göra detsamma – tänka i relationer, inte i varningar. Det är tankesättet. Trapphus ger dig.

I praktiken börjar detta med insyn i allt som körs. Vi samlar in och bevarar råa artefakter – körbara filer, skript, laddare, nyttolaster – och analyserar dem kontinuerligt. Inte bara när de först ses. För alltid. Det betyder att du kan jaga som en motståndare: hitta en tappad fil, växla till dess varianter, identifiera laddaren, spåra den till återanvändning av infrastruktur och avslöja varje steg i kampanjen.

Du behöver inte bakåtkompilera varje exempel. Trapphus automatiserar det. Du behöver inte gissa vad en fil gör. Trapphuss Intelligent Analysis berättar det för dig. Du behöver inte undra hur det ser ut mer. Trapphuss Variant Discovery visar dig.

Vem gynnas? Alla som är trötta på att flyga i blindo.

Om du är ett värdefullt mål – kritisk infrastruktur, finans, försvar – har du inte råd med gissningar. Om du är ett smalt team, Trapphus förvandlar dig till en kraftmultiplikator. Om du drunknar i larm hjälper vi dig att skära igenom bruset och skicka varje larm till marken.

Slutsats: angripare tänker i relationer. Nu kan försvarare också det – med ett fågelperspektiv på allting, alltid.

Din bakgrund inkluderar arbete på NSA, Google och Chronicle. Hur formade dessa erfarenheter din förståelse av nationalstatliga och ihållande hot, särskilt i relation till att skydda kritisk infrastruktur?

Jag tänker på säkerhet som ett datasökningsproblem. Låt oss samla in, lagra och analysera så mycket data som möjligt och hitta svar på frågor inom dessa data. Den saknade databiten för de flesta organisationer är dess faktiska filer. Dina filer är din mest värdefulla tillgång. Säkerhetsteam på företag kan inte svara på den mest grundläggande frågan – Finns någon av era hotinformationsmaterial på er VD:s bärbara dator? Trapphus meddelar dig omedelbart och kontinuerligt därefter.

Trapphus hanterar över 8 miljarder filobservationer med Google Cloud Bigtable. Vilka var de största tekniska hindren när man byggde ett hotanalyssystem som fungerar i denna skala?

En av de saker vi är mest stolta över är att vi har hittat en teknisk lösning för att effektivt samla in, lagra och analysera varje körbar fil i ett företag. Vi analyserar kontinuerligt dessa filer mot vår skadliga programvara, YARA-regler och hotrapporter. Varje ny fil undersöks – inom några sekunder. Intressant nog är processen så enkel att kunder ofta ber om att kontrollera om filerna samlas in. När vi visar dem att det fungerar blir de ofta förvånade över hur lite CPU det använder.

Du har sagt att du vill Trapphus att göra för cybersäkerhet vad Google gjorde för sök. Vad betyder det för användarupplevelse och produktinriktning?

Vi är i praktiken en sökmotor för dina körbara filer och relaterade filer. Vi låter säkerhetsteam svara på frågor om deras filer. Frågor som – är den här filen skadlig kod? Finns det några varianter av den här filen någonstans i våra system? Vilka slutpunkter har den här skadliga kodningen? Finns den här nyligen identifierade sårbara filen på någon av våra enheter? Är den här filen vanlig? Har den gemensamma syskon någon annanstans? Var finns den? Och NÄR anlände den?

Ett av Trapphuss kärnstyrkor är dess förmåga att utföra proaktiv och retrospektiv hotjakt – vilket innebär att den både kan upptäcka aktiva hot och avslöja tidigare attacker som kan ha gått obemärkt förbi. Hur skiljer sig denna metod från traditionella säkerhetsverktyg som SIEM (Security Information and Event Management systems) eller EDR (Endpoint Detection and Response platforms), som ofta fokuserar på realtidsvarningar?

Traditionella verktyg som SIEM och EDR är byggda för nuet. De fokuserar på realtidsvarningar och detektering vid specifika tidpunkter. Användbara i stunden, men blinda för allt som inte utlöste en regel, eller som gled förbi när ingen tittade.

Trapphus fungerar annorlunda. Vi frågar inte bara vad som hände. Vi frågar vad som någonsin har funnits i din omgivning.

Vi bevarar och analyserar kontinuerligt råfiler – varje körbar fil, varje skript – genom tiderna. Så även om något har tagits bort, bytt namn, packats om eller är inaktivt kan du fortfarande hitta det. Fortfarande analysera det. Och fortfarande köra det till botten.

Det betyder att du kan jaga proaktivt före varningen. Och retrospektivt efter intrånget – även månader senare, med fullständig kontext och fullständig historik. Försök att göra det med en SIEM som har föråldrat sina loggar eller en EDR som bara ser vad som körs just nu.

Trapphus ger dig möjligheten att fråga: ”Har detta någonsin förekommit i vår omgivning?” Och få ett riktigt svar, inte bara ”inte nyligen” eller ”vi kan inte avgöra”. Det är skillnaden.

Med växande intresse från federala organisationer för AI och hotdetektering, hur ser du på det? Trapphuss AI-modeller som bidrar till försvar på nationell nivå?

Federala försvarare behöver inte fler dashboards. De behöver snabbare svar, tydligare avsikter och verktyg som håller jämna steg med motståndare som itererar snabbare än den statliga upphandlingscykeln.

Trapphuss tillvägagångssätt för AI är inte bara påbyggda klassificerare. Det är byggt ovanpå en djup grund av miljarder verkliga artefakter, global filprevalens, varianthärkomst och åratal av hotbeteende. Vi kombinerar statisk och beteendemässig funktionsutvinning med strukturerad LLM-uppmaning för att förklara varför något är viktigt – inte bara flagga att det kan vara viktigt.

Det betyder att vi kan ge försvarare på nationell nivå det de sällan får:

• Omedelbar insikt i misstänkta filer på reverse engineering-nivå ... allihop. Vi tvingar angripare in i ett förlust-förlust-scenario: Antingen vara identiska med "goodware", eller vara unika och bli ertappade. Det finns ingen medelväg, och det utnyttjar vi.
• Kontextrika svar om avsikt, funktionalitet och relationer
• Variantmedveten detektering som inte går sönder när motståndare packar om eller byter namn på sin skadliga kod. Ju fler motståndare som packar, desto mer sticker de ut!

AI används i hast av leverantörer för att automatisera det som alltid har gjorts. Vi använder AI för att lösa problem på det sätt de borde ha lösts från början, men vi hade aldrig tekniken för att åstadkomma det.

Vi tänker redan som motståndaren. Våra modeller är tränade att dissekera, attributera och pivotera. Det är precis vad federala myndigheter behöver – inte bara fler varningar, utan förmågan att förstå och reagera innan nästa kampanj slår till.

Säkerhetsteam blir ofta överväldigade av varningar och falska positiva resultat. Hur fungerar det? Trapphus hjälpa till att minska det bruset samtidigt som de mest kritiska hoten fortfarande åtgärdas?

Trapphus hjälper säkerhetsteam att operationalisera sin hotinformation. En av de svåraste delarna av säkerhet är att ta reda på vilka slutpunkter som har infekterats med skadlig kod. Trapphus identifierar dessa enheter på några sekunder. Trapphus Intelligent Analysis, vår AI-drivna funktion, gör filsortering enkelt. Medan vår Run-to-Ground-funktion använder förekomsten av filer inom ditt företag och över alla företag för att göra riktad skadlig kod nästan omöjlig att hantera.

Angripare använder i allt högre grad AI för att skapa mer undvikande och ständigt föränderliga hot. Hur är det? Trapphus hjälpa försvarare att hålla jämna steg med denna förändring i offensiva tekniker?

I en värld där AI kan användas för att enkelt skapa "nolldags"-skadlig programvara som ingen någonsin sett förut, testas säkerhetsmetoder. Traditionella verktyg som elektroniska kodregistreringsverktyg (EDR), som använder signaturer och beteendemässiga signaturer, är blinda för ny skadlig programvara. Trapphus analyserar vad filen är skriven för att göra. Trapphus har goda förutsättningar att hitta aldrig tidigare skådad skadlig kod skapad av AI eftersom den använder filanalys och datasökningstekniker för att undersöka.

Vilken är den vanligaste missuppfattningen säkerhetschefer har om sin hotbild – och hur fungerar den? Trapphus hjälpa till att täppa till det gapet?

Världen har accepterat uppfattningen att EDR:er är perfekta. Verkligheten är att de ger en falsk känsla av säkerhet. Tyvärr är EDR:er beroende av beteendemässiga signaturer och måste uppdateras varje dag. Deras svaghet är att de inte analyserar filerna på varje enhet, varje dag. Trapphus är nästa generations säkerhet som använder signalintelligens, inklusive ditt företags filer, för att ge en datasökningsmetod till säkerheten för att undersöka skadlig kod på några sekunder.

Slutligen, hur definierar du framgång – inte bara i affärstermer, utan i termer av påverkan på försvarare och cybersäkerhetsgemenskapen som helhet?

Framgång kan bero på många saker, men det finns inget bättre än att få ett samtal från en kund som säger att Trapphus hittade en skadlig kod på en enhet, eller ett USB-minne, som EDR eller andra säkerhetsverktyg missade och förhindrade att skadlig kod överfördes till ett annat system.

Tack för den fina intervjun, läsare som vill veta mer bör besöka Trapphus.