Кара Спрейг, генеральний директор HackerOne – серія інтерв'ю

Кара Спрейг, генеральний директор HackerOne, — досвідчений керівник у сфері технологій з більш ніж двадцятирічним досвідом роботи в галузі керівництва продуктами, загального управління та стратегічного консалтингу в секторах програмного забезпечення та безпеки. Вона обійняла посаду генерального директора в листопаді 2024 року, обіймаючи керівні посади в F5, включаючи посаду виконавчого віце-президента та головного директора з продуктів, де вона керувала основними ініціативами щодо продуктів та платформ, а також раніше обіймала посади генерального менеджера, який контролював великий бізнес. До F5 вона понад десять років працювала партнером у McKinsey & Company, консультуючи провідні технологічні компанії з питань зростання та стратегії, і розпочала свою кар'єру як технічний співробітник в Oracle. Поряд із роботою в HackerOne, вона також входить до ради директорів Trimble Inc.

HackerOne – це компанія з кібербезпеки, найбільш відома як новатор у сфері безпеки на основі хакерських технологій, яка об’єднує організації з глобальною спільнотою етичних хакерів для виявлення та усунення вразливостей, перш ніж їх можна буде використати. Платформа підтримує підприємства та уряди через програми винагороди за виявлені помилки, розкриття вразливостей, тестування на проникнення та послуги з тестування безпеки, які поєднують людський досвід з автоматизацією та робочими процесами на основі штучного інтелекту. Перевівши безпеку з реактивної на проактивну модель, HackerOne стала критично важливою частиною сучасного стеку безпеки додатків для організацій, які прагнуть зменшити ризики та підвищити стійкість у великих масштабах.

Ви обійняли посаду генерального директора HackerOne у листопаді 2024 року після десятиліть керівництва F5, McKinsey, Oracle та іншими великими технологічними організаціями. Що спонукало вас прийняти цей виклик на цьому етапі вашої кар'єри, і які були перші пріоритети, які ви поставили перед собою, коли почали керувати компанією?

Я провів свою кар'єру на перетині технологій, стратегії та ризиків, допомагаючи організаціям орієнтуватися в моменти, коли ставки високі, а середовище швидко змінюється. Що мене привабило в HackerOne, так це те, що ми знову перебуваємо саме в такому переломному моменті, коли штучний інтелект змінює ландшафт кібербезпеки.

Безпека більше не є функцією бек-офісу, а основним фактором довіри, стійкості та швидкості бізнесу. Підприємства тепер працюють на основі глибоко взаємопов'язаних систем, постійних потоків даних та автоматизованого прийняття рішень у безпрецедентних масштабах. Штучний інтелект прискорює інновації, але також створює нові «шви», залежності та режими збоїв, з якими традиційні моделі безпеки не були створені.

Ось чому місія HackerOne зараз така важлива. Наша місія — надати світові можливості для побудови безпечнішого інтернету, і у світі, керованому штучним інтелектом, ця місія ще ніколи не була такою актуальною. HackerOne відрізняється тим, що ми поєднуємо глобальну спільноту дослідників безпеки людини з платформним інтелектом, щоб знаходити та виправляти вразливості, перш ніж зловмисники зможуть ними скористатися. Ця модель «людина в циклі» не просто відрізняється — вона є важливою.

З першого дня я зосередився на трьох пріоритетах: розширенні можливостей нашої агентської платформи, інвестуванні в нашу дослідницьку спільноту та поглибленні довіри з клієнтами та партнерами. Це означає масштабування червоних команд ШІ, перетворення Hai з другого пілота на скоординовану команду агентів ШІ, які допомагають організаціям постійно визначати пріоритети, перевіряти та швидше усувати ризики, а також запуск HackerOne Code для захисту програмного забезпечення на ранніх етапах циклу розробки. Сьогодні понад 90% наших клієнтів використовують Hai для пришвидшення своєї роботи з перевірки та виправлення вразливостей.

Ландшафт швидко змінюється, але наша мета незмінна: стримувати ризики, перш ніж вони вас визначать. У HackerOne це означає зробити безперервною, практичною та адаптованою до темпів сучасних інновацій.

HackerOne спостерігає як 200% зростання пентестування та червоного командного тестування на основі штучного інтелекту, так і стратегічний зсув у бік постійного управління загрозами. Як ці тенденції змінюють ваше довгострокове бачення компанії, і що цей імпульс сигналізує про майбутнє корпоративної безпеки?

Те, що ми бачимо, — це не сплеск, а перезавантаження. 200% зростання тестування на проникнення та використання штучного інтелекту для червоного командного тестування підтверджує, що безпека в певний момент часу просто не встигає за швидкістю змін сучасних підприємств.

Ця реальність формує наше довгострокове бачення щодо безперервного управління загрозами протягом усього життєвого циклу — від коду та хмари до систем штучного інтелекту. Оскільки штучний інтелект прискорює як інновації, так і швидкість атак, завдання полягає не у пошуку вразливостей, а у доведенні того, що можна експлуатувати, визначенні пріоритетів найважливішого та швидкому їх виправленні. Ми створюємо платформу, яка поєднує безперервне тестування, автономну перевірку, інтелектуальне визначення пріоритетів та людський досвід, щоб робити саме це.

Для керівників підприємств сигнал чіткий: безпека стає постійною бізнес-дисципліною, а не періодичним аудитом. Компанії, які досягнуть кращих результатів, будуть тими, хто виявить ризик раніше, зробить ставку на швидше та стримуватиме його до того, як він стане бізнес-проблемою. Цей зсув визначає майбутнє безпеки підприємств.

Як ваша система штучного інтелекту Hai інтегрується в робочий процес виявлення вразливостей, і де вона надає найбільше переваг дослідникам і клієнтам?

Hai — це скоординована команда агентів штучного інтелекту, безпосередньо вбудованих у робочий процес управління вразливостями, яка постійно аналізує та контекстуалізує результати, допомагаючи організаціям швидше визначати пріоритети, перевіряти та усувати ризики. Hai працює протягом усього життєвого циклу звіту, діючи як множник сили для захисників, оскільки обсяги зростають, а загрози стають складнішими.

Hai забезпечує найбільший вплив, відсіюючи шум. Він покращує сортування та розуміння, узагальнюючи звіти, виявляючи закономірності, перевіряючи результати та виділяючи проблеми, які найімовірніше мають значення. Наше дослідження показує, що 20% користувачів заощаджують від 6 до 10 годин щотижня, значне скорочення шляху від виявлення до впевненого усунення наслідків.

Дослідники також отримують користь. З більше половини з них зараз використовують штучний інтелект або автоматизацію у своїй роботі, Hai допомагає їм створювати переконливіші докази концепцій, чіткіші пояснення та більш послідовну перевірку.

Які нові категорії вразливостей з'явилися протягом минулого року, оскільки підприємства активніше впроваджують штучний інтелект у свої програмні стеки?

Оскільки штучний інтелект вбудовується в продукти та робочі процеси, ми спостерігаємо появу нових категорій вразливостей у значних масштабах. У нашому останньому звіті про безпеку, що працює під впливом хакерів, кількість дійсних звітів про вразливості штучного інтелекту зросла на 210% у порівнянні з минулим роком, і майже 80% керівників інформаційних систем (CISO) тепер включають ресурси штучного інтелекту до тестування безпеки. Найпомітнішим є швидке впровадження. зросла більш ніж на півроку порівняно з минулим роком, і залишається одним із найпоширеніших способів, за допомогою яких зловмисники впливають на поведінку моделі. Ми також спостерігаємо зростання маніпуляцій з моделями, ненадійної обробки виводу, отруєння даних та слабких місць, пов'язаних з навчальними даними та управлінням відповідями.

Особливо значущими ці ризики роблять те, що вони впливають не лише на системи, а й на рішення, робочі процеси та довіру клієнтів. Штучний інтелект створює шляхи до збоїв, які традиційне тестування не повністю охоплює. Оскільки ці системи розгортаються у виробничому середовищі та стають більш операційно критичними, спеціалізоване та безперервне тестування безпеки за допомогою ШІ ставатиме дедалі важливішим у програмах безпеки підприємств.

Наш підхід поєднує автоматизацію на основі штучного інтелекту для масштабування виявлення та виявлення закономірностей з людським досвідом для виявлення ледь помітних збоїв, нових слабких місць та реального впливу, що дозволяє захисникам діяти з тією ж швидкістю та масштабом, що й зловмисники.

Зі зростанням світової спільноти дослідників, як вам вдається підтримувати довіру, якість та справедливість, водночас просуваючи свої зобов'язання щодо різноманітності та інклюзії в такій великій екосистемі, що працює на основі краудфандингу?

Довіра є основою моделі безпеки, що працює на основі краудфандингу, і її потрібно будувати цілеспрямовано в міру масштабування спільноти. Для нас це починається з чітких стандартів, послідовних стимулів та сильного управління.

Наша спільнота складається з перевірених дослідників безпеки, які співпрацюють з клієнтами, щоб виявляти, перевіряти та допомагати усувати реальні вразливості в широкому спектрі технологій.

Ми підтримуємо якість та справедливість, поєднуючи аналітику платформи з людським наглядом — перевіряючи результати, забезпечуючи дотримання єдиних правил взаємодії та винагороджуючи дослідників на основі впливу, а не походження, географічного розташування чи стажу роботи. Системи репутації, прозоре сортування та послідовні моделі виплат створюють підзвітність з обох сторін ринку.

Ми глибоко зацікавлені в успіху дослідників. За допомогою адаптації, навчання та чітких шляхів розвитку ми допомагаємо новим дослідникам розвивати навички та авторитет. Протягом останніх шести років, 50 дослідників заробили понад 1 мільйон доларів кожен на нашій платформі — потужний сигнал як про якість роботи, так і про чесність моделі.

Різноманітність та інклюзія — це не окремі ініціативи; вони є основою сили екосистеми. Проблеми безпеки є глобальними, а різноманітні точки зору виявляють різні шляхи атак та сліпі зони. Результатом є надійна, високопродуктивна спільнота, яка стає сильнішою, а не більш фрагментованою, у міру свого зростання.

Які запобіжні заходи запровадила HackerOne, щоб забезпечити відповідальне виявлення вразливостей за допомогою штучного інтелекту та уникнути упередженості чи зловживання?

На нашій платформі агенти штучного інтелекту призначені для покращення чіткості, перевірки результатів та пришвидшення усунення недоліків, тоді як люди залишаються відповідальними за рішення щодо прийняття, серйозності та реагування.

Ми дотримуємося тих самих стандартів, яких очікуємо від клієнтів. Ми використовуємо наші можливості штучного інтелекту внутрішньо, постійно тестуємо їх у реальних робочих процесах та винагороджуємо нашу спільноту дослідників за виявлення серйозних вразливостей у наших власних рішеннях. Це створює щільний цикл зворотного зв'язку для раннього виявлення упередженості, невідповідності або неправильного використання.

Оскільки штучний інтелект все більше впроваджується в операції безпеки, наша мета — встановити планку, якій команди можуть довіряти, — засновану на прозорості, постійному тестуванні та людській відповідальності.

Зростання кількості виявлених вразливостей та винагород за них на 120% свідчить про значні зміни в ландшафті загроз. Чи інтерпретуєте ви це як прогрес у виявленні, чи як ознаку того, що корпоративне програмне забезпечення стає більш ризикованим?

Це і те, й інше — і в цьому суть.

Зростання відображає реальний прогрес у виявленні. Дослідники виявляють більше дієвих, високоякісних слабких місць, а збільшення винагород показує, що підприємства цінують виявлення та усунення реальних ризиків. Більше відкриттів не означає автоматично, що програмне забезпечення є більш ризикованим — це означає, що нарешті видно вплив.

Водночас, корпоративне програмне забезпечення стає все складнішим та взаємопов'язанішим. Штучний інтелект, залежності від сторонніх розробників та швидші цикли випуску розширюють поверхню атаки швидше, ніж були розроблені традиційні засоби контролю.

Висновок простий: ризик є динамічною річчю, і безпека також має бути динамічною. Найбільш стійкі організації вважають, що викриття неминуче, і невпинно зосереджуються на виправленні того, що дійсно важливо.

Що, на вашу думку, стане найбільшим викликом для краудсорсингових платформ безпеки протягом наступних кількох років, оскільки штучний інтелект стане більш потужним?

Найбільшим викликом будь-якої платформи безпеки є підтримка сигналу та довіри зі збільшенням швидкості та масштабу.

Оскільки штучний інтелект знижує бар'єр для виявлення інформації, платформи побачать різке зростання обсягів автоматизованих та гібридних робочих процесів. Ризик полягає не в недостатній кількості результатів, а в шумі, що перевантажує клієнтів, та невідповідних стимулах, що підривають довіру.

Успіху досягнуть ті платформи, які перевірять можливості використання, визначать пріоритетність впливу та узгодять винагороди з результатами, зберігаючи при цьому чітке управління та відповідальність людей. Майбутнє полягає не у пошуку більшої кількості проблем, а у швидшому пошуку правильних і втіленні розуміння в дії до того, як виникнуть бізнес-проблеми.

Чи плануєте ви розширення діяльності HackerOne за межі виявлення вразливостей на такі сфери, як безперервний моніторинг, усунення вразливостей на основі штучного інтелекту або прогнозне моделювання загроз?

Наша мета — вирішення основної проблеми, з якою стикаються підприємства: розуміння та стримування реальних ризиків у постійно мінливих умовах.

Це, природно, означає вихід за рамки виявлення в певний момент часу. Ми вже працюємо на всьому життєвому циклі ризику, від червоного об’єднання коду та штучного інтелекту до перевірки та визначення пріоритетів, і ми продовжуватимемо інвестувати в можливості, які допомагають клієнтам раніше виявити ризик, швидше зрозуміти наслідки та провести виправлення до закриття проблеми.

Штучний інтелект відіграє центральну роль у цій еволюції, зокрема у визначенні пріоритетів та пришвидшенні робочих процесів, але в центрі уваги завжди стоїть відповідальність людини. Наша орієнтирна зірка — це безперервна, практична безпека, яка йде в ногу з сучасними інноваціями.

Оскільки супротивники все частіше впроваджують штучний інтелект, як HackerOne планує залишатися попереду та забезпечити таку ж швидку еволюцію захисних інструментів?

Ми випереджаємо наших супротивників, діючи там, де виникають реальні атаки. Наша глобальна дослідницька спільнота вже тестує методи на основі штучного інтелекту в реальних середовищах, що дає нам раннє уявлення про те, як насправді діють супротивники.

Ми поєднуємо ці людські здібності з автоматизацією на основі штучного інтелекту для масштабування виявлення, перевірки, визначення пріоритетів та виправлення недоліків. Не менш важливо, що ми постійно тестуємо нашу власну платформу, використовуючи ті ж підходи до червоного командного аналізу зі штучним інтелектом, які ми пропонуємо клієнтам.

Мета полягає не в тому, щоб передбачити кожну нову атаку, а в тому, щоб створити систему, яка навчається швидше, ніж зловмисники. Саме так захисні інструменти не відстають у середовищі загроз, керованих штучним інтелектом.

Дякуємо за чудове інтерв'ю. Читачі, які бажають дізнатися більше про те, як компанія використовує людський досвід та безпеку на основі штучного інтелекту, щоб допомогти організаціям виявляти та стримувати реальні ризики, перш ніж вони стануть бізнес-проблемою, можуть відвідати HackerOne.