Bien que les employeurs exigeaient que leurs employés terminent des courses annuelles de formation de cybersécurité, des violations de cybersécurité axées sur l’homme se produisent toujours. Le problème pourrait même s’aggraver car une IA générative augmente l’échelle et la personnalisation des campagnes d’ingénierie sociale.
Anagram, qui est en train de Cipher, a adopté une nouvelle approche de la formation en cybersécurité employée que l’entreprise espère que l’entreprise peut suivre la nature changeante de ces campagnes.
L’entreprise basée à New York a construit une plate-forme qui contient une formation pratique pour les entreprises. La formation comprend des vidéos de la taille d’une bouchée et des puzzles interactifs personnalisés pour enseigner aux employés comment repérer des e-mails suspects et des communications. Ces formation sont conçues pour être plus fréquentes et plus engageantes que la norme actuelle d’une séance de formation autrefois annuelle et longue.
Harley Sugarman, co-fondateur et PDG d’Anagram, a déclaré à TechCrunch que ces activités comprennent des tâches comme avoir des employés à créer leurs propres e-mails de phishing personnalisés pour leur apprendre à repérer des campagnes sophistiquées contre elles-mêmes.
« Nous avons pris très peu de choses, en fait, aucune inspiration dans les trucs existants », a déclaré Sugarman, a déclaré la formation existante en cybersécurité. «Ce que nous avons vraiment pris, ce sont les leçons de Tiktok et les leçons de Duolingo et Khan Academy. Nous examinons ces plateformes qui ont fait vraiment, vraiment bien engageant et modifiant le comportement des utilisateurs en dehors de l’espace de sécurité et nous avons dit, OK, comment pouvons-nous appliquer ceux des leçons en sécurité? «
La construction de la formation gamifiée en cybersécurité était ce que Sweat Sugarman, une forme de VC à Bloomberg Beta, a décidé de faire lorsqu’il a initialement lancé l’entreprise.
La première idée de Sugarman a été un moyen de adopter l’approche de formation «capturer le drapeau» de l’industrie de la cybersécurité pour la cybersécurité de l’entreprise Upskill. Cette approche de formation consiste à créer des logiciels avec des vulnérabilités et à faire entrer les chercheurs en sécurité dans le logiciel pour trouver les bogues et déterminer comment écrire du code sans tomber dans les mêmes pièges.
Cette entreprise a été lancée en tant que chiffre en 2022 et a gagné si de la traction. Mais les principaux officiers de sciences de l’information (CISO) ont commencé à dire à Sugarman que leurs entreprises avaient en fait un problème de sécurité plus important qu’ils cherchaient à aborder: leurs employés non de sécurité. Sugarman a déclaré que les CISO décrivent leur employé comme leur lien de cybersécurité le plus faible.
« Ce qui m’a surpris, c’est en fait le fait que le désespoir que j’ai entendu dans leurs voix », a déclaré Sugarman. «C’était un problème insensable pour eux.»
Cipher a ensuite pivoté en janvier 2024 pour se concentrer sur la résolution de ce problème. Maintenant, la startup change son nom en anagramme pour refléter sa nouvelle orientation et est en train de réduire son produit d’origine. Anagram a une forte croissance depuis son pivot et a débarqué des clients, notamment Thomson Reuters, Massmutual et Disney, entre autres.
Anagram a récemment levé une série de 10 millions de dollars A menée par Madrona avec la participation du général Catalyst, Bloomberg Beta et des partenaires opérateurs, entre autres. La société prévoit d’utiliser les fonds pour constituer son équipe de vente et continuer à améliorer le produit. Sugarman a déclaré que jusqu’à présent, Ben a pu faire en sorte que les taux de défaillance de phishing de l’entreprise de 20% à 6%, mais il pense qu’ils peuvent continuer à se rapprocher de zéro.
Sugarman a déclaré qu’Aagram avait lancé son produit à un point d’infection vraiment intéressant pour l’industrie de la cybersécurité. Avec les progrès de Generatif IA, les campagnes d’ingénierie sociale peuvent être personnalisées que jamais, ce qui rendra de plus en plus difficile pour les gens de dire ce qui est réel et ce qui ne l’est pas.
« Je pense que le côté de l’effet secondaire de cela est que les plateformes traditionnelles de sécurité des e-mails auront actualialement beaucoup plus de mal à détecter ces phisses générées par l’IA », a déclaré Sugerman. « Cette capacité à générer et à randomiser est tellement forte, et c’est vraiment, vraiment difficile, du point de vue de l’ingénierie, à se défendre contre cela. »
Anagram s’efforce également de développer un agent d’IA qui s’asseoir dans les e-mails des employés de l’entreprise et sera formé pour signaler les dérapages potentiels de cybersécurité avant qu’ils ne se produisent. Sugarman a déclaré que l’agent ferait des thig comme Pop Up pour demander à quelqu’un si They voulait vraiment envoyer ses informations de carte de crédit par e-mail et d’autres garanties similaires.
En attendant, Anagram espère que ses puzzles et les vidéos de formation de type Tiktok continueront de déplacer l’aiguille.
« Les humains ne sont pas stupides, nous construisons des gratte-ciel que nous pouvons faire des voyages dans l’espace », a déclaré Sugarman. « Nous pouvons comprendre comment ne pas cliquer sur le lien suspect dans un e-mail. »
