フランスのスタートアップ 暴動 は、企業とその従業員向けのオールインワンのサイバーセキュリティ認識プラットフォームを反復するために、シリーズ A ラウンドで 1,200 万ドルを調達しました。 このスタートアップは当初、偽のフィッシング キャンペーンに重点を置いていました。 また、チーム内でサイバーセキュリティ文化を成長させるのに役立つ、カスタマイズされた教育コンテンツも提供されるようになりました。
現在の経済環境で資金調達ラウンドを調達することは依然として非常に困難ですが、Riot は興味深い投資家のリストをまとめることができました。 Base10、サンフランシスコに本拠を置くVC会社で、以前は次のような旗艦スタートアップ名に投資していました フィグマ、 概念 と サークルCI、本日の資金調達ラウンドをリードしました。
技術的および運用的なバックグラウンドを持つ一部のエンジェルもラウンドに投資しました。 Snykの ファウンダーの Guy Podjarny、Duolingo の共同ファウンダーである Severin Hacker、Supercell の共同ファウンダーである Ilkka Paananen、Deel の共同ファウンダーである Alex Bouaziz、そして Slack の CPO である Tamar Yehoshua です。 ライアットの既存の投資家の中には、Y Combinator、Funders Club、Founders Future など、より多くの資金を提供する人もいます。
そして、これらの投資家がラウンドに参加するために列を作った理由は、サイバーセキュリティがこれほど話題になったことがないからです。 TechCrunch では、ランサムウェア キャンペーン、ユーザー アカウントにアクセスするための SIM スワップ、およびクレジット カード情報などの機密データを含むデータベース リークをかなりの割合でカバーしています。
しかし、物事は加速しているように感じます。 攻撃はますます巧妙化し、ますます蔓延しています。 2〜3年前、 社長詐欺 まだ比較的新しいものでした。 今では、小規模な企業でさえ、精巧なキャンペーンでターゲットにされています。
たとえば、私は最近、重要なサプライヤーから銀行口座が変更されたという電子メールを受け取った主任会計士の話を聞きました。 電子メールは本物のように見えました。サプライヤの電子メール アカウントが侵害され、未払いの請求書がいくつかあったからです。 ただし、銀行口座はサプライヤーのものではありませんでした。
ライアットに関する最初の記事で書いたように、あなたの会社のセキュリティは、最も慎重でない従業員と同じくらい強力です。 通常、データ侵害は、2 要素認証がオフになっている、セキュリティが不十分な内部アカウントから始まります。 誰もが本物そっくりの偽のメール、電話、テキスト メッセージ、行政書簡を受け取る可能性があります。
最新の教育用製品の構築
重要な規制要件を持つ大企業で働いている場合は、最後に簡単なクイズを含む必須のトレーニング ビデオを定期的に受け取る可能性があります。 多くの人がこれらのビデオをバックグラウンドで再生し、別のことをしています。 彼らはビデオの内容にほとんど注意を払っていません。
Riot のメイン インターフェースは、Albert というチャットボットです。 Slack、Microsoft Teams、または Web インターフェイスから利用できます。 各コースはインタラクティブで、内容は各従業員のサイバーセキュリティの知識に応じて動的に変化します。
「1980 年代の研究を読みましたが、彼らはそれぞれの教育方法の有効性を調べていました」と、Riot の創設者兼 CEO である Benjamin Netter は私に語った。 「1 対 1 の関係で、誰かに個別に教える場合、98% のケースで、その生徒は通常のクラスに出席する生徒よりも優れています。 大規模な生徒ごとに教師を配置することはできませんが、このような 1 対 1 の関係を築こうとしています。」
たとえば、データ侵害の一般的な定義を示す代わりに、Riot は、あなたのメール アドレスが 5 つの異なるデータ侵害で見つかる可能性があることを伝えることから始めます。 会社がそれが何を意味するのかを教えてくれると、注意を払い、トレーニングを最後までやり遂げる可能性が高くなります。 その後、管理者はチームの進捗状況を追跡できます。
これはほんの一例ですが、Riot は従業員に重要なサービスで 2 要素認証を有効にするよう促すこともできます。 多くのハッカーは、LinkedIn のデータを利用して、あなたが誰と働いているかを突き止め、同僚の名前を使用してメッセージを送信します。
そのため、Riot は、サイバーセキュリティの脅威を積極的に防ぐために、チーム メンバーにプライバシー設定を変更するよう促すことができます。 そして多くの企業は、LinkedIn のプロフィールが ソーシャルエンジニアリング 攻撃します。 同社の新入社員向けハンドブックでは、仮想通貨取引所 クラーケン は従業員に、Kraken で働いていることを伝えるために LinkedIn プロフィールを更新すべきではないと伝えています。
AIを使ってAIと戦う
Riot は最近、年間経常収益で 200 万ドルのマイルストーンを達成しました。 全体として、Riot は、Y Combinator、Deel、Intercom、Le Monde などのクライアント全体で 100,000 人の従業員にリーチしています。 しかし、スタートアップは、サイバーセキュリティが今後数年間で劇的に変化し、最新の攻撃が始まったばかりだと考えています.
「今年、私たちの大きな動きは AI になります。 私がそう言うと、人々が私たちがトレンドに従っていると思っているので、私は少しイライラします. しかし、私たちはしばらく AI を追跡してきました」と Netter 氏は述べています。
のような大きな言語モデル GPT-3 または音声認識モデルのような ウィスパー サイバーセキュリティの脅威の性質を変えようとしています。 「AI は、ハッキングやソーシャル エンジニアリングに大きな影響を与えるでしょう。 トーンは常にフィッシング メールの問題です。 しかし、AI はこれらのトーンの問題を解決するでしょう」と Netter 氏は述べています。
古典的なフィッシングメールを超えて、高度なキャンペーンを実施することがより簡単になります 大規模に. たとえば、音声からテキスト、GPT-3、テキストから音声への API を使用すると、ハッカーは電話ベースの攻撃の数と質を大幅に高めることができます。 または、メッセージの信頼性を高めるために音声メッセージを使用することもできます。
ハッカーがゲームを強化しているため、Riot もその製品を改善したいと考えています。 ChatGPT のような対話ベースの言語モデルは、新しい機会を解き放ちます。 そのため、Riot は仮想のサイバーセキュリティ仲間である Albert と自由形式のコースをすでにテストしています。 ドロップダウン メニューで回答を選択したり、簡単なクエリを送信したりする代わりに、Riot ユーザーはすぐに長いメッセージを Albert に直接書き込むようになります。
最近、このスタートアップは楽しい内部実験を作成しましたが、公開する予定はありません。 「これは、ハッカーの立場になってアルバートのクレジット カード情報を取得する必要があるトレーニングです」とネッター氏は言います。 これは、Riot の顧客にとっては少し物議を醸すかもしれませんが、同じ技術により、同社のシミュレートされた攻撃はより洗練されたものになります。これは有望なロードマップです。