Інтерв’ю

Кіт Стюарт, засновник і генеральний директор Humanix – Інтерв’ю серії

mm
Опубліковано

Кіт Стюарт, засновник і генеральний директор Humanix, – ветеран кібербезпеки з більш ніж 25-річним досвідом, який охоплює управління продуктом, інженерію, розвиток бізнесу та керівництво у деяких з найбільш визнаних компаній галузі, включаючи Cisco, Brocade, Riverbed і vArmour. До заснування Humanix у 2023 році він обіймав посаду тимчасового генерального директора та старшого віце-президента з продукту та інженерії у vArmour, де допоміг компанії пройти процес придбання та переходу до моделі бізнесу, заснованої на SaaS. На протяженні своєї кар’єри Стюарт очолював глобальні команди, керував великими ініціативами з продуктів кібербезпеки, брав участь у заходах з приватного фінансування та діяльності з злиття та поглинання, а також відігравав ключову роль у розробці наступного покоління технологій безпеки. Його широкий досвід у сфері безпеки підприємств та глибоке розуміння того, як атакувальники використовують поведінку людини, привели його до створення Humanix з місією захисту людей від все більш складних атак соціальної інженерії.

Humanix – це компанія з кібербезпеки, яка піонерує у сфері того, що вона називає виявленням і реагуванням на загрози для людини (HTDR), нову категорію, орієнтовану на захист “людського шару” безпеки підприємства. Натомість, зосереджуючись виключно на кінцевих точках, мережах та інфраструктурі, Humanix використовує розмовний штучний інтелект, навчений на психології людини та моделях атак природної мови, для виявлення маніпуляцій, обману, викрадення особистості та інших тактик соціальної інженерії через голосові, чат, електронну пошту, відео та взаємодію з службою підтримки. Платформа розроблена для ідентифікації атак в режимі реального часу, допомагаючи організаціям зупиняти порушення безпеки до того, як атакувальники зможуть використати працівників, підрядників або клієнтів. Підхід Humanix відображає зростаюче визнання того, що більшість успішних кібератак націлені на людей, а не на системи, і компанія має на меті надати командам з безпеки такий же рівень видимості та можливостей реагування на загрози, спрямовані на людей, як і на традиційні кібератаки.

Ви очолювали великі трансформації в компаніях, таких як vArmour, включаючи переходи на SaaS, масштабування інженерних команд та навігацію під час придбання. Яке конкретне розрив чи переломний момент привів вас до заснування Humanix, і чому ви так сильно зосередились на захисті людей, а не систем?

Найбільшим викликом у будь-якій організації є ризик, пов’язаний з людиною. Люди є нашим найпотужнішим оборонним активом і нашою найбільшою зоною постійного уразливості. Однак це проблема, яка тривалий час залишалася невирішеною. Відповідь галузі полягала у тренуванні – фактично спробі перетворити середнього працівника на експерта з кібербезпеки за одну годину. Ми знаємо, що це не працює, але у нас не було кращих рішень.

Нещодавно відбулися дві зміни, одна гірша, а друга краща. Спочатку гірша: штучний інтелект робить атаки, що націлені на людей безпосередньо, ще більш доступними. Ви можете бути підлітком на іншому боці світу, не говорити жодного слова англійською, нічого не знати про конкретний бізнес, і раптом велика мова дозволяє вам знати майже все і звучати як майже хтось інший. Це створює реальну і поточну небезпеку.

Друга зміна, краща: у нас тепер є технології для виявлення цих атак. Великі мови дуже хороші у розумінні нюансів і складності людських взаємодій. З розмовним штучним інтелектом ми можимо ідентифікувати моделі у цих взаємодіях і реагувати майже в режимі реального часу.

Ми більше не мусимо покладатися лише на застарілі, тренінгово-орієнтовані стратегії. Вперше у нас є можливість безпосередньо вирішити проблему уразливості людини. Саме тому ми створили Humanix.

Ваша робота тривалий час була зосереджена на великомасштабних даних, поведінцевому аналізі та графічних моделях безпеки. Як ці досвіди сформували підхід Humanix до виявлення атак, які не виглядають як традиційні порушення?

На поверхні виявлення інтерактивних атак соціальної інженерії виглядає як складна задача. Кожна людина є іншою. Природна мова є дуже багатовимірною. Класичні моделі, засновані на машинному навчанні, не розуміють контексту, і тому часто дають помилкові спрацьовування.

Однак, коли ви заглибитеся трохи глибше, ви можете побачити, що ця клас атак має моделі, як і будь-яка інша. Натомість атакувальники експлуатують пробіли у бізнес-процесах та довіру людей. Атакувальники мають підручники, які вони постійно застосовують проти організацій, що означає, що ми повинні бути здатні виявляти та реагувати на ці атаки так само, як ми робимо це на кінцевих точках, мережах, в хмарі чи на рівні ідентифікації.

Це розуміння дозволяє нам поєднати класичні моделі виявлення та реагування, які ми знаємо ефективними – включаючи поведінковий аналіз та теорію графів – з можливостями семантичного розуміння мовних моделей. Humanix використовує це поєднання для розуміння сутностей, відносин, поведінки, ризику та самої взаємодії. Саме так ми створюємо новий клас продуктів виявлення та реагування: Виявлення та Реагування на Загрози Людині.

Нові групи, такі як BlackFile, використовують фішинг голосових дзвінків та соціальну інженерію в реальному часі замість тактик, заснованих на зловмисному програмному забезпеченні. Що це говорить нам про те, як змінюється ландшафт загроз?

BlackFile є частиною ширшої зміни до атак, які менше зосереджені на введенні зловмисного програмного забезпечення в середовище та більше на використанні природної мови для того, щоб змусити людину відкрити двері.

Ці групи зрозуміли, що переконливий телефонний дзвінок, правдоподібний передісторія та правильна кількість терміновості можуть бути такими ж ефективними, як технічна уразливість, і часто важче для команд з безпеки виявити. Поверхня атаки не змінилася так сильно, як змінився фокус атакувальників. Люди завжди були частиною поверхні атаки. Що змінилося, це масштаб, зрілість та повторюваність підручника.

Соціальна інженерія копіюється, удосконалюється та індустріалізується, оскільки вона працює. Вона використовує те, як дійсно працюють бізнеси, особливо у робочих процесах, де людей очікують допомогти швидко, вирішити винятки та тримати все в русі.

Ми спостерігаємо, як атакувальники видають себе за служби технічної підтримки та експлуатують працівників безпосередньо для отримання доступу. Чому такі техніки, як фішинг голосових дзвінків та маніпуляція службою підтримки, стають такими ефективними первинними точками входу?

Техніки, такі як фішинг голосових дзвінків та маніпуляція службою підтримки, так ефективні, оскільки вони використовують комбінацію довіри, терміновості та доступу, знайдених у багатьох робочих процесах підтримки та адміністративних взаємодій.

Якщо я хочу потрапити у ваше середовище, я можу витратити тижні на пошук технічної уразливості. Або я можу зателефонувати комусь, хто навчений допомагати, створити правдоподібну історію та змусити його зробити те, що мені потрібно зробити, незалежно від того, чи це скидання пароля, реєстрація нового фактору автентифікації, зміна дозволу чи затвердження запиту.

Людина на іншому кінці дзвінка часто намагається вирішити реальну проблему під тиском часу та з неповною інформацією. Саме це робить службу підтримки однією з небагатьох місць, де розмова може безпосередньо перетворитися на доступ. Як тільки доступ надано, все інше може відбутися дуже швидко.

Галузь вклала великі кошти у навчання працівників, проте порушення безпеки, націлені на людей, продовжують зростати. Де традиційна осведомленість про безпеку не виправдовує себе, і що потрібно змінити?

Навчання осведомленості про безпеку розглядається як основна оборона проти соціальної інженерії, хоча результати явно показують її обмеження. Організації продовжують вкладати великі кошти у навчання, проте атакувальники продовжують досягати успіху, оскільки вони націлені на людей у живих взаємодіях, а не перевіряють, чи пам’ятають працівники матеріал з курсу.

Атака соціальної інженерії не є тестом. Це людина на іншому кінці телефонного дзвінка або чат-повідомлення, яка створює терміновість, будує довіру та намагається змусити когось зробити дію, яку не слід робити. Поточна модель ламаєся, оскільки вона очікує, що працівник визнає та зупинить атаку, тоді як атакувальник активно маніпулює взаємодією.

Коли щось піде не так, реакцією часто є звинувачення працівника та призначення додаткового навчання. Але працівник зазвичай намагався допомогти, що саме й просить бізнес кожного дня. Нам потрібно припинити розглядати соціальну інженерію лише як проблему осведомленості. Це клас атак, і нам потрібно виявляти та реагувати на них під час взаємодії.

Humanix позиціонується навколо виявлення атак на людей в реальному часі. Що таке спостережуваність ризику людини на практиці?

Спостережуваність ризику людини означає надання командам з безпеки видимості у живих взаємодіях, де атакувальники намагаються маніпулювати людьми, щоб змінити доступ, обійти необхідну процедуру або зробити іншу небезпечну дію від імені атакувальника.

Сьогодні ці взаємодії є ефективно невидимими для безпеки. Хтось телефонує у службу підтримки, відкриває тикет або починає чат. Пароль скидається, фактор автентифікації реєструється, дозвіл змінюється чи виняток затверджується. Це дуже чутливі робочі процеси, проте команди з безпеки не мають жодної видимості та спостережуваності.

Humanix змінює це. Ми підключаємося до систем корпоративної комунікації, які вже використовуються – Microsoft 365, ServiceNow, Zoom, Slack та інші. Humanix моніторить дії та взаємодії через ці канали та порівнює їх з тактиками атак та корпоративними процедурами.

Була ли людина на телефоні належним чином верифікована? Чи говорила вона своєю дорогою навколо верифікації? Чи була терміновість, викрадення особистості чи тиск, щоб обійти необхідний крок? Чи була агентка на межі високоризикової дії? Як змінився профіль ризику під час прогресу дзвінка? Humanix забезпечує виявлення безпеки та реагування під час взаємодії, і повідомляє команду безпеки, якщо щось виглядає підозріло.

Останньою метою цього аналізу є не покарати жертв після факту. Це захистити їх у моменті. Якщо розмова стає атакою, команді безпеки потрібно знати.

Як штучний інтелект та технології глибоких фейків покращуються, наскільки ми близько до моменту, коли довіра людини стане найслабшим поверхом атаки?

Довіра людини була однією з найслабших поверхонь атаки протягом тривалого часу. Штучний інтелект робить атаки проти довіри легшими для створення, налаштування та масштабування.

Однак нам потрібно бути обережними, щоб не перебільшувати конкретний випадок “глибоких фейків”. Глибокі фейки – це лише один із засобів, який атакувальники можуть використовувати для маніпулювання людиною. Насправді, якщо ми подивимось на більшість успішних атак соціальної інженерії за останні роки, більшість з них не були глибокими фейками – це просто люди-атакувальники та шахраї, які беруть телефон. Групи, такі як Scattered Spider, ShinyHunters та BlackFile, показали, що звичайний телефонний дзвінок, правдоподібна передісторія та правильна кількість терміновості достатньо, щоб змусити когось зробити дію на користь атакувальника.

Команди з безпеки повинні зосередитися на повідомленні, а не на засобі. Хтось, кого тиснуть на порушення політики або затвердження винятку у підозрілих обставинах – це справжнє ризиковане поведінка. Ризики лежать у самій взаємодії та дії, яку вона призначена викликати.

Довіра – це не те, чого ми можемо позбутися у бізнесі. Люди повинні відповідати на дзвінки, вирішувати проблеми, затверджувати запити та допомагати один одному. Відповідь не може полягати у тому, щоб зробити всіх менш людськими. Це повинно бути захистом моментів, коли довіра експлуатується.

Яка роль повинна відігравати штучний інтелект у захисті від атак соціальної інженерії, що рухаються штучним інтелектом, і які є найбільшими технічними викликами у виявленні маніпуляцій у реальному часі?

Розмовний штучний інтелект відкриває можливість перетворити атаки соціальної інженерії, що рухаються штучним інтелектом, з проблеми навчання у проблему виявлення та реагування. Моделі мови дозволяють нам застосовувати всі наші знання з доменів, таких як кінцеві точки чи мережа, до людського шару. Нам потрібно виявляти та реагувати на ці атаки, а не продовжувати марнувати час на спроби навчити людей уникати їх.

Є багато технічних викликів у перетворенні цієї бачення у реальність. Природна мова є дуже багатовимірною, тобто існує безліч різних способів вираження одного й того ж значення. Казати “Я заблокований зі свого системи” – це функціонально еквівалентне твердженню “Мені потрібно скинути пароль”, хоча слова “пароль” і “скинути” не були використані.

Іншим є важливість контексту. Людські взаємодії є контекстними та накопичувальними, і тому так само маніпуляція людьми. Дзвінок може звучати спокійно, ввічливо та правдоподібно, водночас спрямовуючи людину навколо верифікації чи до небезпечної дії. Нам потрібно поєднати кілька сигналів та контекстних даних разом, щоб точно розділити доброзичливі та зловмисні дії.

Останнім є те, що кожна організація є іншою. Вона має різні процедури та норми, майже всі з яких не є машинозчитуваними. Це ще одна область, де штучний інтелект може бути великою допомогою – розуміння цих політик та порівняння їх з спостережуваною поведінкою у реальному світі.

Багато інструментів безпеки все ще зосереджені на кінцевих точках, мережах та системах ідентифікації. Як мають подумки про архітектуру головні офіцери з безпеки, якщо основна зона боротьби зміщується до поведінки людини?

По-перше, головні офіцери з безпеки повинні офіційно визнати те, що ми всі інтуїтивно знаємо: людський капітал організації є класом активів (як кінцеві точки, мережа чи хмарні технології), який потрібно керувати. Загрози та ризики потрібно точно моделювати та контролювати.

Рамка кібербезпеки NIST вже надає керівництво щодо того, як це зробити. “Ідентифікація” та “керування” людей є частиною підмножини ідентифікації ризиків (ID.AM) підмножини ідентифікації ризиків. Однак багато організацій визначають проблему ризику людини як проблему навчання та керують нею лише через вимоги до навчання осведомленості про безпеку. Це потрібно змінити.

Коли ми ставимо людський капітал як свій власний клас активів, це відкриває стандартні підручники, які ми виконуємо для будь-якого іншого класу активів. Які ключові ризики (ID.RA)? Як я систематично захищаюся від них (Захист)? Які наші системи та процеси для виявлення того, чи атакувальник намагається порушити ці оборони, або ж вже має доступ (Виявлення)? Як організація реагує на обмеження загрози та відновлення послуг (Реагування та Відновлення)? Застосовуючи той же систематичний підхід до нашого людського капіталу, як і до будь-якого іншого класу активів, ми можемо більш чітко ідентифікувати ризики та більш ефективно пріоритезувати ресурси для керування цими ризиками.

Оглядаючи вперед, чи очікуєте ви, що атаки на людський шар будуть домінувати у кіберзлочинності, чи побачимо ми гібридну модель, у якій штучний інтелект та соціальна інженерія зливаються у щось складніше для захисту?

Це майже напевно буде змішаною моделлю загроз. У нас відбуваються дві речі одночасно. По-перше, атакувальники вчаться масштабувати свої атаки за допомогою штучного інтелекту, збільшуючи доступність та знижуючи вартість цього класу атак. По-друге, підприємства самі проходять через агентську трансформацію штучного інтелекту, яку очолюють самі бізнес-сервіси, які атакуються такими групами, як BlackFile.

Сервіс підтримки, допоміжна служба, служба підтримки, фінансові операції та внутрішні служби підтримки перетворюються з людських на ті, що надаються штучним інтелектом. Це означає, що ми побачимо вибух у поверхні атак природної мови, одночасно позбавляючись людської інтуїції. Великі мови моделей тренуються на відповіді на інструкції та бути корисними. Людська підозрілість або “чуття” людини, які були деякими з наших найкращих захистів проти атак соціальної інженерії, були свідомо видалені з моделей відповідей. Перехід до послуг, наданих штучним інтелектом, в кінцевому підсумку збільшить ризик атак соціальної інженерії, а не зменшить його.

Як результат, експозиція підприємств до цього класу атак майже напевно продовжить зростати протягом наступних років. Люди та агенти обидва вразливі до атак природної мови. Команди з безпеки повинні почати планувати сьогодні систематичну оборону та план реагування на цю нову реальність. Люди та агенти обидва вразливі до природної мови атак. Команди з безпеки повинні почати планувати сьогодні систематичну оборону та план реагування на цю нову реальність.

Люди та агенти обидва вразливі до природної мови атак. Команди з безпеки повинні почати планувати сьогодні систематичну оборону та план реагування на цю нову реальність. Команди з безпеки повинні почати планувати сьогодні систематичну оборону та план реагування на цю нову реальність. Команди з безпеки повинні почати планувати сьогодні систематичну оборону та план реагування на цю нову реальність.

Дякую за чудове інтерв’ю, читачам, які бажають дізнатися більше про Humanix. 

mm

Антуан - видний лідер і засновник Unite.AI, який рухається незламною пристрасті до формування та просування майбутнього штучного інтелекту та робототехніки. Як серійний підприємець, він вважає, що штучний інтелект буде таким же революційним для суспільства, як і електрика, і часто захоплюється потенціалом революційних технологій і AGI.

Як футуролог, він присвячений вивченню того, як ці інновації будуть формувати наш світ. Крім того, він є засновником Securities.io, платформи, орієнтованої на інвестування в передові технології, які переінакшують майбутнє і змінюють цілі сектори.