Phỏng vấn

Keith Stewart, Người sáng lập và Giám đốc điều hành của Humanix – Loạt phỏng vấn

mm
Đã xuất bản

Keith Stewart, Người sáng lập và Giám đốc điều hành của Humanix, là một chuyên gia an ninh mạng với hơn 25 năm kinh nghiệm trong việc quản lý sản phẩm, kỹ thuật, phát triển kinh doanh và lãnh đạo điều hành tại một số công ty hàng đầu trong ngành, bao gồm Cisco, Brocade, Riverbed và vArmour. Trước khi thành lập Humanix vào năm 2023, ông từng là Giám đốc điều hành tạm thời và Phó Chủ tịch Sản phẩm và Kỹ thuật tại vArmour, nơi ông đã giúp công ty này vượt qua quá trình mua lại và chuyển đổi sang mô hình kinh doanh dựa trên dịch vụ. Trong suốt sự nghiệp của mình, Stewart đã lãnh đạo các đội toàn cầu, thúc đẩy các sáng kiến sản phẩm an ninh mạng lớn, tham gia vào các hoạt động huy động vốn và mua lại, và đóng vai trò quan trọng trong việc phát triển các công nghệ an ninh mạng thế hệ tiếp theo. Kinh nghiệm sâu rộng của ông trong lĩnh vực an ninh mạng doanh nghiệp và sự hiểu biết sâu sắc về cách các kẻ tấn công khai thác hành vi con người đã dẫn ông đến việc thành lập Humanix với sứ mệnh bảo vệ con người khỏi các cuộc tấn công kỹ thuật xã hội ngày càng tinh vi.

Humanix là một công ty an ninh mạng tiên phong trong lĩnh vực phát hiện và phản hồi mối đe dọa con người (HTDR), một loại hình mới tập trung vào bảo vệ “lớp con người” của an ninh mạng doanh nghiệp. Thay vì chỉ tập trung vào các điểm cuối, mạng và cơ sở hạ tầng, Humanix sử dụng trí tuệ nhân tạo đối thoại được đào tạo trên tâm lý học con người và các mẫu tấn công ngôn ngữ tự nhiên để phát hiện sự thao túng, lừa đảo, giả mạo và các chiến thuật kỹ thuật xã hội khác trên các tương tác giọng nói, trò chuyện, email, video và dịch vụ bàn hỗ trợ. Nền tảng này được thiết kế để xác định các cuộc tấn công trong thời gian thực, giúp các tổ chức ngăn chặn các vi phạm trước khi các kẻ tấn công khai thác nhân viên, nhà thầu hoặc khách hàng. Cách tiếp cận của Humanix phản ánh sự nhận thức ngày càng tăng rằng hầu hết các cuộc tấn công mạng thành công nhắm vào con người chứ không phải hệ thống, và công ty này nhằm cung cấp cho các đội an ninh mạng khả năng hiển thị và phản hồi tương tự như họ đã có cho các mối đe dọa truyền thống.

Bạn đã lãnh đạo các chuyển đổi lớn trên các công ty như vArmour, bao gồm cả chuyển đổi sang mô hình SaaS, mở rộng đội ngũ kỹ thuật và điều hướng quá trình mua lại. Cái gì đã thúc đẩy bạn thành lập Humanix, và tại sao lại tập trung nhiều vào việc bảo vệ con người thay vì hệ thống?

Thử thách lớn nhất trong tư thế an ninh mạng của bất kỳ tổ chức nào là rủi ro con người. Con người vừa là tài sản phòng thủ mạnh mẽ nhất, vừa là khu vực dễ bị tổn thương nhất. Tuy nhiên, đây là một vấn đề đã không được giải quyết liên tục. Giải pháp của ngành là đào tạo – về cơ bản là cố gắng biến nhân viên trung bình thành một chuyên gia an ninh mạng trong một phiên họp một giờ. Chúng ta biết nó không hiệu quả, nhưng chúng ta đã không có giải pháp nào tốt hơn.

Hai điều đã thay đổi gần đây, một điều tồi tệ hơn và một điều tốt hơn. Đầu tiên, điều tồi tệ hơn: Trí tuệ nhân tạo làm cho các cuộc tấn công nhắm vào con người trực tiếp dễ tiếp cận hơn. Bạn có thể là một thiếu niên ở phía bên kia của thế giới, không nói một lời tiếng Anh, không biết gì về một doanh nghiệp cụ thể, và đột nhiên một mô hình ngôn ngữ lớn cho phép bạn biết gần như mọi thứ và nghe giống như gần như bất kỳ ai. Điều đó tạo ra một nguy cơ thực sự và hiện tại.

Thứ hai, một thay đổi tốt hơn: chúng ta hiện có công nghệ để phát hiện các cuộc tấn công này. Các mô hình ngôn ngữ lớn rất tốt trong việc hiểu sự tinh vi và phức tạp của các tương tác con người. Với trí tuệ nhân tạo đối thoại, chúng ta có thể xác định các mẫu trong những tương tác đó và phản hồi gần như trong thời gian thực.

Chúng ta không còn phải dựa vào các chiến lược dựa trên đào tạo cũ kỹ nữa. Lần đầu tiên, chúng ta có cách giải quyết trực tiếp vấn đề dễ bị tổn thương của con người. Đó là lý do chúng ta xây dựng Humanix.

Công việc của bạn đã tập trung vào dữ liệu lớn, phân tích hành vi và các mô hình bảo mật dựa trên đồ thị. Những kinh nghiệm đó đã định hình cách tiếp cận của Humanix trong việc phát hiện các cuộc tấn công không giống như các vi phạm truyền thống như thế nào?

Trên bề mặt, việc phát hiện các cuộc tấn công kỹ thuật xã hội tương tác có vẻ khó khăn. Mỗi người đều khác nhau. Ngôn ngữ tự nhiên rất cao chiều. Các mô hình hành vi truyền thống dựa trên học máy không hiểu ngữ cảnh và thường xuyên không chính xác.

Tuy nhiên, khi bạn đi sâu vào vấn đề, bạn có thể thấy loại tấn công này có mẫu như bất kỳ loại nào khác. Thay vì các lỗi bộ đệm hoặc các ngày zero, các kẻ tấn công khai thác các khoảng trống trong quy trình kinh doanh và niềm tin con người. Các kẻ tấn công có các cuốn sách chiến thuật mà họ chạy một cách nhất quán chống lại các tổ chức, điều này có nghĩa là chúng ta nên có thể phát hiện và phản hồi lại các cuộc tấn công này giống như chúng ta làm trên điểm cuối, mạng, đám mây hoặc danh tính.

Quan sát đó cho phép chúng ta kết hợp các mẫu phát hiện và phản hồi cổ điển mà chúng ta biết là hiệu quả – bao gồm phân tích hành vi và lý thuyết đồ thị – với khả năng推 lý ngữ nghĩa của các mô hình ngôn ngữ. Humanix sử dụng sự kết hợp này để hiểu các thực thể, mối quan hệ, hành vi, rủi ro và chính tương tác. Đây là cách chúng ta tạo ra một loại sản phẩm phát hiện và phản hồi mới: Phát hiện và Phản hồi Mối đe dọa Con người.

Các nhóm mới nổi như BlackFile đang sử dụng lừa đảo qua điện thoại và kỹ thuật xã hội trong thời gian thực thay vì các chiến thuật nặng về mã độc. Điều này cho chúng ta biết gì về cách cảnh quan mối đe dọa đang thay đổi?

BlackFile là một phần của sự thay đổi lớn hơn hướng tới các cuộc tấn công không chỉ tập trung vào việc đưa mã độc vào môi trường mà còn sử dụng ngôn ngữ tự nhiên để khiến một người mở cửa.

Các nhóm này đã nhận ra rằng một cuộc gọi điện thoại thuyết phục, một tiền đề hợp lý và đúng mức độ khẩn cấp có thể hiệu quả như một khai thác kỹ thuật, và thường khó hơn cho các đội an ninh mạng để phát hiện. Bề mặt tấn công không thay đổi nhiều như sự tập trung của kẻ tấn công đã thay đổi. Con người luôn là một phần của bề mặt tấn công. Điều đã thay đổi là quy mô, độ trưởng thành và khả năng lặp lại của cuốn sách chiến thuật.

Kỹ thuật xã hội đang được sao chép, tinh chỉnh và công nghiệp hóa vì nó hiệu quả. Nó tận dụng cách các doanh nghiệp hoạt động, đặc biệt là trong các quy trình làm việc nơi con người được kỳ vọng sẽ giúp đỡ nhanh chóng, giải quyết ngoại lệ và giữ mọi thứ hoạt động.

Chúng ta đang chứng kiến các kẻ tấn công giả mạo các bàn hỗ trợ CNTT và khai thác nhân viên trực tiếp để giành được quyền truy cập. Tại sao các kỹ thuật như vishing và thao túng bàn hỗ trợ lại trở thành những điểm vào chính hiệu quả?

Các kỹ thuật như vishing và thao túng bàn hỗ trợ hiệu quả vì chúng khai thác sự kết hợp của niềm tin, sự khẩn cấp và quyền truy cập tìm thấy trong nhiều quy trình hỗ trợ và quản trị.

Nếu tôi muốn vào môi trường của bạn, tôi có thể dành vài tuần tìm kiếm một khai thác kỹ thuật. Hoặc tôi có thể gọi cho ai đó được đào tạo để giúp đỡ, tạo ra một câu chuyện đáng tin và khiến họ thực hiện việc tôi cần, cho dù đó là đặt lại mật khẩu, đăng ký một yếu tố Xác thực đa yếu tố mới, thay đổi một quyền hoặc phê duyệt một yêu cầu.

Người ở đầu bên kia của cuộc gọi thường cố gắng giải quyết một vấn đề thực sự trong tình trạng áp lực thời gian, với thông tin không đầy đủ. Đó chính xác là điều khiến bàn hỗ trợ trở thành mục tiêu hấp dẫn. Đó là một trong những nơi ít ỏi mà một cuộc trò chuyện có thể trực tiếp chuyển thành quyền truy cập. Một khi quyền truy cập được cấp, mọi thứ còn lại có thể xảy ra rất nhanh.

Ngành công nghiệp đã đầu tư rất nhiều vào đào tạo nhân viên, nhưng các vi phạm nhắm vào con người vẫn tiếp tục tăng. Đào tạo nhận thức an ninh truyền thống đang thiếu sót ở đâu, và điều gì cần thay đổi?

Đào tạo nhận thức an ninh đã được coi là biện pháp phòng thủ chính chống lại kỹ thuật xã hội, mặc dù kết quả rõ ràng cho thấy hạn chế của nó. Các tổ chức tiếp tục đầu tư rất nhiều vào đào tạo, nhưng các kẻ tấn công vẫn tiếp tục thành công vì họ nhắm vào con người trong các tương tác trực tiếp, không phải kiểm tra xem nhân viên có nhớ nội dung từ một khóa học hay không.

Một cuộc tấn công kỹ thuật xã hội không phải là một bài kiểm tra. Đó là một người ở đầu bên kia của cuộc gọi hoặc luồng trò chuyện tạo ra sự khẩn cấp, xây dựng niềm tin và cố gắng khiến ai đó thực hiện một hành động họ không nên thực hiện. Mô hình hiện tại bị phá vỡ vì nó yêu cầu nhân viên nhận ra và ngăn chặn cuộc tấn công trong khi kẻ tấn công đang tích cực thao túng tương tác.

Khi điều gì đó đi sai, phản ứng thường là đổ lỗi cho nhân viên và chỉ định thêm đào tạo. Nhưng nhân viên thường cố gắng giúp đỡ, điều mà doanh nghiệp yêu cầu họ làm mỗi ngày. Chúng ta cần ngừng coi kỹ thuật xã hội như một vấn đề nhận thức duy nhất. Đó là một loại tấn công, và chúng ta nên phát hiện và phản hồi lại nó trong khi tương tác đang diễn ra.

Humanix tự định vị mình xung quanh việc phát hiện các cuộc tấn công đối với con người trong thời gian thực. Điều gì quan sát được về rủi ro con người trong thực tế?

Khả năng quan sát rủi ro con người có nghĩa là cung cấp cho các đội an ninh mạng khả năng hiển thị vào các tương tác trực tiếp nơi các kẻ tấn công cố gắng thao túng con người vào việc thay đổi quyền truy cập, bỏ qua một thủ tục bắt buộc hoặc thực hiện một số hành động không an toàn khác thay mặt cho kẻ tấn công.

Hiện tại, những tương tác này基本上 vô hình với an ninh mạng. Ai đó gọi đến bàn hỗ trợ, mở một vé, hoặc bắt đầu một cuộc trò chuyện. Một mật khẩu được đặt lại, một yếu tố Xác thực đa yếu tố được đăng ký, một quyền được thay đổi, hoặc một ngoại lệ được phê duyệt. Những luồng công việc này rất nhạy cảm, nhưng các đội an ninh mạng không có khả năng hiển thị và quan sát.

Humanix thay đổi điều này. Chúng tôi cắm vào các hệ thống giao tiếp doanh nghiệp đang được sử dụng – Microsoft 365, ServiceNow, Zoom, Slack và nhiều hơn nữa. Humanix theo dõi các hành động và tương tác trên các kênh đó và so sánh chúng với các chiến thuật tấn công và thủ tục của công ty.

Người gọi đã được xác minh đúng cách chưa? Họ có nói chuyện quanh co để tránh xác minh không? Có sự khẩn cấp, giả mạo hoặc áp lực để bỏ qua một bước bắt buộc không? Hành động của đại lý có đang ở gần một hành động rủi ro cao không? Hồ sơ rủi ro đã thay đổi như thế nào khi cuộc gọi tiến triển? Humanix cung cấp phát hiện và phản hồi an ninh mạng khi tương tác đang diễn ra và cho phép đội an ninh mạng biết nếu có điều gì đó đáng ngờ.

Mục tiêu cuối cùng của phân tích này không phải là trừng phạt các nạn nhân sau khi sự việc đã xảy ra. Mà là bảo vệ họ trong khoảnh khắc đó. Nếu một cuộc trò chuyện trở thành một cuộc tấn công, đội an ninh mạng cần biết.

Khi công nghệ giọng nói và giả mạo sâu được cải tiến, chúng ta đang ở gần điểm mà niềm tin con người trở thành bề mặt tấn công yếu nhất đến mức nào?

Niềm tin con người đã là một trong những bề mặt tấn công yếu nhất trong một thời gian dài. Trí tuệ nhân tạo làm cho các cuộc tấn công nhắm vào niềm tin con người dễ dàng tạo ra, tùy chỉnh và mở rộng hơn.

Tuy nhiên, chúng ta cần cẩn thận để không quá tập trung vào trường hợp giả mạo sâu cụ thể. Giả mạo sâu chỉ là một phương tiện mà các kẻ tấn công có thể sử dụng để thao túng ai đó. Trên thực tế, nếu chúng ta xem xét hầu hết các cuộc tấn công kỹ thuật xã hội thành công trong những năm qua, hầu hết không phải là giả mạo sâu – chúng chỉ đơn giản là các kẻ tấn công và lừa đảo con người nhặt điện thoại. Các nhóm như Scattered Spider, ShinyHunters và BlackFile đã chỉ ra rằng một cuộc gọi điện thoại bình thường, một tiền đề hợp lý và đúng mức độ khẩn cấp là đủ để khiến ai đó thực hiện một hành động thay mặt cho kẻ tấn công.

Các đội an ninh mạng cần tập trung vào thông điệp, không phải phương tiện. Ai đó bị áp lực để vi phạm chính sách hoặc phê duyệt một ngoại lệ trong tình huống đáng ngờ – đây là những hành vi rủi ro thực sự. Rủi ro nằm trong chính tương tác và hành động nó được thiết kế để gây ra.

Niềm tin không phải là điều gì đó chúng ta có thể loại bỏ khỏi kinh doanh. Con người phải trả lời điện thoại, giải quyết vấn đề, phê duyệt yêu cầu và giúp đỡ nhau. Câu trả lời không thể là làm cho mọi người ít con người hơn. Nó phải là bảo vệ những khoảnh khắc mà niềm tin bị khai thác.

Vai trò của Trí tuệ nhân tạo trong việc bảo vệ chống lại kỹ thuật xã hội thúc đẩy bởi Trí tuệ nhân tạo là gì, và những thách thức kỹ thuật lớn nhất trong việc phát hiện thao túng trong thời gian thực là gì?

Trí tuệ nhân tạo đối thoại mở ra cơ hội để chuyển đổi kỹ thuật xã hội thúc đẩy bởi Trí tuệ nhân tạo từ một vấn đề đào tạo thành một vấn đề phát hiện và phản hồi. Các mô hình ngôn ngữ cho phép chúng ta áp dụng tất cả kiến thức của chúng ta từ các lĩnh vực như điểm cuối hoặc mạng và áp dụng chúng cho lớp con người. Chúng ta cần phát hiện và phản hồi lại các cuộc tấn công này, không tiếp tục đi theo con đường vô ích của việc cố gắng đào tạo chúng đi.

Có nhiều thách thức kỹ thuật trong việc biến tầm nhìn này thành hiện thực. Ngôn ngữ tự nhiên rất cao chiều, có nghĩa là có vô số cách để truyền đạt cùng một ý nghĩa. Nói “Tôi bị khóa khỏi hệ thống của mình” là một câu lệnh chức năng tương đương với “Tôi cần đặt lại mật khẩu,” ngay cả khi các từ “mật khẩu” và “đặt lại” không được sử dụng.

Một điều khác là tầm quan trọng của ngữ cảnh. Các tương tác con người là ngữ cảnh và tích lũy, và do đó, thao túng con người cũng vậy. Một người gọi có thể nghe có vẻ bình tĩnh, lịch sự và đáng tin cậy trong khi vẫn đang dẫn dắt ai đó xung quanh việc xác minh hoặc hướng tới một hành động không an toàn. Chúng ta cần kết hợp nhiều tín hiệu và dữ liệu ngữ cảnh lại với nhau để chính xác phân biệt giữa các tương tác lành tính và ác ý.

Cuối cùng, mỗi tổ chức đều khác nhau. Nó có các thủ tục và chuẩn mực riêng, hầu như tất cả đều không thể đọc được bằng máy. Đây là một lĩnh vực khác mà Trí tuệ nhân tạo có thể giúp đỡ rất nhiều – hiểu những chính sách đó và so sánh chúng với các hành vi thế giới thực được quan sát.

Nhiều công cụ an ninh mạng vẫn tập trung vào điểm cuối, mạng và hệ thống danh tính. CISO nên tái cấu trúc kiến trúc của mình như thế nào nếu chiến trường chính chuyển sang hành vi con người?

Trước hết, CISO nên chính thức công nhận điều mà tất cả chúng ta đều biết trực giác: tài sản con người của một tổ chức là một lớp tài sản (giống như điểm cuối, mạng hoặc đám mây) cần được quản lý. Các mối đe dọa và rủi ro cần được mô hình hóa và kiểm soát chính xác.

Khung khổ An ninh mạng NIST đã cung cấp hướng dẫn về cách thực hiện điều này. Việc “xác định” và “quản lý” con người là một phần của tập hợp “Quản lý Tài sản” (ID.AM) của việc xác định rủi ro. Tuy nhiên, nhiều tổ chức định nghĩa vấn đề rủi ro con người là một vấn đề đào tạo và chỉ quản lý nó thông qua yêu cầu tuân thủ đào tạo nhận thức an ninh. Điều này cần thay đổi.

Khi chúng ta coi tài sản con người là một lớp tài sản riêng, điều này mở ra các cuốn sách chơi tiêu chuẩn mà chúng ta chạy cho mọi lớp tài sản khác. Những rủi ro chính là gì (ID.RA)? Làm thế nào để tôi bảo vệ một cách hệ thống chống lại chúng (Bảo vệ)? Những hệ thống và quy trình của chúng tôi để phát hiện xem một kẻ tấn công có đang chuẩn bị xâm phạm các biện pháp phòng thủ của chúng tôi hay không, hoặc worst, đã làm được điều đó (Phát hiện)? Làm thế nào tổ chức phản hồi để chứa đựng mối đe dọa và cuối cùng phục hồi dịch vụ (Phản hồi và Phục hồi)? Bằng cách tiếp cận tài sản con người của chúng ta theo cùng cách hệ thống như chúng ta làm với mọi lớp tài sản khác, chúng ta có thể xác định rõ ràng hơn các rủi ro và ưu tiên hiệu quả hơn các nguồn lực để quản lý những rủi ro đó.

Nhìn về tương lai, bạn có nghĩ rằng các cuộc tấn công lớp con người sẽ chiếm ưu thế trong tội phạm mạng, hay chúng ta sẽ thấy một mô hình hỗn hợp nơi tự động hóa thúc đẩy bởi Trí tuệ nhân tạo và kỹ thuật xã hội hội tụ thành một thứ gì đó khó bảo vệ hơn?

Nó sẽ gần như chắc chắn là một mô hình đe dọa hỗn hợp. Chúng ta có hai điều đang xảy ra đồng thời. Đầu tiên, các kẻ tấn công đang học cách mở rộng các cuộc tấn công của họ với Trí tuệ nhân tạo, tăng khả năng tiếp cận và giảm chi phí của loại tấn công này. Thứ hai, các doanh nghiệp tự mình đang trải qua một quá trình chuyển đổi Trí tuệ nhân tạo do chính các dịch vụ kinh doanh đang bị tấn công bởi BlackFile và các đồng nghiệp của họ dẫn đầu.

Dịch vụ khách hàng, bàn hỗ trợ, dịch vụ bàn, hoạt động tài chính và hỗ trợ nội bộ đều đang được chuyển đổi từ giao tiếp con người sang giao tiếp Trí tuệ nhân tạo. Điều này có nghĩa là chúng ta sẽ trải qua một vụ nổ về bề mặt tấn công ngôn ngữ tự nhiên trong khi loại bỏ cảm giác thông thường của con người. Các mô hình ngôn ngữ lớn được đào tạo để phản hồi theo hướng dẫn và hữu ích. Sự nghi ngờ hoặc “cảm giác trực giác” của con người, những thứ đã là một số biện pháp phòng thủ tốt nhất của chúng ta chống lại các cuộc tấn công kỹ thuật xã hội, đã bị loại bỏ một cách có chủ ý khỏi các phản hồi của mô hình. Sự chuyển đổi sang các dịch vụ được cung cấp bởi Trí tuệ nhân tạo cuối cùng sẽ tăng rủi ro của các cuộc tấn công kỹ thuật xã hội, không giảm chúng.

Kết quả là, sự phơi nhiễm của doanh nghiệp với loại tấn công này gần như chắc chắn sẽ tiếp tục tăng trong những năm tới. Con người và các tác nhân đều dễ bị tổn thương bởi các cuộc tấn công ngôn ngữ tự nhiên. Các đội an ninh mạng cần bắt đầu lập kế hoạch ngay hôm nay cho một kế hoạch phòng thủ và phản hồi hệ thống đối với thực tế mới này.

Cảm ơn vì cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm Humanix. 

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi niềm đam mê không ngừng nghỉ trong việc định hình và thúc đẩy tương lai của trí tuệ nhân tạo và robot. Là một doanh nhân liên tục, ông tin rằng trí tuệ nhân tạo sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường được bắt gặp khi nói về tiềm năng của các công nghệ gián đoạn và AGI.

Là một nhà tương lai học, ông dành mình để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định hình lại tương lai và thay đổi toàn bộ lĩnh vực.