Mike Wiacek，Stairwell 创始人兼首席技术官——访谈系列

迈克·维亚切克 是 Stairwell 的首席技术官兼创始人。他热衷于安全，致力于打造以协作、诚信和致力于帮助客户战胜攻击者为核心的团队文化。在创立 Stairwell 之前，Mike 曾是 Alphabet 旗下 Chronicle 的联合创始人兼首席安全官，并创立了谷歌的威胁分析小组。

楼梯间 是一家网络安全公司，致力于帮助企业采用数据优先的方法检测和应对威胁。其平台持续收集和分析跨时间的文件，从而实现实时监控、追溯威胁搜寻和人工智能洞察。凭借先进的静态和行为分析技术，Stairwell 帮助安全团队识别零日威胁并更快地做出明智的决策。

你创立了 楼梯间 在领导 Google TAG 和 Chronicle 的安全工作之后，您认为网络安全领域存在哪些差距，让您确信是时候构建一些新的东西了？

在领导 Google TAG 的安全工作并创建 Chronicle 之后，我发现同样的错误模式随处可见：威胁情报团队在攻击前工作，安全运营中心 (SOC) 在攻击期间工作，事件响应 (IR) 团队在攻击后工作，所有人都试图用不同的工具、不同的数据和完全不同的思维方式来回答同一个基本问题。缺乏连续性。缺乏共同的真理。这并不是说想法错了，而是实施方法错了。

大部分行业都围绕日志构建。但日志是定制的测量数据，是解读，是观察结果。它们很脆弱，而且是为了回答昨天的问题而构建的。如果日志没有捕捉到这些信息，你就倒霉了。更糟糕的是，日志量的增长成本高昂，而且不可持续。

企业往往忽略了其最重要的资产——原始文件。可执行文件、脚本、DLL 等文件才是真相所在。文件不会说谎，它们不会根据观察者而改变。如果您拥有原始文件，就能做到任何基于日志的工具都无法做到的事情：匹配相似性、检测变体、发现关系，并解答所有时间范围内的所有问题。

所以我建了 楼梯间 将所有这一切统一起来。一个平台。一个事实来源。持续分析您环境中实际运行的内容，而不仅仅是记录的内容。当每个团队基于相同的证据开展工作时，他们都会变得更好。更快的分类。更智能的检测。更深入的调查。这就是我们不再与昨天的违规行为作斗争，而是开始领先于下一次违规行为的方式。

楼梯间 旨在让防御者能够像攻击者一样思考。你们的平台是如何实际实现这一点的？哪些类型的组织能从这种方法中受益最多？

攻击者不会等待警报。他们不会在孤岛中行动。他们不关心您的日志保留策略、风险偏好或预算问题。

他们学习你的工具，规避你的控制，并将文件、基础设施和时间串联起来，悄无声息地达成目标。防御者也需要这样做——思考关系，而不是警报。这就是思维模式 楼梯间 给你。

实际上，这始于对所有运行程序的可见性。我们收集并保存原始工件——可执行文件、脚本、加载器、有效载荷——并持续分析它们。不仅仅是在它们首次被发现时，而是永远。这意味着您可以像对手一样进行追踪：找到被投放的文件，转向其变体，识别加载器，追溯到基础设施重用，并揭示攻击活动的每个阶段。

您不需要对每个样本进行逆向工程。 楼梯间 自动化操作。你无需猜测文件正在做什么。 楼梯间的智能分析会告诉你。你不用再好奇还有什么看起来像它。 楼梯间的变体发现向您展示。

谁受益？任何厌倦了盲目飞行的人。

如果你的目标客户是高价值企业——关键基础设施、金融、国防——你就不能承受任何猜测。如果你的团队精干， 楼梯间 助您化险为夷。如果您被层层警报淹没，我们助您排忧解难，轻松应对每一条警报。

底线：攻击者以关系来思考。现在，防御者也能做到——始终鸟瞰一切。

您曾在美国国家安全局、谷歌和《纪事报》工作。这些经历如何塑造了您对民族国家威胁和持续性威胁的理解，尤其是在保护关键基础设施方面？

我认为安全就像一个数据搜索问题。我们需要收集、存储和分析尽可能多的数据，并从中找到问题的答案。大多数组织缺少的数据是其实际文件。文件是您最宝贵的资产。企业的安全团队甚至无法回答最基本的问题——您的威胁情报是否在CEO的笔记本电脑上被发现？ 楼梯间 随后立即并持续通知您。

楼梯间 使用 Google Cloud Bigtable 管理超过 8 亿个文件。构建如此规模的威胁分析系统，最大的工程障碍是什么？

我们最引以为豪的事情之一是，我们找到了一种工程解决方案，能够高效地收集、存储和分析企业内的所有可执行文件。我们会根据我们的恶意软件语料库、YARA 规则和威胁报告持续分析这些文件。任何新文件都会在几秒钟内被调查。有趣的是，这个过程非常轻量，以至于客户经常会询问文件是否正在被收集。当我们向他们展示它正在运行时，他们常常会惊讶于它占用的 CPU 如此之少。

你说过你想要 楼梯间 像谷歌在搜索领域那样，在网络安全领域也做出贡献。这对用户体验和产品方向意味着什么？

我们实际上是您的可执行文件和相关文件的搜索引擎。我们允许安全团队解答有关其文件的问题。例如：这个文件是恶意软件吗？我们的系统中是否存在此文件的变种？哪些终端感染了此恶意软件？这个最近发现的易受攻击的文件是否出现在我们的任何设备上？这个文件是否常见？它在其他地方是否有常见的同级文件？它在哪里？它是什么时候到达的？

其中一个 楼梯间的核心优势在于其能够进行主动和回顾性威胁搜寻——这意味着它既可以检测主动威胁，又可以发现过去可能被忽视的攻击。这种方法与通常侧重于实时警报的传统安全工具（例如 SIEM（安全信息和事件管理系统）或 EDR（端点检测和响应平台））有何不同？

像 SIEM 和 EDR 这样的传统工具都是为当下而构建的。它们专注于实时警报和特定时间点的检测。虽然在特定时刻有用，但对未触发规则或无人注意时漏掉的事件却视而不见。

楼梯间 工作方式有所不同。我们不只是询问发生了什么。我们还会询问您的环境中曾经发生过什么。

我们保存并持续分析原始文件——所有可执行文件、所有脚本——所有时间。因此，即使某些文件被删除、重命名、重新打包或处于休眠状态，您仍然可以找到它，仍然可以分析它，仍然可以将其彻底运行。

这意味着您可以在警报发出之前主动搜寻。甚至可以在违规发生后（甚至几个月后）追溯，获取完整的上下文和历史记录。不妨尝试使用日志过期的 SIEM 或仅查看当前正在运行的 EDR 来实现这一点。

楼梯间 让你有能力提出问题：“这曾经出现在我们的环境中吗？”并得到一个真正的答案，而不仅仅是“最近没有”或“我们无法判断”。这就是区别所在。

随着联邦组织对人工智能和威胁检测的兴趣日益浓厚，您如何看待 楼梯间的AI模型对国家层面的国防有何贡献？

联邦防御人员不需要更多的仪表板。他们需要更快的答案、更清晰的意图，以及能够跟上比政府采购周期迭代速度更快的对手的工具。

楼梯间的 AI 方法并非仅仅依靠附加的分类器。它建立在数十亿现实世界数据、全球文件流行情况、变体谱系以及多年威胁行为的深厚基础之上。我们将静态和行为特征提取与结构化的 LLM 提示相结合，以解释某些事物的重要性，而不仅仅是标记出它可能重要。

这意味着我们可以为国家级后卫提供他们很少得到的东西：

• 即时逆向工程级别洞察所有可疑文件。我们迫使攻击者陷入双输局面：要么与“好软件”完全相同，要么独一无二并被抓住。没有中间地带，而我们正是利用了这一点。
• 关于意图、功能和关系的丰富上下文答案
• 变体感知检测，即使攻击者重新打包或重命名恶意软件，也不会造成任何影响。事实上，攻击者打包的恶意软件越多，就越容易被发现！

供应商们正匆忙地利用人工智能来自动化那些一直在做的事情。我们正在利用人工智能来解决问题，而这些问题本来就应该被解决，只是我们一直缺乏相应的技术来实现。

我们已经像对手一样思考。我们的模型经过训练，能够分析、归因和调整。这正是联邦机构所需要的——不仅仅是更多的警报，而是在下一次行动爆发之前理解并做出反应的能力。

安全团队经常被警报和误报淹没。他们该如何 楼梯间 有助于减少噪音，同时仍然暴露出最严重的威胁？

楼梯间 帮助安全团队将威胁情报付诸实践。安全领域最难的部分之一，就是找出哪些终端已被恶意软件感染。 楼梯间 在几秒钟内识别这些设备。 楼梯间 我们的 AI 智能分析功能让文件分类变得轻而易举。而我们的“Run-to-Ground”功能则利用您企业内部以及所有企业中文件的流行程度，使目标恶意软件几乎无法运行。

攻击者越来越多地使用人工智能来制造更具规避性且不断演变的威胁。 楼梯间 帮助防守队员跟上进攻技术的转变？

在这个人工智能可以轻松创建前所未见的“零日”恶意软件的世界里，安全方法正在经受考验。像 EDR 这样使用签名和行为签名方法的传统工具，对新型恶意软件视而不见。 楼梯间 分析写入文件的目的是什么。 楼梯间 能够很好地找到人工智能创建的前所未见的恶意软件，因为它使用文件分析和数据搜索技术进行调查。

安全领导者对其威胁态势最常见的误解是什么？他们如何 楼梯间 有助于缩小差距吗？

世人普遍认为 EDR 是完美的。但事实上，它们带来的只是一种虚假的安全感。不幸的是，EDR 依赖于行为签名，必须每天更新。它们的弱点在于无法每天分析每台设备上的文件。 楼梯间 是使用信号情报（包括企业文件）的下一代安全技术，为安全带来数据搜索方法，以便在几秒钟内调查恶意软件。

最后，您如何定义成功——不仅仅是从商业角度，还从对防御者和整个网络安全社区的影响角度？

成功有很多种，但没有什么比接到客户电话说 楼梯间 在设备或 USB 上发现了 EDR 或其他安全工具遗漏的恶意软件，并阻止了该恶意软件传输到另一个系统。

感谢您的精彩采访，想要了解更多信息的读者可以访问 楼梯间.