Connect with us

David Matalon, CEO và Founder của Venn – Loạt phỏng vấn

Phỏng vấn

David Matalon, CEO và Founder của Venn – Loạt phỏng vấn

mm
Published
Updated

David Matalon, CEO và Founder của Venn, là một doanh nhân连 tục với một hồ sơ dài về xây dựng các nền tảng công nghệ doanh nghiệp bảo mật, đã từng lãnh đạo OS33 – một trong những người dẫn đầu đầu tiên trong không gian làm việc bảo mật cho các công ty tài chính – và External IT, một người tiên phong trong dịch vụ CNTT lưu trữ. Với Venn, ông tập trung vào việc tái định nghĩa bảo mật làm việc từ xa bằng cách cho phép các tổ chức áp dụng mô hình mang thiết bị của riêng bạn (BYOD) mà không hy sinh sự tuân thủ hoặc kiểm soát, tận dụng kinh nghiệm sâu sắc của mình trong cơ sở hạ tầng đám mây, bảo mật điểm cuối và các ngành công nghiệp được quản lý để giải quyết các thách thức ngày càng tăng của lực lượng lao động phân tán.

Venn là một nền tảng bảo mật và làm việc từ xa được thiết kế để bảo mật dữ liệu công ty trên các thiết bị cá nhân và không được quản lý thông qua công nghệ Blue Border độc quyền của nó, tạo ra một khu vực bảo mật, mã hóa trên máy tính của người dùng nơi các ứng dụng và dữ liệu làm việc được cách ly với hoạt động cá nhân. Không giống như cơ sở hạ tầng máy tính ảo truyền thống, Venn cho phép các ứng dụng chạy cục bộ với hiệu suất bản địa trong khi thực thi các chính sách bảo vệ dữ liệu và tuân thủ nghiêm ngặt, giúp các tổ chức giảm thiểu chi phí CNTT, tích hợp người lao động từ xa nhanh chóng và duy trì quyền riêng tư bằng cách tách biệt môi trường công ty và cá nhân trên cùng một thiết bị.

Bạn đã dành hơn hai thập kỷ xây dựng công nghệ cho làm việc từ xa bảo mật, từ việc ra mắt Offyx vào những ngày đầu của các nhà cung cấp dịch vụ ứng dụng đến việc thành lập OS33 và bây giờ là Venn. Những bài học từ những công ty trước đó đã dẫn bạn đến việc xây dựng Venn, và làm thế nào những kinh nghiệm đó đã định hình ý tưởng về Blue Border và tầm nhìn của bạn về bảo mật lực lượng lao động BYOD hiện đại?

Trong hơn hai thập kỷ qua, tôi đã có cơ hội xây dựng các công ty tại các giai đoạn khác nhau trong sự tiến hóa của làm việc từ xa. Tại OS33, chúng tôi đã dành nhiều năm cung cấp môi trường làm việc từ xa bảo mật thông qua cơ sở hạ tầng lưu trữ sử dụng công nghệ tương tự như cơ sở hạ tầng máy tính ảo (VDI). Mặc dù mô hình bảo mật đã hoạt động, nhưng chúng tôi vẫn nhận được phản hồi giống nhau từ khách hàng: trải nghiệm sử dụng ứng dụng từ xa thường chậm, phức tạp để duy trì và gây khó chịu cho người dùng.

Phản hồi đó là một điểm chuyển biến. Lưu trữ từ xa đã giới thiệu độ trễ không thể tránh khỏi và yêu cầu cơ sở hạ tầng đáng kể, tạo ra sự phức tạp về hoạt động cho các đội CNTT. Chúng tôi bắt đầu đặt ra một câu hỏi đơn giản: điều gì xảy ra nếu bạn có thể loại bỏ lưu trữ khỏi phương trình hoàn toàn? Thay vì chạy công việc ở một nơi khác và truyền nó đến người dùng, bạn có thể chạy công việc một cách bảo mật trên thiết bị của người dùng trong khi vẫn bảo vệ dữ liệu công ty?

Cách suy nghĩ đó cuối cùng đã dẫn đến Venn và khái niệm về Blue Border. Thay vì buộc công việc thông qua lưu trữ từ xa và ảo hóa, chúng tôi đã tạo ra một mô hình mới cho phép các ứng dụng công ty chạy cục bộ trên máy tính xách tay của người dùng trong khi giữ dữ liệu công ty mã hóa và bảo vệ. Ngay cả trên máy tính xách tay cá nhân, công việc vẫn được cách ly và bảo vệ khỏi hoạt động cá nhân.

Công cụ trí tuệ nhân tạo đang lan rộng khắp các doanh nghiệp nhanh hơn so với các chính sách có thể theo kịp. Từ quan điểm của bạn, tại sao quản trị đã khó theo kịp với việc áp dụng AI trong các tổ chức?

Quản trị đã khó theo kịp với việc áp dụng AI vì công nghệ đã trở thành một công cụ hàng ngày gần như qua đêm. Trong vài năm kể từ khi ChatGPT bùng nổ, nhân viên đã tích hợp AI vào cuộc sống và quy trình làm việc của họ. Họ không chờ đợi các chu kỳ phê duyệt CNTT chính thức; họ đã sử dụng AI để viết nhanh hơn, phân tích thông tin, tóm tắt cuộc họp hoặc tạo mã trong vài giây. Trong hầu hết các tổ chức, việc tạo chính sách, xem xét pháp lý, xác thực bảo mật và triển khai CNTT xảy ra trên một thời biểu chậm hơn so với hành vi của người dùng. Đó là khoảng cách mà quản trị AI đang tụt lại phía sau.

Vấn đề sâu sắc hơn là nhiều tổ chức đang cố gắng áp dụng mô hình kiểm soát của ngày hôm qua vào thực tế AI của ngày hôm nay. Quản trị truyền thống được xây dựng xung quanh việc phê duyệt hoặc chặn một tập hợp ứng dụng đã biết, nhưng AI bây giờ được nhúng vào các trình duyệt, nền tảng SaaS và thậm chí cả trong các hệ điều hành. Quản trị phải phát triển vượt ra ngoài việc kiểm soát một tập hợp công cụ đã định và tập trung vào việc bảo vệ dữ liệu ở bất kỳ nơi nào nó cư trú, bảo mật môi trường làm việc và định nghĩa các điều kiện mà thông tin nhạy cảm có thể được sử dụng một cách an toàn.

Nhiều công ty cố gắng giải quyết vấn đề bằng cách hạn chế hoặc cấm các công cụ AI tạo ra. Tại sao bạn tin rằng cách tiếp cận này không thành công trong thực tế, và những rủi ro bảo mật không mong muốn nào mà nó có thể tạo ra?

Các lệnh cấm không thành công vì chúng bỏ qua thực tế về cách mọi người làm việc. Nhân viên sẽ tìm cách sử dụng các công cụ AI bất kể phê duyệt chính thức. Điều đó tạo ra AI bóng tối, hoặc sử dụng công cụ không được phê duyệt, tài khoản cá nhân, quy trình làm việc sao chép và tương tác dựa trên trình duyệt, có thể xảy ra ngoài sự giám sát được phê duyệt. Công ty sau đó mất khả năng hiển thị, đặt dữ liệu nhạy cảm của mình vào rủi ro.

Trong nhiều trường hợp, các chính sách hạn chế có thể tăng rủi ro hơn là giảm rủi ro. Khi nhân viên không thể sử dụng các công cụ này một cách bảo mật, họ thường tìm cách giải quyết vấn đề. Dữ liệu công ty nhạy cảm có thể kết thúc bằng cách chảy vào các công cụ mà các đội CNTT hoặc bảo mật không theo dõi hoặc kiểm soát. Cách tiếp cận tốt hơn là không phải cấm đoán vì bản thân nó, mà cho phép sử dụng an toàn thông qua cách ly, kiểm soát dữ liệu và rào cản rõ ràng cho phép kinh doanh tiến triển mà không暴露 thông tin quan trọng.

Các khả năng AI ngày càng được nhúng trực tiếp vào các ứng dụng hàng ngày thay vì tồn tại như các công cụ độc lập. Sự thay đổi này làm thế nào thay đổi cách các đội bảo mật nên suy nghĩ về việc theo dõi và kiểm soát việc暴露 dữ liệu?

Sự thay đổi này là đáng kể vì nó phá vỡ mô hình tâm lý cũ về “ứng dụng rủi ro so với ứng dụng được phê duyệt”. Nếu AI được nhúng vào email, CRM, hội nghị, chỉnh sửa tài liệu và tìm kiếm, thì việc暴露 dữ liệu không còn liên quan đến việc người dùng mở một công cụ AI riêng biệt. Nó được kết nối với dữ liệu nào có thể truy cập được trong ứng dụng, ngữ cảnh mà AI có thể nhìn thấy và liệu tương tác đó xảy ra trong một không gian làm việc bảo mật.

Do đó, các đội bảo mật cần tập trung vào việc bảo vệ dữ liệu thay vì khóa thiết bị hoàn toàn. Sự tập trung nên là cách ly các phiên làm việc, kiểm soát sao chép và tải xuống nơi phù hợp, ngăn chặn rò rỉ qua các ngữ cảnh kinh doanh và cá nhân, và đảm bảo thông tin nhạy cảm vẫn nằm trong một môi trường được bảo vệ.

Công nghệ Blue Border của Venn cách ly các ứng dụng và dữ liệu làm việc cục bộ trên thiết bị cá nhân của người dùng thay vì dựa vào cơ sở hạ tầng máy tính ảo truyền thống. Kiến trúc này làm thế nào thay đổi cơ bản mô hình bảo mật điểm cuối cho làm việc từ xa?

Blue Border thay đổi cơ bản mô hình bảo mật điểm cuối bằng cách vượt ra ngoài ý tưởng rằng bảo mật yêu cầu kiểm soát thiết bị hoàn toàn hoặc một máy tính ảo. VDI truyền thống bảo mật công việc bằng cách lưu trữ từ xa và truyền nó đến người dùng. Blue Border bảo mật công việc trực tiếp trên thiết bị cá nhân của người dùng bằng cách tạo một khu vực bảo mật được kiểm soát bởi CNTT, nơi các ứng dụng chạy cục bộ và dữ liệu công ty vẫn được cách ly và bảo vệ.

Kết quả là một mô hình bảo mật khác cho làm việc từ xa, nơi các công ty có thể thực thi bảo vệ xung quanh công việc本身 mà không cần phát hành thiết bị công ty hoặc buộc người dùng phải đối mặt với độ trễ và độ trễ mà việc lưu trữ máy tính để bàn trên đám mây mang lại.

Từ quan điểm kiến trúc bảo mật, điều này chuyển mô hình từ kiểm soát toàn bộ điểm cuối hoặc tập trung hóa các giao thức bảo mật, sang bảo vệ không gian làm việc bản thân, nơi nó cư trú. Blue Border đảm bảo rằng dữ liệu nhạy cảm không bao giờ rời khỏi môi trường cục bộ được bảo vệ và thực thi chính sách trong ranh giới đó. Nó ngăn chặn rò rỉ sang phía cá nhân của thiết bị. Do đó, người dùng có thể tận hưởng hiệu suất tính toán và ứng dụng bản địa, và họ có thể sử dụng thiết bị cá nhân từ bất kỳ nơi nào trên thế giới, thay vì thiết bị công ty được yêu cầu.

Nhiều tổ chức gặp khó khăn trong việc cân bằng quyền riêng tư của nhân viên và giám sát công ty khi công nhân sử dụng thiết bị cá nhân. Các đội bảo mật có thể bảo vệ dữ liệu nhạy cảm mà không tạo ra nhận thức về việc giám sát?

Chìa khóa là bảo vệ công việc, không phải hoạt động cá nhân. Nhân viên hiểu rõ khi các biện pháp bảo mật có thể mở rộng vào tệp cá nhân, tin nhắn, lịch sử trình duyệt hoặc ứng dụng cá nhân của họ. Trên thiết bị BYOD, niềm tin quan trọng. Nếu công ty không thể giải thích rõ ràng nơi khả năng hiển thị của họ bắt đầu và kết thúc, nhân viên sẽ giả định điều tồi tệ.

Mô hình mạnh hơn là một mô hình tạo ra một không gian làm việc riêng biệt cho hoạt động kinh doanh và áp dụng các kiểm soát bảo mật chỉ trong ranh giới đó. Điều này cung cấp cho tổ chức khả năng bảo vệ dữ liệu công ty trong khi cho nhân viên sự tự tin rằng hoạt động cá nhân của họ không bị theo dõi hoặc quản lý. Quyền riêng tư và bảo mật không cần phải cạnh tranh nếu kiến trúc được thiết kế để tách chúng một cách sạch sẽ.

Làm việc từ xa và các đội dựa trên nhà thầu đã khiến môi trường BYOD gần như không thể tránh khỏi. Những rủi ro bảo mật lớn nhất liên quan đến thiết bị không được quản lý ngày nay là gì?

Rủi ro lớn nhất là thiết bị không được quản lý xóa bỏ ranh giới giữa hoạt động kinh doanh và cá nhân. Trên cùng một máy, người dùng có thể có các ứng dụng làm việc mở cùng với email cá nhân, công cụ AI của người tiêu dùng, ứng dụng nhắn tin, dịch vụ chia sẻ tệp và tiện ích mở rộng trình duyệt không đáng tin cậy. Không có lớp cách ly bảo mật, rất dễ dàng để dữ liệu nhạy cảm bị sao chép, lưu vào bộ nhớ đệm, tải xuống, chụp màn hình hoặc暴露 qua các kênh mà công ty không kiểm soát. Đối với các tổ chức phải tuân theo các quy định về bảo mật dữ liệu, đây là một rủi ro lớn.

Các đại lý AI và các quy trình tự động hóa đang bắt đầu tương tác trực tiếp với các ứng dụng và dữ liệu doanh nghiệp. Những thách thức bảo mật mới mà các hệ thống tự động này giới thiệu?

Các hệ thống tự động giới thiệu một lớp rủi ro khác vì chúng không chỉ tạo ra nội dung, mà còn có thể hành động. Các đại lý AI kết nối với hệ thống doanh nghiệp có thể truy xuất hoặc di chuyển dữ liệu, cập nhật hồ sơ, kích hoạt quy trình hoặc giao tiếp bên ngoài. Điều đó mở rộng bán kính ảnh hưởng của một sai lầm, cấu hình sai hoặc danh tính bị xâm phạm đáng kể hơn so với những gì chúng tôi thấy với các trợ lý AI thụ động.

Điều này cũng tạo ra các câu hỏi mới về quyền truy cập, niềm tin và trách nhiệm. Dữ liệu nào mà đại lý được phép truy cập? Trong những điều kiện nào nó có thể hành động? Làm thế nào hoạt động đó được ghi nhật ký, hạn chế và xem xét? Các đội CNTT và bảo mật sẽ cần đối xử với các đại lý AI ít hơn như các tính năng phần mềm và nhiều hơn như các diễn viên số đặc quyền. Điều đó có nghĩa là áp dụng các nguyên tắc như đặc quyền tối thiểu, phân đoạn, cách ly phiên và khả năng kiểm toán mạnh mẽ từ đầu.

Khi các tổ chức tích hợp trí tuệ nhân tạo tạo ra vào các công cụ năng suất, hệ thống hỗ trợ khách hàng và quy trình làm việc nội bộ, những loại暴露 dữ liệu nhạy cảm nào khiến bạn lo lắng nhất?

Sử dụng AI tạo ra trong nơi làm việc đã làm mờ ranh giới giữa dữ liệu cá nhân và công ty. Nhân viên thường truy cập các công cụ bên ngoài trong khi làm việc với thông tin công ty, điều này làm cho dữ liệu nhạy cảm như hồ sơ khách hàng, tài liệu nội bộ, mã nguồn hoặc thông tin tài chính rất dễ dàng bị rò rỉ vào môi trường bên ngoài. Khi dữ liệu công ty chảy qua các ngữ cảnh cá nhân hoặc thiết bị không được quản lý, các công ty mất khả năng hiển thị và kiểm soát nơi thông tin đó đi, cách nó được lưu trữ và ai có thể truy cập nó. Khi AI trở nên nhúng vào các quy trình làm việc hàng ngày, các tổ chức cần giải quyết ranh giới mờ này một cách rõ ràng bằng cách đảm bảo rằng dữ liệu công ty vẫn được bảo vệ ngay cả khi công việc xảy ra trên thiết bị cá nhân.

Nhìn về tương lai, bạn thấy bảo mật điểm cuối sẽ phát triển như thế nào khi các quy trình làm việc được thúc đẩy bởi AI trở nên phổ biến hơn trên lực lượng lao động từ xa và phân tán?

Bảo mật điểm cuối sẽ cần trở nên thích ứng, nhận thức ngữ cảnh và tập trung vào không gian làm việc nhiều hơn. Trong quá khứ, thiết kế bảo mật điểm cuối giả định một thiết bị được quản lý, một ranh giới văn phòng được định nghĩa và một tập hợp ứng dụng kinh doanh tương đối ổn định. Tương lai là phân tán, được thúc đẩy bởi AI và ngày càng tự động. Bảo mật cần theo công việc bản thân, bất kể nó xảy ra ở đâu, mà không giả định kiểm soát toàn bộ thiết bị hoặc chặn năng suất.

Mô hình thắng sẽ là một mô hình kết hợp cách ly mạnh mẽ giữa thiết bị và dữ liệu nhạy cảm, kiểm soát truy cập nhận thức ngữ cảnh và một kiến trúc bảo vệ ranh giới rõ ràng giữa công việc và hoạt động cá nhân. Các tổ chức cần có môi trường nơi nhân viên, nhà thầu và các quy trình làm việc được AI hỗ trợ có thể hoạt động một cách sản xuất, nhưng trong các kiểm soát bảo vệ dữ liệu theo thiết kế. Các công ty thành công sẽ không phải là những công ty cố gắng làm chậm việc áp dụng AI; họ sẽ là những công ty làm cho việc áp dụng an toàn có thể xảy ra với quy mô lớn.

Cảm ơn bạn vì cuộc phỏng vấn tuyệt vời, những người đọc muốn tìm hiểu thêm nên truy cập Venn.

Related Topics:
mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi một niềm đam mê không ngừng nghỉ để định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân liên tục, ông tin rằng AI sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường bị bắt gặp nói về tiềm năng của các công nghệ gây gián đoạn và AGI.
Như một futurist, ông dành để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định nghĩa lại tương lai và thay đổi toàn bộ lĩnh vực.