כרגיל, אנו ממשיכים את סדרת הראיונות עם חברות איטלקיות הפועלות בעולם הסייבר ובאופן כללי יותר של טכנולוגיות חדשות, גיבורות בתרחיש האיטלקי. היום אנו מראיינים את המהנדס Davide Ariu, מייסד שותף של החברה פלוריבוס אחד.
לפני שנדבר על אבטחת סייבר ובינה מלאכותית, האם תוכל לספר לנו בקצרה על עצמך, על תפקידך ב- Pluribus One ועל החברה שאתה מייצג?
הייתי מתחיל מ- Pluribus One, חברה שעזרתי להקים ושאני מובילה כבר כמה שנים. היא נולדה כחברת טכנולוגיה, מתוך כוונה להביא לשוק פתרונות לאבטחת אפליקציות ושירותי אינטרנט החל מאיטליה. החברה עושה זאת החל מרקע טכנולוגי איתן, בהתחשב בכך שהיא נולדה כספין-אוף של אוניברסיטת קליארי, ממנה מגיעים גם אני וגם שאר חברי המייסדים.
למרות שההקשר בו אנו פועלים אינו של מחקר אלא הקשר עסקי שבו המטרה היא ללא ספק להציע פתרונות ללקוחותינו, בבניית החברה החלטנו לעשות זאת תוך שמירה על רוח החוקרים שמובילה אותנו ללכת ב- שורש הבעיות. שמנו לעצמנו למטרה לבנות הצעת ערך המבוססת על פתרונות מסחריים שפותחו במלואם על ידינו. במקרה זה, התחום בו אנו פועלים הוא זה של אבטחת אפליקציות ושירותי אינטרנט, בו פיתחנו פתרון המאפשר ניהול מקצה לקצה של פרצות יישומים: מגילוי ועד הפחתה.
לפני מספר ימים קראתי מאמר שדיבר על למידת מכונה אדוורסרית ועל האתגרים שעולים לחברות העוסקות בבינה מלאכותית. האם תוכל להסביר לנו במילים פשוטות מה זה אומר?
כשלעצמה, ההגדרה של Adversarial Machine Learning או באופן כללי יותר Adversarial AI היא פשוטה ומתארת את מכלול הטכניקות שמטרתן לבטל ולערער את התנהגותם של אלגוריתמי AI ו- Machine Learning, מתוך כוונה סופית לסכן את התפקוד התקין של אובייקטים. ופתרונות שמשתמשים בהם. תוצאה זו מושגת על ידי אספקת לאלגוריתמים תשומות עוינות במכוון (ומכאן שם התואר אדוורסריאלי) הבנויות תוך התחשבות בגורמים כמו סוג האלגוריתמים שיש לתקוף, הרגע בו ניתן לבצע את המתקפה והכוונה מאחורי המתקפה. התקיפה מיועדת להעמדה לדין.
שתיים מהדוגמאות הקלאסיות ביותר הן, מצד אחד, התקפות שדוחפות מערכות לקבל החלטה לא נכונה ומצד שני, כאלה שמטרתן לערער את תהליך הלמידה שבמהלכו אלגוריתמים לומדים מנתונים, המכונה גם שלב הלמידה (או למידה או אימון). דיברו הרבה על הראשונים ומדברים עליהם ממשיכים, למשל ביחס לרכבים בנהיגה עצמית: ברשת ישנן דוגמאות רבות למכוניות בנהיגה עצמית שמערכת הבקרה שלהן הולכת שולל על ידי שינוי תמרורים עם תמרורים. מדבקות ממוקמות. מהאחרונים נוכל לספק דוגמה בתחום זיהוי תוכנות זדוניות, בהנחה שיש לנו אלגוריתם שנועד לזהות תוכנות זדוניות. אם לתוקף הייתה אפשרות לתמרן דגימות תוכנות זדוניות עד כדי הסתרה או שינוי של חלק מהמאפיינים המייחדים את התנהגותם הזדונית ולאחר מכן להבטיח שדגימות אלו יעובדו במהלך שלב הלמידה, אותן דגימות יעובדו בשלב הסיווג. דגימות או מקבילות אחרות לא יוכרו ככאלה, ובכך מתחמקים מהאלגוריתם.
יצוין כי קיומן של בעיות אלו אינו מהווה חידוש מוחלט, לפחות עבור עולם המחקר, שהחל לשאול את עצמו ולטפל בהן לפני כ-20 שנה, אם כי לא בהיקף כה נרחב כפי שקרה ב- אחרונות 5-6 שנים. שנים. שבה, בין היתר, השתנתה באופן קיצוני הפרספקטיבה של שימוש ב-AI בהקשרים אמיתיים וגדולים, היבט שלכאורה מציב אותנו ישירות מול ההשלכות האפשריות ומעלה צורך דחוף לנהל אותן.
Pluribus One עוסקת כבר שנים ביישום מחקר בינה מלאכותית בתחום אבטחת הסייבר. זהו תחום יישום בו עלינו להיות קשובים תמיד למחקרים חדשים. מהם מערכות היחסים של החברה שלך עם עולם המחקר?
תמיד טענתי וממשיך לעשות זאת היום יותר מתמיד שהסייבר הוא אחד המגזרים שבהם הגבול בין מחקר, אפילו ברמה הגבוהה ביותר, לתעשייה מטושטש יותר. כי מחקר יישומי שמשגשג על נתונים יכול להתרחש לרוב רק הודות לנתונים אמיתיים שלרוב אין לאקדמיה ואשר התעשייה במקום זאת אוספת באופן טבעי כדי לנהל את עסקיה. ולהיפך, תעשיית הסייבר לא יכולה להישאר בשוק לטווח ארוך אלא אם היא מתעדכנת ומתחדשת ולכן שואבת ללא הרף מעולם המחקר.
יש לי 15 שנים של מחקר אוניברסיטאי מאחוריי, וחזקה באמונה הזו, תמיד רציתי שמחקר ופיתוח יהיו אחת מפעילויות המפתח של Pluribus One. בתוך החברה אנו מבצעים הרבה מחקר ופיתוח במסגרת פרויקטי מחקר אירופאים, במסגרתם יש לנו אפשרות לגרום לפתרונות שלנו לצמוח ולהבשיל על ידי השוואה בין עצמנו בהקשר בינלאומי המורכב מעשרות ועשרות שותפים מכל אירופה, מפורטוגל ועד רומניה. המשמעות היא עבודה משותפת עם האוניברסיטה כדי לטפל ולפתור גם את הבעיות המעשיות של הלקוחות שלנו. בעיות שעליהן ביצענו בעבר - וממשיכים לבצע כיום - הן פעילויות מחקר, שבמידת האפשר אנו מפרסמים בהקשרים בינלאומיים, והן החלק ההנדסי והפיתוח כדי להביא את השיפורים הנובעים מהפתרונות שלנו. אנחנו רוצים להדגים שזה אפשרי גם באיטליה, ולמרות שהפרופורציות הראויות, לא רק בתוך ענקיות ה-IT העולמיות.
כדי להשיג מטרה זו, החברה תמיד השקיעה משאבים משמעותיים ויש לה חילופי עובדים מתמשכים עם עולם האוניברסיטאות. עד כדי כך שמ-2023 זה יממן גם מלגת דוקטורט לשלוש שנים באוניברסיטת קליארי.
מה דעתך על הצורך בהפצת ידע בתחום הבינה המלאכותית ואבטחת הסייבר? מה אתה עושה כדי להגביר את הפצת הידע במגזר הזה? מה המצב באיטליה?
אני חושב שזו פעילות בסיסית בתהליך הטרנספורמציה הדיגיטלית של החברה שלנו. בינה מלאכותית וטכנולוגיות דיגיטליות מציעות לנו באופן כללי הזדמנויות יוצאות דופן. אבל הם יכולים להקרין את חיינו לפחות בחלקם לעבר תרחישים שבמקרה הטוב לא חווינו עד עכשיו, ובמקרה הרע אנחנו מתקשים מאוד לדמיין בגלל התפתחויות והשלכות אפשריות, גם אבל לא רק, מפרופיל סייבר. כדי למנוע מאיתנו כחברה ללכת לעבר הלא נודע, לכן חשוב שהנושאים הללו ימצאו יותר ויותר מקום בתקשורת ההמונים, בהתחשב בהשפעות החברתיות האפשריות ובהתחשב בכך שהם נוגעים לכולנו בצורה כלשהי. בשנים האחרונות הדברים כבר השתנו: מעולם לא הייתי חושב, אפילו לא לפני חמש שנים, לשמוע על אבטחת סייבר במהלך חדשות הערב. למרבה המזל זה קורה עכשיו, וזה בהחלט דבר טוב.
אבל אני פותח בפרובוקציה. אני מאמין שנכון יהיה לחשוב ברמה המוסדית על קמפיין אוריינות המוני בנושאים אלו, קצת כמו מה שנעשה בתקופה שלאחר המלחמה כדי להפיץ הכשרה בסיסית. זו תהיה פעולה של הגיון בריא, בהתחשב בקצב שבו הטכנולוגיות הללו מפותחות ומתאפיינות, שאינו מאוד אנושי.
מצידנו, אולי גם קצת על רקע, תמיד העדפנו תקשורת לא מסחרית לטובת תקשורת המכוונת לפיזור מיומנויות: בתקופה שבה אנחנו היעד של קמפיינים תקשורתיים ושיווקיים מכל הסוגים, אנחנו מאמינים. שהדרך הטובה ביותר להגיע לאנשים היא להביא ערך וידע.
מסיבה זו, למשל, במהלך 2023 יצרנו פורמט מידע משלנו, שקראנו לו Cyber Journey (https://cyberjourney.it/). זהו אירוע אישי שחשבנו כצורת מסע דרך נושאי הפנורמה הסייברית, שיש לו מטרת הפצה טהורה ובמסגרתו אפשרנו לציבור של קליארי, ללא תשלום, להכיר ולקיים אינטראקציה איתה. דוברים המייצגים את הגבול הבינלאומי של מחקר ותעשייה בתחום הסייבר. בשתי מהדורות 2023 היו לנו דוברים מ-ENISA, MICROSOFT, SAP, TRELLIX, CHECKMARX ומכמה מהאוניברסיטאות האירופיות היוקרתיות ביותר, כמו קרלוס השלישי במדריד ואוניברסיטת אמסטרדם.
במקביל, השקנו גם קהילה מקוונת, "Unboxed AppSec", שבה אנו מתמודדים עם בעיות אבטחת יישומים על בסיס שבועי, ומנסים להנגיש אותם. מדובר בקונטיינר מקוון, שהתחייבתי להזין אותו באופן אישי במאמרים ופוסטים החל מעולם המחקר ועד לתיאור המסגרות וכלי העבודה בהם אנו משתמשים על בסיס יומי כדי להבטיח אבטחת תוכנה.
בחברה כמו שלך אני מתאר לעצמי שתמיד יש צורך באנשים חדשים איתם לפתח פרויקטים חדשים. האם קשה למצוא צוות מיומן? מה אתה עושה כדי להשאיר אותו איתך?
חברה כמו שלנו חיה על ידע ולכן אנשים הם אחד מאבני היסוד שעליהם מבוססת החברה. תחשוב על מה זה אומר להביא, כפי שאנו עושים במקרה של תיבת הרואה שלנו (http://seerbox.it), פתרון אבטחת סייבר בשוק.
אנחנו צריכים מהנדסי תוכנה מצוינים כדי להבטיח שהפתרון שלנו יעיל וניתן להרחבה, יכול להיות מותקן ביעילות שווה ובאדישות במגוון סביבות, מה-on-premise המסורתי ביותר ועד מודרני מבוסס-מכולות ענן-native. אנו זקוקים לכישורי אבטחה פוגעניים כדי להבין כיצד ניתן לתקוף את יישומי האינטרנט וממשקי ה-API שעליהם נצטרך להגן באמצעות Seer Box. ובחזית ההפוכה אנו זקוקים למדע נתונים, ניתוח נתונים ולמידת מכונה, ומיומנויות אבטחה הגנתיות כדי לאחסן, לנתח ולעבד במהירות וביעילות את הנתונים המועילים לזיהוי וחסימת התקפות. לכך נוסיף את העובדה שאנו מציעים פתרון שלקוחות חייבים להתקין בבית, ובהיותו מוצר אבטחת סייבר, זהו האובייקט הראשון של הערכה ובדיקה של לקוחותינו לפני שהם מחליטים להתקין אותו בתשתית שלהם. מכאן נובע שעלינו להקדיש תשומת לב מרבית להיבטים של אבטחת איכות, בדיקות ו-DevSecOps.
לבסוף, בהתחשב בכך שהפתרון חייב להיות נגיש ושמיש, וכן לאפשר לצוותים טכניים שאינם בעלי הכשרה ספציפית באבטחת אינטרנט לפעול, עלינו להקדיש תשומת לב מרבית לכל ההיבטים של ממשק משתמש, חווית משתמש והצגת תפוקות.
הסטנדרט ההתחלתי לצוות הטכני שלנו הוא אפוא גבוה מאוד ולא קל למצוא נתונים מוכנים בשוק, במיוחד בשוק איטלקי שבו חברות שמפתחות תוכנה אינן מכוונות במיוחד ליצירת פתרונות "מדף" ואפילו כאלה ש הפתרונות שלהם נמצאים לעתים קרובות מאוד בעולם ה-SaaS, שהוא שונה לחלוטין משלנו.
אבל אני יכול לחזור על אותו הדבר עבור כל הכישורים הקשורים לפרויקטים של מו"פ אירופיים.
לכן, אם במהלך תהליכי המיון אנחנו תמיד מחפשים פרופילים שיכולים להביא חוויות וידע משלימים לשלנו, מאידך אנחנו מנסים לעודד את הצמיחה של אנשים ככל האפשר, ולהבטיח את האיכות הגבוהה ביותר של העבודה. סביבה עבודה.
צפינו שיש להקצות 10% מזמן העבודה השבועי לפעילויות לימודיות, אנחנו מבצעים הכשרה לפחות דו שבועית על מיומנויות רכות, ויש לנו ניהול משאבי אנוש שיהיה אובססיבי גם בחברות גדולות בהרבה משלנו.
זה בגלל שאני תמיד אומר לאנשים בצוות שלנו: "אנחנו רוצים שתישארו איתנו כמה שיותר זמן. אבל בינתיים אנחנו רוצים שתצליחו להתאמן ולצמוח כך שאם תחליטו לעזוב את Pluribus One מחר בבוקר לא תהיה לכם בעיה למצוא חברה גדולה ויוקרתית עוד יותר שתוכל לקבל את פניכם". כמובן שאני תמיד מקווה שזה לא יקרה.
לבסוף, מהן התוכניות של Pluribus One לשנת 2024?
הם רבים ושאפתנים, אבל אנסה למנות שלושה.
נתחיל מוקדם השנה על ידי הפיכת גרסה חינמית וציבורית של פתרון ה-Seer Box שלנו לזמינה. אנחנו רוצים לתת לכולם את ההזדמנות לנסות את זה בקלות, ללמוד על זה ולהשתמש בו כדי להגן על האפליקציות ושירותי האינטרנט שלהם. אנחנו מאמינים מאוד באיכות העבודה שעשינו במשך כל השנים הללו ואנו רוצים שתזכה להערכה.
לאחר מכן יתעורר לחיים פרויקט אירופי של 4 מיליון אירו, פרויקט APPTake, הרואה אותנו בראש קונסורציום של 14 חברות מ-7 מדינות שונות ושמטרתו להצמיח פתרונות מתוצרת אירופה עבור DevSecOps. בהתחשב בתפקיד הרכזים שיש לנו, מדובר בפרויקט שמציב אותנו בפני אחריות חשובה ויפתח אותנו לשלב השוק האירופי. אז הזדמנות ענקית.
ואז בשנת 2024 נחזור על אירוע הסייבר Journey שלנו עם נוסחה שאפתנית אפילו יותר.
הקוראים של Difesa Online מוזמנים כעת כולם לקליארי ביוני.
