Saryu Nayyar，Gurucul CEO 和创始人 – 采访系列

Saryu Nayyar 是一位国际公认的网络安全专家、作者、演讲者和福布斯科技委员会成员。她在信息安全、身份和访问管理、IT 风险和合规、安全风险管理领域拥有超过 15 年的经验。

她于 2017 年被评为 EY 女性创业赢家。她曾在 Oracle、Simeio、Sun Microsystems、Vaau（被 Sun 收购）和迪士尼等公司担任安全产品和服务策略的领导角色。Saryu 也曾在安永的技术安全和风险管理实践中担任过多年高级职位。

Gurucul 是一家专门从事基于行为的安全和风险分析的网络安全公司。其平台利用机器学习、人工智能和大数据来检测内部威胁、账户泄露和混合环境中的高级攻击。Gurucul 以其统一的安全和风险分析平台而闻名，该平台集成了 SIEM、UEBA（用户和实体行为分析）、XDR 和身份分析，以提供实时威胁检测和响应。该公司为企业、政府和托管安全服务提供商提供服务，旨在通过智能自动化减少假阳性并加速威胁补救。

是什么启发你在 2010 年创立了 Gurucul，你试图在网络安全领域解决什么问题？

Gurucul 成立的目的是帮助安全运营和内部风险管理团队对影响其业务的最关键的网络风险有所了解。自 2010 年以来，我们采取了基于行为和预测分析的方法，而不是基于规则的方法，这已经产生了超过 4,000 个机器学习模型，这些模型将用户和实体异常放在各种攻击和风险场景的背景下。我们建立了这一基础，并从帮助大型财富 50 强公司解决内部风险挑战，到帮助公司对所有网络风险有了根本性的了解。这是我们统一的、由 AI 驱动的数据和安全分析平台 REVEAL 的承诺。现在，我们正在通过使用机器学习作为基础，但现在在整个威胁生命周期中叠加生成和代理 AI 能力来构建我们的 AI 使命。目标是让分析师和工程师花费更少的时间在复杂性中，而是专注于有意义的工作。允许机器放大他们日常活动的定义。

在 Oracle、Sun Microsystems 和 Ernst & Young 等公司担任领导职务后，你从这些经历中带来了什么关键的经验教训到 Gurucul？

我在 Oracle、Sun Microsystems 和 Ernst & Young 的领导经验加强了我解决复杂安全挑战的能力，并让我了解了 Fortune 100 首席执行官和首席信息安全官面临的挑战。总的来说，它让我能够更好地了解安全领导者面临的技术和商业挑战，并激发了我去构建解决方案来弥合这些差距。

Gurucul 的 REVEAL 平台如何与传统的 SIEM（安全信息和事件管理）解决方案区别开来？

传统的 SIEM 解决方案依赖于静态、基于规则的方法，这导致了过多的假阳性、增加的成本和延迟的检测和响应。我们的 REVEAL 平台是完全云原生的、由 AI 驱动的，利用高级机器学习、行为分析和动态风险评分来实时检测和响应威胁。与传统平台不同，REVEAL 持续适应不断演变的威胁，并在本地、云端和混合环境中集成，以实现全面安全覆盖。作为 Gartner 魔法象限中三个连续年份的“最具远见”的 SIEM 解决方案，REVEAL 重新定义了由 AI 驱动的 SIEM，具有无与伦比的精度、速度和可见性。此外，SIEMs 在处理数据过载问题时存在困难。它们太昂贵，无法处理所有必要的数据，即使它们这样做，也只是增加了假阳性问题。Gurucul 了解这一问题，这就是为什么我们有一个本地的、由 AI 驱动的数据管道管理解决方案，可以将非关键数据过滤到低成本存储中，从而节省资金，同时保留在所有数据中运行联合搜索的能力。分析系统是一个“垃圾进，垃圾出”的情况。如果输入的数据是膨胀的、不必要的或不完整的，那么输出将不准确、不可行或最终不可信。

你能解释一下机器学习和行为分析如何用于实时检测威胁吗？

我们的平台利用超过 4,000 个机器学习模型，持续分析所有相关数据集，并实时识别异常和可疑行为。与依赖静态规则的传统安全系统不同，REVEAL 会随着威胁的出现而发现它们。该平台还利用用户和实体行为分析（UEBA）来建立正常用户和实体行为的基线，检测可能指示内部威胁、泄露的帐户或恶意活动的偏差。这种行为进一步由一个大数据引擎上下文化，该引擎关联、丰富和链接安全、网络、IT、IoT、云、身份、业务应用程序数据以及内部和外部来源的威胁情报。这为一个动态风险评分引擎提供了信息，该引擎分配实时风险评分，以帮助优先响应关键威胁。这些功能共同提供了一种全面、由 AI 驱动的实时威胁检测和响应方法，这使 REVEAL 与传统安全解决方案区别开来。

Gurucul 的 AI 驱动方法如何帮助减少与传统网络安全系统相比的假阳性？

REVEAL 平台通过利用 AI 驱动的上下文分析、行为洞察和机器学习来区分合法的用户活动和实际威胁，从而减少假阳性。与传统解决方案不同，REVEAL 随着时间的推移改进其检测能力，同时最小化噪音。其 UEBA 以高精度检测基线活动的偏差，允许安全团队专注于合法的安全风险，而不是被假警报淹没。虽然机器学习是基础方面，但生成和代理 AI 在追加自然语言上下文以帮助分析师了解警报周围发生了什么以及甚至自动响应警报方面发挥着重要作用。

对抗性 AI 在现代网络安全威胁中扮演什么角色，Gurucul 如何应对这些不断演变的风险？

首先，我们已经看到对抗性 AI 被应用于最容易受到攻击的目标，即人为因素和基于身份的威胁。这就是为什么行为分析和身份分析对于识别异常行为、将其置于上下文中并在其进一步蔓延之前预测恶意行为至关重要的原因。另外，对抗性 AI 是基于签名的检测方法的致命一击。对手正在使用 AI 来规避这些基于 TTP 的检测规则，但同样，他们无法以同样的方式规避基于行为的检测。SOC 团队没有足够的资源来不断编写规则以跟上对手的步伐，因此将需要一种现代的威胁检测、调查和响应方法。行为和上下文是关键成分。最后，像 REVEAL 这样的平台依赖于持续的反馈循环，我们不断地将 AI 应用于帮助我们改进我们的检测模型、推荐新模型并告知我们的整个客户生态系统可以受益的新威胁情报。

Gurucul 的风险评分系统如何提高安全团队优先处理威胁的能力？

我们的平台的动态风险评分系统根据观察到的行为和上下文洞察为用户、实体和操作分配实时风险评分。这使安全团队能够优先处理关键威胁，减少响应时间并优化资源。通过在 0-100 的范围内量化风险，REVEAL 确保组织关注最紧迫的事件，而不是被低优先级的警报淹没。具有统一风险评分的企业数据源，安全团队获得了更大的可见性和控制力，从而实现更快、更明智的决策。

在数据泄露事件不断增加的时代，AI 驱动的安全解决方案如何帮助组织防止内部威胁？

内部威胁是一个特别具有挑战性的安全风险，因为其隐蔽性质和员工所拥有的访问权限。REVEAL 的 UEBA 检测到偏离已建立的行为基线的偏差，识别出未经授权的数据访问、异常登录时间和特权滥用的风险活动。动态风险评分还实时持续评估行为，分配风险级别以优先处理最紧迫的内部风险。这些 AI 驱动的功能使安全团队能够主动检测和减轻内部威胁，在其升级为泄露之前。鉴于行为分析的预测性质，内部风险管理是一场与时间赛跑的游戏。内部风险管理团队需要能够快速响应和协作，优先考虑隐私。上下文在这里至关重要，行为偏差来自身份系统、人力资源应用程序和所有其他相关数据源的上下文，给这些团队提供了快速构建和捍卫证据案例的子弹，以便业务可以在数据泄露发生之前响应和补救。

Gurucul 的身份分析解决方案与传统的 IAM（身份和访问管理）工具相比如何增强安全性？

传统的 IAM 解决方案关注访问控制和身份验证，但缺乏实时检测泄露的帐户或特权滥用的智能和可见性。REVEAL 通过利用 AI 驱动的行为分析来实时评估用户风险、动态调整风险评分和执行自适应访问授权，最大限度地减少滥用和非法特权。通过集成现有的 IAM 框架并执行最小特权访问，我们的解决方案增强了身份安全并减少了攻击面。IAM 治理的问题是身份系统的蔓延和不同身份系统之间的互联互通性不足。Gurucul 为团队提供了对其身份风险的 360 度视图，跨所有身份基础设施。现在他们可以停止为访问提供橡皮图章，而是采取风险导向的方法来访问策略。此外，他们可以加速 IAM 的合规方面，并展示对整个组织的访问控制的持续监控和整体方法。

您在接下来的五年中预见到的关键网络安全威胁是什么，AI 如何帮助减轻这些威胁？

基于身份的威胁将继续泛滥，因为它们已经奏效。对手将加倍努力通过泄露内部人员或攻击身份基础设施来获得访问权限。当然，内部威胁将继续成为许多企业的关键风险向量，尤其是随着影子 IT 的继续。无论是恶意的还是疏忽的，公司将越来越需要对内部风险有可见性。此外，AI 将加速传统 TTP 的变化，因为对手知道这将是他们能够以低成本规避检测的方式。因此，专注于行为和上下文并拥有能够以同样的速度适应的检测系统将在可预见的未来至关重要。

感谢这次精彩的采访，希望了解更多的读者可以访问 Gurucul。