Anagram wykorzystuje podejście grywalizacji do szkoleń pracowników z zakresu cyberbezpieczeństwa

Mimo że pracodawcy wymagają od swoich pracowników ukończenia rocznych szkoleń z zakresu cyberbezpieczeństwa, naruszenia cyberbezpieczeństwa spowodowane przez człowieka nadal się zdarzają. Problem może się jeszcze bardziej pogorszyć, ponieważ generatywna sztuczna inteligencja zwiększa skalę i personalizację kampanii inżynierii społecznej.

Firma Anagram , wcześniej znana jako Cipher, wprowadza nowe podejście do szkoleń pracowników w zakresie cyberbezpieczeństwa. Ma to na celu nadążanie za zmienną naturą tych kampanii.

Nowojorska firma stworzyła platformę, która zawiera praktyczne szkolenia z zakresu bezpieczeństwa dla przedsiębiorstw. Szkolenia obejmują krótkie filmy i spersonalizowane interaktywne łamigłówki, które uczą pracowników, jak rozpoznawać podejrzane wiadomości e-mail i komunikację. Szkolenia te są zaprojektowane tak, aby były częstsze i bardziej angażujące niż obecny standard raz w roku, czyli długa sesja szkoleniowa.

Harley Sugarman, współzałożyciel i dyrektor generalny Anagram, powiedział serwisowi TechCrunch, że działania te obejmują m.in. zadania polegające na zlecaniu pracownikom tworzenia własnych spersonalizowanych wiadomości e-mail phishingowych, w celu nauczenia ich, jak rozpoznawać zaawansowane kampanie skierowane przeciwko nim samym.

„Wzięliśmy bardzo mało, w zasadzie żadnej inspiracji z istniejących materiałów”, powiedział Sugarman o istniejących szkoleniach z zakresu cyberbezpieczeństwa. „To, co naprawdę wzięliśmy, to lekcje z TikToka, lekcje z Duolingo i Khan Academy. Przyjrzeliśmy się tym platformom, które naprawdę, naprawdę dobrze angażowały i zmieniały zachowania użytkowników poza przestrzenią bezpieczeństwa i powiedzieliśmy: OK, jak możemy zastosować te lekcje w zakresie bezpieczeństwa?”

Tworzenie szkoleń z zakresu cyberbezpieczeństwa opartych na grach nie było tym, co Sugarman, były inwestor venture capital w Bloomberg Beta, planował zrobić, zakładając firmę.

Pierwszym pomysłem Sugarmana było wykorzystanie podejścia szkoleniowego branży cyberbezpieczeństwa „capture the flag” do podnoszenia kwalifikacji pracowników cyberbezpieczeństwa przedsiębiorstw. To podejście szkoleniowe polega na tworzeniu oprogramowania z lukami w zabezpieczeniach i umożliwieniu badaczom ds. bezpieczeństwa wejścia do oprogramowania w celu znalezienia błędów i ustalenia, jak pisać kod, nie wpadając w te same pułapki.

Ta firma wystartowała jako Cipher w 2022 r. i zyskała pewną popularność. Jednak dyrektorzy ds. informatyki (CISO) zaczęli mówić Sugarmanowi, że ich firmy mają w rzeczywistości większy problem z bezpieczeństwem, z którym chcą się uporać: ich pracownicy niezwiązani z bezpieczeństwem. Sugarman powiedział, że CISO opisują swoich pracowników jako najsłabsze ogniwo w cyberbezpieczeństwie.

„To, co mnie zaskoczyło, to po prostu ilość beznadziei, którą usłyszałem w ich głosach” – powiedział Sugarman. „To był dla nich nierozwiązywalny problem”.

Następnie w styczniu 2024 r. Cipher zmienił nazwę, aby skupić się na rozwiązaniu tego problemu. Teraz startup zmienia nazwę na Anagram, aby odzwierciedlić nowe podejście i jest w trakcie wycofywania swojego oryginalnego produktu. Anagram odnotował silny wzrost od czasu zmiany nazwy i pozyskał klientów, w tym Thomson Reuters, MassMutual i Disney, między innymi.

Anagram niedawno zebrał 10 milionów dolarów w rundzie finansowania serii A prowadzonej przez Madronę z udziałem General Catalyst, Bloomberg Beta i Operator Partners, między innymi. Firma planuje wykorzystać fundusze na rozbudowę zespołu sprzedaży i dalsze ulepszanie produktu. Sugarman powiedział, że do tej pory udało im się obniżyć wskaźniki niepowodzeń phishingu firmy z 20% do 6%, ale uważa, że ​​mogą nadal zbliżać się do zera.

Sugarman powiedział, że Anagram wprowadził swój produkt na rynek w naprawdę interesującym punkcie zwrotnym dla branży cyberbezpieczeństwa. Dzięki postępom w dziedzinie generatywnej sztucznej inteligencji kampanie inżynierii społecznej mogą być bardziej spersonalizowane niż kiedykolwiek, co sprawi, że ludziom będzie coraz trudniej odróżnić, co jest prawdziwe, a co nie.

„Myślę, że skutkiem ubocznym tego jest to, że tradycyjne platformy zabezpieczeń poczty e-mail będą miały znacznie większe trudności z wykrywaniem tych phishów generowanych przez sztuczną inteligencję” — powiedział Sugerman. „Ta zdolność do generowania i losowania jest po prostu tak silna, że ​​z perspektywy inżynierii naprawdę, naprawdę trudno jest się przed tym bronić”.

Anagram pracuje również nad stworzeniem agenta AI, który będzie siedział w e-mailach pracowników przedsiębiorstwa i będzie szkolony, aby sygnalizować potencjalne wpadki w zakresie cyberbezpieczeństwa, zanim się pojawią. Sugarman powiedział, że agent będzie wykonywał takie czynności, jak wyskakiwanie, aby zapytać kogoś, czy naprawdę chce wysłać dane swojej karty kredytowej e-mailem, i inne podobne zabezpieczenia.

W międzyczasie Anagram ma nadzieję, że jego łamigłówki i filmy szkoleniowe przypominające TikToka nadal będą przynosić efekty.

„Ludzie nie są głupi, zbudowaliśmy wieżowce, możemy podróżować w kosmos” – powiedział Sugarman. „Potrafimy dowiedzieć się, jak nie klikać podejrzanych linków w wiadomościach e-mail”.