访谈
Secureframe 的 Shrav Mehta – 采访系列

Shrav Mehta,Secureframe 的创始人和 CEO,是一位专注于通过自动化简化网络安全和法规遵从性的企业家和技术领袖。他在 2020 年创立了 Secureframe,此前他曾在快速增长的初创公司 Pilot、Scale AI、Lob 和 Hired 的工程和增长角色中积累了经验。早期,他创立并扩大了一个成功的 Android 应用程序和游戏组合,这些应用程序和游戏吸引了数百万用户。在他的领导下,Secureframe 已成为领先的安全合规自动化平台之一,帮助组织简化复杂的认证流程,同时获得了顶级风险投资公司的支持,包括 Kleiner Perkins、Accomplice、Gradient Ventures、Base10 Partners 等。
Secureframe 是一个网络安全和合规自动化平台,允许组织以显著减少手动努力的方式实现和持续保持行业领先的安全和隐私认证。该平台通过与云提供商、身份平台、开发工具和商业应用程序的数百个集成,自动化证据收集、持续监控、安全意识培训、供应商风险管理和审计准备。支持包括 SOC 2、ISO 27001、HIPAA、PCI DSS、NIST、CMMC、FedRAMP 和 GDPR 在内的框架,Secureframe 帮助公司加强其安全态势,同时通过使合规更快、更可扩展和更容易维护,促进企业销售。
在创立 Secureframe 之前,您曾在 Pilot、Scale AI、Lob 和 Hired 等公司的工程、营销和增长角色中工作过,您甚至构建了数百万用户使用的 Android 应用程序。是什么具体的经历让您相信安全合规已经破碎到需要专门的公司来解决它?
一切都始于我自己的沮丧。整个职业生涯中,我看着非常优秀的工程团队在面对大型企业客户的安全问卷或需要 SOC 2 报告时停滞不前。网络安全合规成为业务增长的障碍,而不是加速器。
我开始询问我的网络中的人是否想要工具来自动化这一过程。很多人说是,但我不确定他们有多认真,直到有人一个月后打电话给我,问产品在哪里。我那周就辞职了,正式开始了 Secureframe。当我们有了一个最小可行产品时,已经有 40 多家公司在我们的等待名单上。
今天,我们帮助成千上万的公司导航、维护和扩大这项关键工作。这非常令人满意,看到我们的平台如何消除摩擦,将历史上的瓶颈变成我们的客户的竞争加速器。
您最近的网络安全峰会发现,六成安全专业人员认为他们有关键的威胁情报缺口。您认为为什么这么多组织仍然难以理解他们的真实风险暴露,尽管他们在网络安全上投入了大量资金?
我们一致看到的是,大多数安全团队并不缺乏数据,而是缺乏上下文。他们从数十种工具中收到警报,但他们仍然难以回答基本问题,如敏感数据存储在哪里,谁可以访问它,以及他们的具体风险是什么。事实上,我们的调查显示,虽然 60% 的人使用标准的政府情报源,但只有 29% 参与行业特定的 ISAC 共享。政府警报很有价值,但当警报出现在您的收件箱时,威胁通常已经演变了。
更深层次的问题是,网络扩展得比清点网络上有什么的速度快。如果您没有对敏感数据存储位置和谁可以访问它的清晰、最新的了解,添加另一个安全工具是不会救您的。
您描述了一个未来,网络安全将成为“对称 AI 战争”的形式,攻击者和防御者都使用越来越自治的系统。这从根本上如何改变企业安全团队的运作方式?
当 AI 可以在最少的人类干预下运行大部分操作时,侦察、利用和横向移动,人类分析师在 9 点打开一个在 2 点发送的警报的票,已经输掉了战斗。
安全专业人员的角色从主动响应者转变为编排者:设置策略,验证防御系统的完整性,并消除盲点,而不是处理无休止的低级别警报队列。
在我们的峰会上,前 NSA 网络安全主任 Rob Joyce 明确表示:“没有回到 AI 威胁模型之前的时代。您对防御的决定是关于新的常态的决定。我们不是在为可能的未来做准备。”
如果 AI 允许攻击者将突破时间从小时缩短到秒,今天的传统安全和合规模型中最大的弱点是什么,使组织容易受到这种类型的攻击?
最大的弱点是点对点、静态或手动验证。传统的合规性依赖于编制一年一度的文档来证明控制在特定日期上是有效的。这种模型在软件被持续生成、迭代和部署时就会崩溃。上个季度拍摄的快照可能不会告诉您今天您的安全态势如何。因此,FedRAMP 等框架正在转向自动化和持续验证。
第二个重大弱点是许多企业网络仍然是平坦的。当敏感的运营系统与日常的企业工具位于同一网络上时,一个被泄露的帐户可能会迅速成为一个更大的问题。
许多组织仍然将合规性视为周期性的审计练习。您为什么认为在威胁不断演变的时代,这种心态变得危险了?
因为对手不会按照您的审计时间表发动攻击。他们会利用您的系统在评估期间和三个月后实际配置之间的差距。配置会发生变化,员工会来来去去,新的软件会被集成;所有这些都会产生审计无法捕捉到的漏洞。
合规框架,如 SOC 2 或 CMMC,旨在定义运营底线,而不是终点线。将它们视为周期性项目就是公司陷入麻烦的原因,无论是在重新评估期间还是在评估周期之间的安全事件中。
AI 驱动的持续保护模型在实践中是什么样子,它与今天大多数企业依赖的安全运营中心有何不同?
今天,安全团队花费大部分时间手动处理警报,调查事件,并通过截图、电子表格和点对点文档收集审计证据。
AI 驱动的模型则相反。分析师不再追逐警报,自动系统持续监控数据、身份和基础设施的行为模式。当某些东西偏离已建立的基线时,自动工作流程会立即关闭差距,而不是等待人类注意到并采取行动。
AI 还可以完全接管文档负担,根据环境的实时状态生成和维护风险评估、控制证据和合规记录,而不是在审计前拍摄的快照。安全团队从执行此工作转变为监督执行此工作的系统。
国家网络威胁变得更加复杂和资金充足。您认为企业在未来三年内必须发展哪些能力,以便在面对此类对手时保持韧性?
精确的数据范围、自动的供应链验证和基于行为的安全架构。
国家行为者非常擅长使用窃取的凭证和合法的系统工具混入网络中,而不会触发传统的警报。捕捉这种活动需要监控行为模式,而不是仅仅扫描已知的恶意软件签名。
在供应链方面,我们的调查数据显示,58% 的安全从业者将第三方供应商风险列为他们最大的未解决差距。手动审查供应商电子表格一次,而复杂的行为者正在针对您的供应商,这不是真正的防御。
最后,限制敏感环境与企业网络的其他部分隔离,可以大大降低您的暴露。控制合规成本最有效的组织是通过限制敏感数据可以传播的范围来实现的。
随着 AI变得更加强大,您是否预计网络安全技能缺口会扩大或缩小?哪些安全角色可能变得更加重要,哪些可能变得更加自动化?
我认为网络安全技能缺口将在复杂性方面扩大,但在数量上缩小。AI 将处理历史上消耗初级分析师的常规重复工作,例如日志审查、基本文档和简单的修补。这样可以释放容量,但也提高了熟练从业者需要知道的标准。
未来最重要的角色将是那些专注于架构和治理的角色:能够设计坚固系统、评估 AI 流水线的安全性并解释快速变化的监管环境的专业人员。
Secureframe 已经扩展到更广泛的安全监控和 AI 驱动的补救措施。您认为治理、风险管理、合规和主动网络防御之间的界线开始变得模糊的原因是什么?
这些功能一直被人为地分开。在实践中,它们都是同一个问题的表达:您能证明您的系统正在做您说它们正在做的事情吗?
当自动系统在实时关闭安全差距时,它同时更新了您的风险态势,记录了治理事件,并生成了合规证据。我们看到的转变是从点对点合规到持续信任,AI 正是如何验证这种信任的。
展望未来,您是否认为我们正接近一个点,即 AI 系统将负责用最少的人类干预来保护关键基础设施,还是人类判断力将仍然是对抗大规模网络攻击的最终保障?
这两者都需要,而且领导文化将决定任何一个元素的工作效果如何。
前 CISA 首席信息官 Bob Costello 在我们的峰会上提到了这一点,当他描述了 SolarWinds (SWI ) 如何改变联邦对话时:从将合规视为一个复选框练习转变为真正理解整个环境的实时风险态势。这种心态的转变是区分坚韧的组织和脆弱的组织的关键因素。
那些走在前列的公司知道在有人问之前他们的敏感数据存储在哪里,已经用自动系统取代了手动的证据收集,并且建立了一个安全行为嵌入日常工作而不是为年度培训保留的文化。对于那些在受监管或高风险环境中运营的组织来说,逐渐现代化的窗口正在关闭。感谢您这次精彩的采访,希望您能通过访问 Secureframe 了解更多信息。












