Карл Фроггетт, CIO Deep Instinct – Інтерв’ю Серія

Карл Фроггетт – це головний інформаційний директор (CIO) Deep Instinct, підприємства, заснованого на простій передумові: що глибоке навчання, просунутий підмножини штучного інтелекту, можна застосувати до кібербезпеки для запобігання більшій кількості загроз, швидше.

Пан Фроггетт має доведений досвід у створенні команд, архітектури систем, реалізації великомасштабного підприємства програмного забезпечення, а також у вирівнюванні процесів та інструментів з бізнес-вимогами. Фроггетт раніше був головою глобальної інфраструктури оборони, CISO кібербезпеки служби у Citi.

Ваш досвід у сфері фінансів, можете.tell свою історію про те, як ви потім перейшли до кібербезпеки?

Я почав працювати у сфері кібербезпеки наприкінці 90-х років, коли був у Citi, переходячи з ролі ІТ. Я швидко перейшов на керівну посаду, застосовуючи свій досвід у операціях ІТ до еволюціонуючого та складного світу кібербезпеки. Працюючи у сфері кібербезпеки, я мав можливість зосередитися на інноваціях, а також розгортанні та експлуатації технологій та рішень кібербезпеки для різних бізнес-потреб. Під час моєї роботи у Citi мої обов’язки включали інновації, інженерію, поставку та експлуатацію глобальних платформ для бізнесу та клієнтів Citi по всьому світу.

Ви були частиною Citi понад 25 років і провели більшу частину цього часу, керуючи командами, відповідальними за стратегії безпеки та інженерні аспекти. Що спонукало вас приєднатися до стартапу Deep Instinct?

Я приєднався до Deep Instinct, тому що хотів взяти на себе новий виклик і використовувати свій досвід іншим чином. Більше 15 років я був тісно пов’язаний з кібер-стартапами та фінтех-компаніями, наставляючи та розширюючи команди для підтримки зростання бізнесу, проводячи деякі компанії через IPO. Я був знайомий з Deep Instinct і бачив, як їх унікальна, революційна технологія глибокого навчання (DL) дає результати, яких жоден інший постачальник не може досягти. Я хотів бути частиною чогось, що започаткує нову еру захисту компаній від шкідливих загроз, з якими ми стикаємося щодня.

Чи можете ви обговорити, чому застосування глибокого навчання до кібербезпеки Deep Instinct є таким проривом?

Коли Deep Instinct спочатку сформувався, компанія поставила амбітIOUS мету революціонізувати галузь кібербезпеки, вводячи філософію запобігання перш за все, а не реакції на загрози. З збільшенням кількості кібератак, таких як вимагання викупу, експлуатація нулевих днів та інші невідомі загрози, традиційна реакційна модель безпеки не працює. Тепер, оскільки ми продовжимо бачити зростання кількості загроз у кількості та швидкості через генерацію штучного інтелекту, і оскільки атакувальники винаходять, інновають та уникають існуючих засобів контролю, організації потребують передбачувальної, запобіжної здатності, щоб залишатися на крок попереду зловмисників.

Адверсарний штучний інтелект зростає з поганими акторами, які використовують WormGPT, FraudGPT, мутуючий шкідливий код та інше. Ми увійшли у вирішальний час, який вимагає від організацій боротися зі штучним інтелектом за допомогою штучного інтелекту. Але не весь штучний інтелект створений рівним. Захист від адверсарного штучного інтелекту вимагає рішень, які працюють на більш просунутій формі штучного інтелекту, а саме глибокому навчанні (DL). Більшість інструментів кібербезпеки використовують моделі машинного навчання (ML), які мають кілька недоліків для команд безпеки при запобіганні загроз. Наприклад, ці пропозиції тренуються на обмежених підмножинах доступних даних (зазвичай 2-5%), пропонують лише 50-70% точності з невідомими загрозами та вводять багато хибно позитивних результатів. Рішення ML також вимагають великої кількості втручання людини та тренуються на малих наборах даних, що робить їх сприйнятливими до людської упередженості та помилок. Вони повільні та непослідовні, навіть на кінцевих точках, що дозволяє загрозам затримуватися до виконання, а не зупиняються на них, поки вони не стануть сплячими. Що робить DL ефективним, так це його здатність самонавчатися під час споживання даних та автономної роботи для ідентифікації, виявлення та запобігання складним загрозам.

Як глибоке навчання може передбачувально запобігати невідомим шкідливим кодам, з якими раніше не стикалися?

Невідомі шкідливі коди створюються кількома способами. Один із поширених методів – зміна хешу у файлі, який може бути настільки малим, як додання байта. Рішення безпеки кінцевих точок, які покладаються на чорні списки хешів, вразливі до таких “мутацій”, оскільки існуючі хеш-сигнатури не будуть збігатися з новими мутаціями хешів. Упаковка – це інший метод, при якому бінарні файли упаковуються з упаковщиком, який надає загальний шар на оригінальному файлі – подумайте про нього як про маску. Нові варіанти також створюються шляхом модифікації оригінального шкідливого коду бінарного файлу. Це робиться на основі функцій, які постачальники безпеки можуть підписати, починаючи від жорстко закодованих рядків, IP/доменних імен командних серверів, реєстрових ключів, шляхів файлів, метаданих чи навіть мьютексів, сертифікатів, зміщення, а також розширень файлів, які корелюють з зашифрованими файлами програмами-вимагачами викупу. Код або частини коду також можуть бути змінені або додані, що уникає традиційних методів виявлення.

Як Deep Instinct фокусується на запобіганні кібератакам?

Дані – це життєва кров кожного підприємства, і їх захист повинен бути головним. Все, що потрібно, – це один шкідливий файл, щоб бути скомпрометованим. Протягом років “припустити порушення” було де-факто безпекової ментальності, приймаючи неминучість того, що дані будуть доступні для загрозливих акторів. Однак ця ментальність, а також інструменти, засновані на цій ментальності, не змогли забезпечити адекватний захист даних, і атакувальники повністю використовують цю пасивну підхід. Наше недавнє дослідження виявило, що було більше інцидентів з вимаганням викупу у першій половині 2023 року, ніж за весь 2022 рік. Ефективне звернення до цієї зміщеної загрозливої ландшафту не тільки вимагає переходу від ментальності “припустити порушення”, а й означає, що компанії потребують цілком нового підходу та арсеналу запобіжних заходів. Загроза нова та невідома, і вона швидка, тому ми бачимо ці результати в інцидентах з вимаганням викупу. Як і підписи не могли впоратися із зміщенням загрозливої ландшафту, жодне існуюче рішення, засноване на ML, теж не може.

У Deep Instinct ми використовуємо силу DL для забезпечення запобіжного підходу до захисту даних. Платформа передбачуваного запобігання Deep Instinct – це перше та єдине рішення, засноване на нашій унікальній DL-рамці, спеціально розробленій для кібербезпеки. Це найефективніше, найефективніше та найнадійніше рішення з кібербезпеки на ринку, яке запобігає понад 99% нулевих днів, програм-вимагачів викупу та інших невідомих загроз менш ніж за 20 мілісекунд з найнижчою (<0,1%) кількістю хибно позитивних результатів. Ми вже застосували нашу унікальну DL-рамку до забезпечення застосунків та кінцевих точок, і нещодавно розширили можливості до захисту зберігання з запуском Deep Instinct Prevention for Storage.

Зміна до передбачувального запобігання для захисту даних необхідна для того, щоб залишатися попереду уразливостей, обмежувати хибно позитивні результати та полегшувати стрес команд безпеки. Ми находимося на передовій цієї місії, і вона починає набувати популярності, оскільки більшість постачальників спадщини тепер заявляють про можливості запобігання перш за все.

Чи можете ви обговорити, який тип навчальних даних використовується для навчання ваших моделей?

Як і інші моделі штучного інтелекту та машинного навчання, наша модель тренується на даних. Що робить нашу модель унікальною, так це те, що вона не потребує даних чи файлів від клієнтів для навчання та зростання. Ця унікальна аспект приватності надає нашим клієнтам додаткове відчуття безпеки при розгортанні наших рішень. Ми підписуємося на понад 50 джерел, з яких ми завантажуємо файли для навчання нашої моделі. Від那里 ми валідуємо та класифікуємо дані самостійно за допомогою алгоритмів, які ми розробили внутрішньо.

Через цю модель навчання ми створюємо лише 2-3 нових “мозків” на рік у середньому. Ці нові мозги розгортаються незалежно, значно знижуючи будь-який операційний вплив на наших клієнтів. Це також не вимагає постійних оновлень для підтримки темпу з еволюціонуючою загрозливою ландшафту. Це перевага платформи, яка працює на DL, і дозволяє нам забезпечувати проактивний, запобіжний підхід, тоді як інші рішення, які використовують штучний інтелект та машинне навчання, забезпечують реакційні можливості.

Як тільки репозиторій готовий, ми створюємо набори даних, використовуючи всі типи файлів з шкідливими та доброзичливими класифікаціями разом з іншими метаданими. Від那里 ми далі тренуємо мозок на всіх доступних даних – ми не викидаємо жодних даних під час процесу навчання, що сприяє низькій кількості хибно позитивних результатів та високій ефективності. Ці дані продовжують навчатися самостійно без нашого втручання. Ми налаштовуємо результати, щоб навчити мозок, а потім він продовжує навчатися. Це дуже схоже на те, як працює людський мозок та як ми вчимося – чим більше нас навчають, тим більш точними та розумнішими ми стаємо. Однак ми дуже обережно ставимося до надмірного підгонки, щоб наш мозок DL не запам’ятовував дані, а не навчався та не розумів їх.

Як тільки у нас буде дуже висока ефективність, ми створюємо модель висновку, яку розгортаємо у клієнтів. Коли модель розгортається на цьому етапі, вона не може навчатися нових речей. Однак вона має можливість взаємодіяти з новими даними та невідомими загрозами та визначати, чи є вони шкідливими за своєю суттю. По суті вона приймає “день нуль” рішення щодо всього, що вона бачить.

Deep Instinct працює у контейнері клієнта, чому це важливо?

Одне з наших рішень платформи, Deep Instinct Prevention for Applications (DPA), пропонує можливість використовувати наші можливості DL через API / iCAP інтерфейс. Ця гнучкість дозволяє організаціям вкладати наші революційні можливості у додатки та інфраструктуру, що означає, що ми можемо розширити наш охоплення для запобігання загрозам за допомогою глибинної кіберстратегії захисту. Це унікальний диференціатор. DPA працює у контейнері (який ми надаємо), і відповідає сучасним стратегіям цифровізації наших клієнтів, таких як міграція до локальних або хмарних контейнерних середовищ для їхніх додатків та послуг. Зазвичай ці клієнти також приймають “зрушення вліво” з DevOps. Наша модель сервісу, орієнтована на API, доповнює це, забезпечуючи можливість агілової розробки та сервісів для запобігання загрозам.

Цим підходом Deep Instinct безшовно інтегрується у технологічну стратегію організації, використовуючи існуючі сервіси без жодної нової апаратури чи логістичних проблем та без жодних нових операційних витрат, що призводить до дуже низької вартості володіння. Ми використовуємо всі переваги, які надають контейнери, включаючи масштабування на вимогу, резервування, низьку затримку та легке оновлення. Це дозволяє забезпечити запобіжну стратегію кібербезпеки, вкладаючи запобігання загроз у додатки та інфраструктуру у величезному масштабі, з ефективністю, якої не можуть досягти рішення спадщини. Через характеристики DL ми маємо перевагу низької затримки, високої ефективності / низької кількості хибно позитивних результатів, у поєднанні з чутливістю до приватності – жоден файл чи дані ніколи не покидають контейнер, який завжди перебуває під контролем клієнта. Наш продукт не потребує обміну з хмарою, проведення аналізу чи обміну файлами/даними, що робить його унікальним порівняно з будь-яким існуючим продуктом.

Генеративний штучний інтелект пропонує потенціал для масштабування кібератак, як Deep Instinct підтримує необхідну швидкість для відбиття цих атак?

Наша рамка DL побудована на основі нейронних мереж, тому її “мозок” продовжує навчатися та тренуватися на сирих даних. Швидкість та точність, з якою працює наш框, є результатом того, що мозок тренувався на сотнях мільйонів зразків. Через те, що ці навчальні набори даних ростуть, нейронна мережа продовжує ставати розумнішою, що дозволяє їй бути більш детальною у розумінні того, що робить файл шкідливим. Через те, що вона може розпізнавати будівельні блоки шкідливих файлів на більш детальному рівні, ніж будь-яке інше рішення, DL зупиняє відомі, невідомі та нулеві загрози з більшою точністю та швидкістю, ніж інші встановлені продукти кібербезпеки. Це, у поєднанні з тим, що наш “мозок” не потребує жодних хмарних аналізів чи запитів, робить його унікальним. ML сам по собі ніколи не був достатньо хорошим, тому ми маємо хмарні аналізи для підтримки ML – але це робить його повільним та реактивним. DL просто не має цього обмеження.

Які деякі з найбільших загроз, які посилюються з генерацією штучного інтелекту, яких підприємства повинні взяти до уваги?

Електронні листи з фішингом стали значно більш складними завдяки еволюції штучного інтелекту. Раніше електронні листи з фішингом зазвичай були легко визначені, оскільки вони були зазвичай наповнені граматичними помилками. Але тепер загрозливі актори використовують інструменти, такі як ChatGPT, для створення більш глибоких, граматично правильних електронних листів у різних мовах, які є важчими для спам-фільтрів та читачів.

Іншим прикладом є глибокі фальсифікації, які стали значно більш реалістичними та переконливими завдяки складності штучного інтелекту. Інструменти аудіо штучного інтелекту також використовуються для симуляції голосів виконавців у компанії, залишаючи фальшиві голосові повідомлення для працівників.

Як згадувалося вище, атакувальники використовують штучний інтелект для створення невідомого шкідливого коду, який може змінити своє поведінку, щоб обійти рішення безпеки, évадить виявлення та поширення більш ефективно. Атакувальники продовжуватимуть використовувати штучний інтелект не тільки для створення нового, складного, унікального та раніше невідомого шкідливого коду, який обійде існуючі рішення, але також для автоматизації “кінець у кінець” ланцюга атаки. Це значно знизить їх витрати, збільшить їх масштаб та одночасно зробить атаки більш складними та успішними. Кіберіндустрія повинна переосмислити існуючі рішення, навчання та програми підвищення осведомленості, на які ми покладалися протягом останніх 15 років. Як ми бачимо у порушеннях цього року самому, вони вже не справляються, і це стане ще гірше.

Чи можете ви коротко підсумувати типи рішень, які пропонуються Deep Instinct щодо додатків, кінцевих точок та рішень зберігання?

Платформа передбачуваного запобігання Deep Instinct – це перше та єдине рішення, засноване на унікальній DL-рамці, спеціально розробленій для вирішення сучасних проблем кібербезпеки – а саме, запобігання загрозам до того, як вони зможуть виконатися та приземлитися у вашому середовищі. Платформа має три основні напрямки:

1. Безагентне, у контейнеризованому середовищі, підключене через API або ICAP: Deep Instinct Prevention for Applications – це безагентне рішення, яке запобігає програмам-вимагачам викупу, нулевим загрозам та іншим невідомим шкідливим кодам до того, як вони досягнуть ваших додатків, не впливаючи на досвід користувача.
2. Агентне на кінцевій точці: Deep Instinct Prevention for Endpoints – це самостійна платформа запобігання перш за все – не на виконання, як більшість рішень сьогодні. Або це може забезпечити справжній шар запобігання загроз для доповнення будь-яких існуючих рішень EDR. Це запобігає відомим та невідомим, нулевим та програмам-вимагачам викупу загрозам до виконання, до будь-якої шкідливої діяльності, значно знижуючи кількість сповіщень та хибно позитивних результатів, щоб команди SOC могли зосередитися виключно на високочітких, легітимних загрозах.
3. Запобіжний підхід до захисту зберігання: Deep Instinct Prevention for Storage пропонує передбачувальний підхід до зупинки програм-вимагачів викупу, нулевих загроз та інших невідомих шкідливих кодів від проникнення у середовища зберігання – незалежно від того, чи зберігаються дані локально чи в хмарі. Це забезпечує швидке, надзвичайно ефективне рішення для централізованого зберігання для клієнтів, запобігаючи тому, щоб зберігання стало пунктом розповсюдження будь-яких загроз.

Дякуємо за чудовий огляд. Читачам, які бажають дізнатися більше, слід відвідати Deep Instinct.