Как обычно, мы продолжаем серию интервью с итальянскими компаниями, работающими в мире киберпространства и в целом новых технологий, главных героев итальянского сценария. Сегодня мы берём интервью у инженера Давиде Ариу, соучредителя компании. Плюрибус Один.
Прежде чем говорить о кибербезопасности и искусственном интеллекте, не могли бы вы кратко рассказать нам о себе, своей роли в Pluribus One и компании, которую вы представляете?
Я бы начал с Pluribus One, компанию, которую я помог основать и которой руковожу уже несколько лет. Она родилась как технологическая компания с намерением вывести на рынок решения для безопасности приложений и веб-сервисов, начиная с Италии.Компания делает это, имея солидный технологический опыт, учитывая, что она родилась как дочерняя компания. Университета Кальяри, из которого я и другие члены-основатели родом.
Хотя контекст, в котором мы работаем, — это не исследовательский, а бизнес-контекст, целью которого, очевидно, является предложение решений нашим клиентам, при создании компании мы решили сделать это, сохраняя при этом тот исследовательский дух, который заставляет нас идти в ногу со временем. корень проблем. Мы поставили перед собой цель создать ценное предложение, основанное на коммерческих решениях, полностью разработанных нами. В данном случае областью нашей деятельности является безопасность приложений и веб-сервисов, где мы разработали решение, позволяющее осуществлять сквозное управление уязвимостями приложений: от обнаружения до устранения.
Несколько дней назад я прочитал статью, в которой говорилось о состязательном машинном обучении и проблемах, которые возникают у компаний, занимающихся искусственным интеллектом. Можете ли вы объяснить нам простыми словами, что это значит?
Само по себе определение состязательного машинного обучения или, в более общем смысле, состязательного ИИ, просто и описывает набор методов, целью которых является аннулирование и подрыв поведения алгоритмов ИИ и машинного обучения с конечной целью поставить под угрозу нормальное функционирование объектов. и решения, которые их используют. Этот результат достигается за счет предоставления алгоритмам заведомо враждебных входных данных (отсюда и прилагательное состязательный), созданных с учетом таких факторов, как тип алгоритмов, подлежащих атаке, момент, когда атака может быть осуществлена, и намерение, стоящее за атакой. нападение предназначено для судебного преследования.
Двумя наиболее классическими примерами являются, с одной стороны, атаки, которые подталкивают системы к принятию неправильного решения, а с другой — атаки, направленные на подрыв процесса обучения, в ходе которого алгоритмы учатся на данных, также известного как фаза обучения (или фаза обучения). обучение или тренировка). О первом было много разговоров и продолжают говорить, например, в отношении беспилотных транспортных средств: в Интернете есть множество примеров беспилотных автомобилей, система управления которых была обманута путем изменения дорожных знаков с должным образом. расположенные наклейки. Из последнего мы могли бы привести пример в области обнаружения вредоносного ПО, предполагая, что у нас есть алгоритм, предназначенный для распознавания вредоносного ПО. Если бы у злоумышленника была возможность манипулировать образцами вредоносных программ до такой степени, что они могли бы скрыть или изменить некоторые характеристики, отличающие их вредоносное поведение, а затем обеспечить обработку этих образцов на этапе обучения, те же самые образцы будут обработаны на этапе классификации. образцы или другие эквиваленты не будут распознаваться как таковые, что позволяет обойти алгоритм.
Следует отметить, что существование этих проблем не представляет собой абсолютной новизны, по крайней мере, для мира исследований, который начал задаваться ими и решать их около 20 лет назад, хотя и не в таком широком масштабе, как это произошло в последние 5-6 лет. В котором, среди прочего, радикально изменилась перспектива использования ИИ в реальных и крупномасштабных контекстах, аспект, который, очевидно, ставит нас непосредственно перед возможными последствиями и вызывает острую необходимость управлять ими.
Pluribus One уже много лет занимается применением исследований искусственного интеллекта в области кибербезопасности. Это область применения, в которой мы всегда должны быть внимательны к новым исследованиям. Каковы отношения вашей компании с миром исследований?
Я всегда утверждал и продолжаю утверждать сегодня больше, чем когда-либо, что кибербезопасность является одним из секторов, где граница между исследованиями, даже на самом высоком уровне, и промышленностью более размыта. Потому что прикладные исследования, которые процветают на данных, часто могут проводиться только благодаря реальным данным, которых академические круги большую часть времени не имеют и которые вместо этого естественным образом собирает промышленность для ведения своего бизнеса. И наоборот, кибериндустрия не сможет оставаться на рынке в долгосрочной перспективе, если она не будет обновляться и внедрять инновации и, следовательно, постоянно опираться на мир исследований.
За моим плечами 15 лет исследований в университетах, и, твердо веря в это, я всегда хотел, чтобы исследования и разработки стали одним из ключевых направлений деятельности Pluribus One. Внутри компании мы проводим множество исследований и разработок в рамках европейских исследовательских проектов, в рамках которых у нас есть возможность совершенствовать и совершенствовать наши решения, сравнивая себя в международном контексте, состоящем из десятков и десятков партнеров со всей Европы. из Португалии в Румынию. Это означает совместную работу с университетом для решения практических проблем наших клиентов. Проблемы, над которыми мы проводили в прошлом и продолжаем заниматься сегодня, как исследовательскую деятельность, которую, когда это возможно, мы публикуем в международном контексте, так и часть проектирования и разработки, чтобы внести полученные улучшения в наши решения. Мы хотим продемонстрировать, что это осуществимо и в Италии, и, пусть и с должной пропорцией, не только в рамках мировых ИТ-гигантов.
Для достижения этой цели компания всегда инвестировала значительные ресурсы и осуществляет постоянный обмен персоналом с университетским миром. Вплоть до того, что с 2023 года он также будет финансировать трехлетнюю докторскую стипендию в Университете Кальяри.
Что вы думаете о необходимости распространения знаний в области искусственного интеллекта и кибербезопасности? Что вы делаете для увеличения распространения знаний в этом секторе? Какова ситуация в Италии?
Я думаю, что это фундаментальная деятельность в процессе цифровой трансформации нашего общества. Искусственный интеллект и цифровые технологии в целом открывают нам исключительные возможности. Но они могут, по крайней мере частично, спроецировать нашу жизнь на сценарии, которые в лучшем случае мы до сих пор не испытали, а в худшем случае нам трудно представить их из-за развития событий и возможных последствий, в том числе, но не только, из киберпрофиля. Поэтому, чтобы не дать нам как обществу идти к неизведанному, важно, чтобы эти вопросы находили все больше и больше места в средствах массовой информации, учитывая возможные социальные последствия и учитывая, что они так или иначе касаются нас всех. В последние годы все уже изменилось: даже пять лет назад я бы никогда не подумал услышать о кибербезопасности в вечерних новостях. К счастью, это происходит сейчас, и это, безусловно, хорошо.
Но я запускаю провокацию. Я считаю, что было бы уместно подумать на институциональном уровне о кампании массовой грамотности по этим вопросам, что-то вроде того, что делалось в послевоенный период для распространения базовой подготовки. Это было бы действием здравого смысла, учитывая темпы развития и распространения этих технологий, которые не очень-то похожи на человеческие.
Со своей стороны, возможно, также и по своему опыту, мы всегда предпочитали некоммерческую коммуникацию в пользу коммуникации, ориентированной на распространение навыков: в то время, когда мы являемся целью коммуникационных и маркетинговых кампаний всех видов, мы считаем, что что лучший способ достучаться до людей — это принести пользу и ноу-хау.
По этой причине, например, в течение 2023 года мы создали собственный информационный формат, который назвали Cyber Journey (https://cyberjourney.it/). Это личное мероприятие, которое мы задумали как форму путешествия по темам киберпанорамы, имеющее чисто пропагандистскую цель и в рамках которого мы позволили общественности Кальяри бесплатно познакомиться и взаимодействовать с спикеры, которые представляют международные границы киберисследований и промышленности. В двух выпусках 2023 года у нас были докладчики из ENISA, MICROSOFT, SAP, TRELLIX, CHECKMARX, а также из некоторых самых престижных европейских университетов, таких как Карлос III в Мадриде и Университет Амстердама.
В то же время мы также запустили онлайн-сообщество Unboxed AppSec, где мы еженедельно решаем проблемы безопасности приложений, стараясь сделать их доступными. Это онлайн-контейнер, который я лично снабжаю статьями и сообщениями, начиная от мира исследований и заканчивая описанием фреймворков и рабочих инструментов, которые мы используем ежедневно, чтобы гарантировать безопасность программного обеспечения.
Я считаю, что в такой компании, как ваша, всегда нужны новые люди, с которыми можно разрабатывать новые проекты. Сложно ли найти обученный персонал? Что ты делаешь, чтобы он оставался с тобой?
Такая компания, как наша, живет за счет ноу-хау, и поэтому люди являются одним из краеугольных камней, на которых базируется компания. Подумайте о том, что значит принести, как мы поступаем в случае с нашей Коробкой Провидца (http://seerbox.it), решение кибербезопасности на рынке.
Нам нужны отличные инженеры-программисты, чтобы гарантировать, что наше решение является эффективным и масштабируемым, может быть установлено с одинаковой эффективностью и независимо в различных средах, от самых традиционных локальных до современных контейнерных облачных сред. Нам нужны навыки наступательной безопасности, чтобы понять, как могут быть атакованы веб-приложения и API, которые нам придется защищать с помощью Seer Box. И наоборот, нам нужны наука о данных, анализ данных и машинное обучение, а также навыки защитной безопасности, чтобы быстро и эффективно хранить, анализировать и обрабатывать данные, полезные для обнаружения и блокирования атак. К этому мы добавляем тот факт, что мы предлагаем решение, которое клиенты должны установить дома, и, поскольку оно является продуктом кибербезопасности, оно является первым объектом оценки и проверки со стороны наших клиентов, прежде чем они решат установить его в своей инфраструктуре. Отсюда следует, что мы должны уделять максимальное внимание аспектам обеспечения качества, тестирования и DevSecOps.
Наконец, учитывая, что решение должно быть легкодоступным и удобным в использовании, а также позволять работать техническому персоналу, не имеющему специальной подготовки в области веб-безопасности, мы должны уделять максимальное внимание всем аспектам пользовательского интерфейса, пользовательского опыта и представления выходы.
Поэтому стартовый стандарт для нашей технической команды очень высок, и найти готовые фигуры на рынке нелегко, особенно на итальянском рынке, где компании, разрабатывающие программное обеспечение, не очень ориентированы на создание готовых решений, и даже таких, которые поддержка их решений очень часто осуществляется в мире SaaS, который полностью отличается от нашего.
Но я мог бы повторить то же самое для всех навыков, связанных с европейскими проектами исследований и разработок.
Поэтому, если в процессе отбора мы всегда ищем профили, которые могут принести дополнительный опыт и ноу-хау к нам, с другой стороны, мы стараемся максимально стимулировать рост людей и гарантировать высочайшее качество работы. окружающая среда.Работа.
Мы предусмотрели, что 10% еженедельного рабочего времени должно быть выделено на учебную деятельность, мы проводим обучение по мягким навыкам как минимум раз в две недели, и у нас есть управление персоналом, которое было бы навязчивым даже в компаниях, намного более крупных, чем наша.
Это потому, что я всегда говорю людям в нашей команде: «Мы хотим, чтобы вы оставались с нами как можно дольше. Но тем временем мы хотим, чтобы вы могли тренироваться и расти, чтобы, если вы решите покинуть Pluribus One завтра утром, у вас не было проблем с поиском еще более крупной и престижной компании, которая могла бы вас принять». Конечно, я всегда надеюсь, что этого не произойдет.
Наконец, каковы планы Pluribus One на 2024 год?
Их много и они амбициозны, но я попробую назвать троих.
Мы начнем в начале этого года, сделав доступной бесплатную общедоступную версию нашего решения Seer Box. Мы хотим дать каждому возможность легко опробовать его, узнать о нем и использовать для защиты своих приложений и веб-сервисов. Мы твердо верим в качество работы, которую мы проделали за все эти годы, и хотим, чтобы она была оценена по достоинству.
Затем воплотится в жизнь европейский проект стоимостью 4 миллиона евро — проект APPTake, в котором мы возглавим консорциум из 14 компаний из 7 разных стран и целью которого является развитие решений, созданных в Европе для DevSecOps. Учитывая роль координаторов, которую мы имеем, это проект, который возлагает на нас важную ответственность и откроет нам путь на европейский рынок. Итак, огромная возможность.
А затем в 2024 году мы повторим наше мероприятие Cyber Journey с еще более амбициозной формулой.
Все читатели Difesa Online теперь приглашены в Кальяри в июне.
