访谈
Cyware 首席执行官兼联合创始人 Anuj Goel – 采访系列

Anuj Goel 是 Cyware 的首席执行官兼联合创始人,他领导了开发尖端网络融合技术的工作,这些技术旨在改变组织管理威胁情报和安全运营的方式。在创立 Cyware 之前,Goel 曾在 Citi 担任高级职务,并通过在 Adobe 和 Oracle 的早期任职与 Cyware 的首席技术官 Akshat Jain 合作。在他的领导下,Cyware 因其在网络安全方面的创新而获得认可,包括被列入 Deloitte Technology Fast 500 名单。Goel 经常通过他的 LinkedIn 账户分享有关网络融合、威胁响应和领导力发展的见解。
Cyware 建立了先进的网络安全平台,统一了威胁情报、自动化和协调事件响应。其旗舰网络融合平台允许组织集中安全运营,实现实时威胁共享和自动化工作流程,跨越不同的安全环境。该技术支持威胁情报处理、低代码 SOAR 能力和主动防御协调,帮助私营和公共部门客户简化和加强其网络安全态势。Cyware 的架构旨在消除孤岛,加快检测速度,并创建一个由人工智能和机器推理驱动的协作防御生态系统。
让我们从您的旅程开始——是什么激发了您从 Citi 的网络安全领导职位转变为创立 Cyware 的想法?
在 Citi,我领导了全球网络战略。这一角色让我直接接触到了大型安全计划中的运营差距,特别是威胁情报和日常安全运营之间的整合缺乏。虽然大型组织在收集来自各种来源的威胁情报方面投入了大量资金,但大部分情报仍然没有被利用,因为它们没有被实时上下文化或运营化。
我看到了打破不同安全功能之间的壁垒的机会,这些功能不会相互共享威胁数据。其中最大的差距之一是我观察到的协调响应和最后一公里行动的缺乏。即使威胁情报可用,跨不同系统采取行动也需要手动努力,导致延迟和错过威胁。
Akshat Jain 和我联合创立了 Cyware,以解决这些挑战。我们的目标是创建一个连接威胁情报与安全运营的平台,实现组织能够上下文化数据、自动化工作流程和跨团队协作,以实现更快、更有效的响应。
当您在 2018 年推出 Cyware 时,您在威胁情报和网络融合方面看到了哪些具体的差距,现有的解决方案没有解决这些问题?
当我们在 2018 年推出 Cyware 时,我们看到了威胁情报处理和实际在日常安全运营中使用之间的明显差距。许多解决方案专注于聚合威胁数据,但很少有解决方案帮助安全团队使这些情报相关、及时和可行。组织收集了大量的威胁情报,但缺乏将这些情报转化为检测和响应工作流程中的工具。
另一个主要差距是应用威胁情报到不同环境中的自动化的缺乏。大多数团队仍然依赖手动流程来分析和采取行动,这导致了延迟和低效。团队之间的协调也受到限制,使得协调响应更加困难。
我们建立了 Cyware 来填补这些差距。我们的目标是帮助组织将原始威胁数据转化为有意义的见解,自动化这些情报的运营使用,并实现实时共享和协作,使团队能够更快地行动并领先于威胁。
Cyware Quarterback AI 将代理人工智能方法应用于安全运营。什么是“代理人工智能”在您的上下文中,它如何改变安全团队的游戏规则?
在我们的上下文中,代理人工智能指的是自主、有目的的软件代理,它们可以理解意图、做出决定并跨安全环境采取行动。Cyware Quarterback AI 的代理模型被构建为一个多代理系统,包括诸如摄取代理、丰富代理、关联代理、威胁狩猎代理、行动代理和威胁情报共享代理等专用代理。这些代理实时合作,管理整个安全生命周期,从数据摄取到响应执行和情报共享。
使 Cyware 方法独特的是,它建立在 Quarterback AI 驱动的编排平台之上,该平台包括 400 多个与安全和 IT 工具的本地集成,这些工具可能部署在云端、内部或混合环境中。这使得人工智能不仅可以进行分析或推荐,还可以在工具栈中执行操作。对于安全团队来说,这意味着更快、更可靠的运营,而无需手动流程的开销,使他们能够以更大的速度、精度和一致性领先于威胁。
您如何平衡自动化的力量和事件响应工作流程中对人工判断的关键需求?
在 Cyware,我们遵循“人在循环中”的方法,即人工智能处理常规和重复的任务,但将最关键的决定交给人类分析师。这确保了人类判断在事件响应中保持核心地位,同时自动化提高了速度、效率和一致性。
与传统的“人工智能在循环中”模型不同,我们的方法保持人类在高影响力决策中的控制。Quarterback AI 管理非关键任务,例如数据摄取、丰富、关联和低风险响应操作。当涉及更大风险或需要更深入上下文的决策时,它会提醒分析师并寻求批准。
这种结构使安全团队能够在不牺牲控制或监督的情况下从自动化的规模和速度中受益。它实现了更快的响应、减少了警报疲劳,并确保专家判断在最需要的地方得到应用。
凭证泄露是当今最快增长的威胁向量之一。Cyware 的凭证暴露监控方法如何脱颖而出,特别是通过人工智能驱动的自动化?
凭证泄露继续成为最快增长的威胁之一,通常作为更严重的泄露事件的入口。Cyware 通过将高质量的凭证暴露情报与驱动实时、上下文感知响应的自动化相结合来解决这一风险。
使我们的方法独特的是我们如何上下文化和采取凭证暴露数据的行动。当检测到暴露的凭证时,我们的系统会自动分析诸如用户角色、资产敏感性和业务影响等因素,以优先处理事件。这确保安全团队关注最重要的暴露。
通过我们的自动化,平台可以采取立即行动,例如通知用户、重置密码、过期活动会话、创建事件调查票或通过广泛使用的通信应用程序(如 Slack)提醒用户或安全团队。这些操作基于预定义的自动化规则执行,减少了手动干预的需要,同时加快了响应时间。
通过将静态暴露警报转化为自动化、基于策略的操作,Cyware 帮助组织以速度和精度应对凭证威胁。
威胁情报通常变得孤立或被低估。Cyware 如何在安全工具中运营化这些数据,以确保它们驱动行动而不是闲置?
威胁情报通常被低估,因为它与依赖它的工具和工作流程断开连接。Cyware 通过在整个安全生态系统中运营化威胁数据来解决这一问题,确保它驱动及时和有意义的行动。
我们的平台使安全团队能够从多个来源(如商业提供商、信息共享和分析中心(ISAC)和信息共享和分析组织(ISAO)、监管机构、国家安全运营中心(SOC)和计算机紧急响应团队(CERT)以及开源情报)聚合情报,并通过外部丰富服务进行丰富。我们使用内部遥测(包括来自安全信息和事件管理(SIEM)系统、端点检测和响应(EDR)平台、资产清单和历史事件记录的数据)来上下文化这些情报。
丰富和上下文化的情报然后通过我们的 AI 驱动的编排框架分发到连接的工具(如检测平台、防火墙和票务系统)中,该框架支持 400 多个本地集成。这使得实时关联、主动威胁阻塞和自动响应成为可能,跨越不同的环境。
通过将威胁情报直接嵌入到运营工作流程中,Cyware 将其从静态信息转化为实时防御驱动力。
您能谈谈 Cyware 在实现 ISAC、CERT 和企业之间的安全、实时威胁共享方面的作用吗?在构建强大的数字生态系统方面,这有多重要?
Cyware 在实现 ISAC、CERT 和企业之间的安全、实时和双向威胁共享方面发挥着至关重要的作用,通过提供集体防御的底层技术。在 ISAC 中,成员组织可以在定义的信任边界和访问控制下安全地交换威胁情报,包括泄露指标、战术、技术和程序(TTP)以及上下文建议。企业还使用 Cyware 与其内部业务单位和外部供应商共享相关情报,创建一个统一的安全织物,横跨其环境。
我们建立了行业首个跨行业威胁情报共享高速公路,允许行业 ISAC 之间共享策划的情报。这项功能使一个行业的组织能够从其他行业的组织检测到的威胁中学习,并预先执行缓解措施。这加强了各行业之间的协调,并帮助在其他关键行业受到影响之前预测风险。
通过实现大规模的可信且及时的威胁共享,Cyware 将零碎的见解转化为协调的防御,增强了数字生态系统的韧性。
您的平台强调了可衡量的影响——例如,将威胁检测时间从几周缩短到几分钟。您能举出一个现实世界的例子,说明 Cyware 如何显著改变了安全事件的结果吗?
最近的一个例子涉及一家大型企业客户,它面临着一个活跃的安全事件。一个广泛使用的安全工具错误地评估了情况,导致了识别攻击者活动的延迟。在此期间,客户正在使用我们的平台进行试验,并使用我们的平台进行了基于情报的调查。
通过将威胁情报嵌入调查并跟踪攻击者的行动,客户能够发现关键证据,这些证据之前被忽略了。通过我们的平台进行的调查成为他们事件分析的核心部分,并后来被提交给执法机构作为证据。
此案例突出了 Cyware 如何赋予安全团队超越警报并执行上下文化调查的能力,这些调查既可行又可防御。它还展示了在揭示事件的全部范围时,情报、自动化和可见性的价值。
由于您的平台集成了 400 多种工具和安全系统,因此您如何确保部署体验的无缝性,特别是对于已经不堪重负的安全团队?
我们设计了我们的平台,以便它能够快速、无缝地集成到现有的环境中,而不会为已经过载的安全团队增加复杂性。由于有 400 多个预构建的集成与安全和 IT 工具,我们大多数连接都是即插即用的,需要最少的配置。
我们的部署方法是模块化和灵活的,允许组织从特定的用例开始,并随着时间的推移而扩展。我们还提供有指导的入门、手动支持和预配置的工作流程,这些工作流程符合常见的运营需求,从而减少了内部团队的负担。
通过关注互操作性、自动化和简单,我们确保组织能够快速实现价值,而无需漫长的实施周期或大量资源投入。
展望未来五年,您如何看待代理人工智能在网络安全领域的演变,以及 Cyware 将在塑造这一未来的过程中发挥什么作用?
五年后,代理人工智能可能会在网络安全领域演变成一种近乎自治的力量,能够管理复杂的检测、响应和威胁共享任务,需要最少的人工干预。这些人工智能代理将在系统中协作,持续从其环境、实时上下文、风险信号和组织优先级中学习,并采取行动。
在 Cyware,我们通过将代理人工智能嵌入平台核心来塑造这一未来。我们的多代理架构旨在驱动整个网络防御生命周期中的智能决策和自动化执行。这确保人工智能加速运营任务,同时人类专长在最需要的地方保持核心地位。
通过将代理人工智能与我们的编排引擎、深度集成和实时威胁共享能力相结合,Cyware 将继续在提供智能、适应性和协作安全运营方面保持领先地位。我们的目标是帮助组织通过具有预测性、可扩展性和上下文感知性的安全来领先于威胁。
感谢您这次精彩的采访,希望读者能够通过访问 Cyware 来了解更多信息。












