安努杰·戈尔（Anuj Goel），Cyware 首席执行官和联合创始人 – 采访系列

安努杰·戈尔 是 Cyware 的首席执行官和联合创始人，他领导了开发面向变革组织威胁情报和安全运营管理的尖端网络融合技术。在创立 Cyware 之前，戈尔曾在 Citi 担任高级职务，并通过在 Adobe 和 Oracle 的早期任职与 Cyware 的首席技术官阿克夏特·贾恩（Akshat Jain）合作。在他的领导下，Cyware 因其在网络安全方面的创新而获得了认可，包括被列入德勤科技快500名单。戈尔经常通过他的 LinkedIn 账户分享有关网络融合、威胁响应和领导力发展的见解。

Cyware 构建了先进的网络安全平台，统一了威胁情报、自动化和协调事件响应。其旗舰网络融合平台允许组织集中安全运营，实现实时威胁共享和自动化工作流程，跨不同安全环境。该技术支持威胁情报处理、低代码安全编排能力和主动防御协调，帮助私营和公共部门客户简化和加强其网络安全态势。Cyware 的架构旨在消除信息孤岛，加快检测速度，并创建由人工智能和机器推理驱动的协同防御生态系统。

让我们从您的旅程开始——是什么启发您从 Citi 的网络安全领导职位转到创立 Cyware？

在 Citi，我领导了全球网络战略。这一角色让我直接接触到大型安全项目中的运营差距，特别是威胁情报和日常安全运营之间的缺乏整合。虽然大型组织正在投资从各种来源收集威胁情报，但大部分情报仍然没有被充分利用，因为它没有被实时上下文化或运营化。

我看到了打破不同安全功能之间的信息孤岛的机会，这些功能之间没有共享威胁数据。Tôi观察到的最大的差距之一是协调响应和最后一公里行动的缺乏。即使威胁情报可用，跨不同系统采取行动也需要手动努力，导致延迟和错过威胁。

阿克夏特·贾恩和我共同创立了 Cyware，以解决这些挑战。我们的目标是创建一个连接威胁情报与安全运营的平台，实现数据上下文化、工作流自动化和团队间的协作，以实现更快、更有效的响应。

您在 2018 年推出 Cyware 时，看到威胁情报和网络融合中哪些具体的差距现象尚未被现有解决方案解决？

当我们在 2018 年推出 Cyware 时，我们看到威胁情报处理和实际在日常安全运营中使用之间存在明显的差距。许多解决方案专注于聚合威胁数据，但很少有解决方案帮助安全团队使这些情报相关、及时和可执行。组织正在收集大量的威胁情报，但缺乏将其集成到检测和响应工作流程中的工具。

另一个主要的差距是应用威胁情报到不同环境中的自动化的缺乏。大多数团队仍然依赖手动流程来分析和采取情报，这导致了延迟和低效。团队间的协作也有限，使得协调响应更加困难。

我们建立了 Cyware 来填补这些差距。我们的目标是帮助组织将原始威胁数据转化为有意义的见解，自动化情报的运营使用，并实现实时共享和协作，使团队能够更快地行动并领先于威胁。

Cyware 四分卫 AI 将代理人工智能方法引入安全运营。什么是“代理人工智能”在您的上下文中，它如何改变安全团队的游戏规则？

在我们的上下文中，代理人工智能指的是能够理解意图、做出决定并在整个安全环境中采取行动的自主、有目的的软件代理。Cyware 四分卫 AI 的代理模型被构建为一个多代理系统，包括专用代理，如摄取代理、丰富代理、关联代理、威胁狩猎代理、行动代理和威胁情报共享代理。这些代理实时协同工作，以管理整个安全生命周期，从数据摄取到响应执行和情报共享。

使 Cyware 方法独特的是，它建立在其四分卫 AI 驱动的编排平台之上，该平台包括 400 多个与安全和 IT 工具的本机集成，这些工具可能部署在云端、内部或混合环境中。这使人工智能能够超越简单的分析或建议，并在工具栈中执行操作。对于安全团队来说，这意味着更快、更可靠的操作，而无需手动流程的开销，使他们能够以更大的速度、精度和一致性领先于威胁。

您如何平衡自动化的力量和事件响应工作流程中对人类判断的关键需求？

在 Cyware，我们遵循“人类在循环中”的方法，即人工智能处理例行和重复任务，但将最关键的决定交给人类分析师。这确保人类判断在事件响应中保持核心地位。

与传统的“人工智能在循环中”的模型不同，我们的方法让人类控制高影响力的决定。四分卫 AI 自主管理非关键任务，例如数据摄取、丰富、关联和低风险响应操作。当需要更深入的上下文或更高风险的决定时，它会提醒分析师并征求批准。

这种结构使安全团队能够从自动化的规模和速度中受益，而不会牺牲控制或监督。它实现了更快的响应，减少了警报疲劳，并确保专家判断在最需要的地方得到应用。

凭证泄露是当今增长最快的威胁向量之一。Cyware 的凭证暴露监控方法如何脱颖而出，特别是通过人工智能驱动的自动化？

凭证泄露仍然是增长最快的威胁之一，通常是更严重的泄露事件的入口。Cyware 通过将高质量的凭证暴露情报与推动实时、上下文感知响应的自动化相结合来解决这一风险。

使我们的方法独特的是我们如何上下文化和采取凭证暴露数据的行动。当检测到暴露的凭证时，我们的系统会自动分析诸如用户角色、资产敏感性和业务影响等因素，以确定事件的优先级。这确保安全团队专注于最重要的暴露。

通过我们的高级自动化，我们的平台可以采取立即行动，例如通知用户、重置密码、使活动会话失效、创建事件调查票或通过广泛使用的通信应用程序（如 Slack）提醒用户或安全团队。这些操作是根据预定义的自动化规则执行的，减少了手动干预的需要，同时加快了响应时间。

通过将静态的暴露警报转化为自动化、基于策略的操作，Cyware 帮助组织以速度和精度应对凭证威胁。

威胁情报通常变得孤立或未被充分利用。Cyware 如何在安全工具中运营化这些数据，以确保它驱动行动而不是闲置？

威胁情报通常变得孤立，因为它与依赖它的工具和工作流程断开连接。Cyware 通过在整个安全生态系统中运营化威胁数据来解决这一问题，确保它驱动及时和有意义的行动。

我们的平台使安全团队能够从多个来源（如商业提供商、信息共享和分析中心（ISAC）和信息共享和分析组织（ISAO）、监管机构、国家安全运营中心（SOC）和计算机紧急响应团队（CERT）以及开源情报）聚合和丰富情报。我们使用内部遥测（包括来自安全信息和事件管理（SIEM）系统、端点检测和响应（EDR）平台、资产清单和历史事件记录的数据）来上下文化这一情报。

经过丰富和上下文化的情报通过我们的 AI 驱动的编排框架分发到连接的工具（如检测平台、防火墙和票务系统），该框架支持 400 多个本机集成。这样可以实现即时关联、主动威胁阻塞和自动响应，跨不同环境。

通过将威胁情报直接嵌入到运营工作流程中，Cyware 将其从静态信息转化为实时防御驱动器。

您能谈谈 Cyware 在实现 ISAC、CERT 和企业之间的安全、实时威胁共享方面的作用吗？这对于构建有弹性的数字生态系统有多重要？

Cyware 在实现 ISAC、CERT 和企业之间的安全、实时和双向威胁共享方面发挥着至关重要的作用，通过提供集体防御的底层技术。在 ISAC 中，成员组织可以根据定义的信任边界和访问控制安全地交换威胁情报，包括指示器、战术、技术和程序（TTP）以及基于上下文的建议。企业还使用 Cyware 与其内部业务单位和外部供应商共享相关情报，创建其环境中的统一安全织物。

我们建立了行业首个跨行业威胁情报共享高速公路，允许行业 ISAC 之间共享策划的情报。这项功能使一个行业的组织能够从其他行业的组织检测到的威胁中学习，并采取主动的缓解措施。它加强了行业间的协调，并帮助在风险影响其他关键行业之前预测风险。

通过实现大规模的可信且实时的威胁共享，Cyware 将零碎的见解转化为协调的防御，增强数字生态系统的弹性。

您的平台强调可衡量的影响，例如将威胁检测时间从几周缩短到几分钟。您能举出一个现实世界的例子，Cyware 在安全事件中显著改变了结果吗？

最近的一个例子涉及一家面临活跃安全事件的大型企业客户。一个广泛使用的安全工具错误地评估了情况，导致识别攻击者活动时延迟。在此期间，客户正在使用我们的平台进行概念验证，并使用我们的平台进行基于情报的调查。

通过将威胁情报嵌入调查并追踪攻击者的行动，客户能够发现关键证据，这些证据最初被忽略了。通过我们的平台进行的调查成为他们事件分析的关键部分，后来被提交给执法部门作为证据。

此案例突出了 Cyware 如何赋予安全团队超越警报的能力，进行上下文化的调查，这些调查既可执行又可防御。它还展示了在揭示事件的全部范围时，结合情报、自动化和可见性的价值。

由于您的平台跨 400 多个工具和安全系统集成，如何确保过载的安全团队拥有无缝的部署体验？

我们设计了我们的平台，以便它能够快速、无缝地集成到现有环境中，而不会为已经过载的安全团队增加复杂性。拥有 400 多个与安全和 IT 工具的预建集成，大多数连接都是即插即用，需要最少的配置。

我们的部署方法是模块化和灵活的，允许组织从特定的用例开始，并随着时间的推移进行扩展。我们还提供有指导的入门、手动支持和预配置的工作流程，这些工作流程符合常见的运营需求，减少了内部团队的负担。

通过专注于互操作性、自动化和简单性，我们确保组织能够快速实现价值，而无需长时间的实施周期或大量的资源投入。

展望未来五年，您如何看待代理人工智能在网络安全中的演变，以及 Cyware 将在塑造这一未来中扮演什么角色？

五年后，代理人工智能可能会在网络安全中演变成一种几乎自治的力量，能够以最少的人工干预管理复杂的检测、响应和威胁共享任务。这些人工智能代理将在系统中协同工作，实时从环境、风险信号和组织优先级中学习，并根据这些进行决策和行动。

在 Cyware，我们通过将代理人工智能嵌入到我们平台的核心来塑造这一未来。我们的多代理体系结构旨在推动整个网络防御生命周期的智能决策和自动化执行。通过将代理人工智能与我们的编排引擎、深度集成和实时威胁共享能力相结合，Cyware 将继续在提供智能、适应性和协作安全运营方面领先。

我们的目标是帮助组织以主动、可扩展和上下文感知的方式保持领先于威胁的安全态势。

感谢这次精彩的采访，希望了解更多的读者可以访问 Cyware。