Apesar dos empregadores exigirem que seus funcionários completem cursos anuais de treinamento em cibersegurança, ainda acontecem violações de segurança impulsionadas por humanos. O problema poderia até piorar substancialmente à medida que a IA generativa aumenta a escala e a personalização das campanhas de engenharia social.
Anagram, anteriormente conhecida como Cipher, está adotando uma nova abordagem para o treinamento de cibersegurança de funcionários que a empresa espera que possa acompanhar a natureza em constante mudança dessas campanhas.
A empresa sediada em Nova York construiu uma plataforma que contém treinamento de segurança prático para empresas. O treinamento inclui vídeos curtos e quebra-cabeças interativos personalizados para ensinar aos funcionários como identificar e-mails e comunicações suspeitas. Esses treinamentos são projetados para serem mais frequentes e envolventes do que o padrão atual de uma sessão de treinamento anual e extensa.
Harley Sugarman, fundador e CEO da Anagram, disse ao TechCrunch que essas atividades incluem tarefas como fazer com que os funcionários criem seus próprios e-mails de phishing personalizados para ensiná-los a identificar campanhas sofisticadas contra si mesmos.
'Não nos inspiramos, de fato, praticamente nada nas coisas existentes por aí', disse Sugarman sobre o treinamento em segurança cibernética existente. 'O que realmente pegamos foram as lições do TikTok e as lições do Duolingo e da Khan Academy. Olhamos para essas plataformas que tiveram um grande sucesso em engajar e mudar o comportamento do usuário fora do espaço de segurança e pensamos, OK, como podemos aplicar essas lições dentro da segurança?'
Construir um treinamento de cibersegurança gamificado não era o que Sugarman, um ex-VC da Bloomberg Beta, pretendia fazer quando lançou a empresa inicialmente.
A primeira ideia de Sugarman era uma maneira de adotar a abordagem de treinamento 'capture the flag' da indústria de cibersegurança para capacitar os funcionários de cibersegurança das empresas. Esta abordagem de treinamento envolve a construção de software com vulnerabilidades e tendo pesquisadores de segurança para encontrar os bugs e descobrir como escrever código sem cair nas mesmas armadilhas.
Essa empresa foi lançada como Cipher em 2022 e ganhou alguma tração. Mas os chefes de segurança da informação (CISOs) começaram a dizer a Sugarman que suas empresas na verdade tinham um problema de segurança maior que estavam tentando resolver: seus funcionários não relacionados à segurança. Sugarman disse que os CISOs descreviam seus funcionários como o elo mais fraco em segurança cibernética.
'O que me surpreendeu foi, na verdade, a quantidade de desespero que ouvi em suas vozes', disse Sugarman. 'Este era um problema insolúvel para eles.'
O Cipher então mudou de rumo em janeiro de 2024 para focar na resolução desse problema. Agora a startup está mudando seu nome para Anagram para refletir seu novo foco e está em processo de encerramento de seu produto original. A Anagram viu um forte crescimento desde sua mudança e conquistou clientes como Thomson Reuters, MassMutual e Disney, entre outros.
A Anagram recentemente levantou uma rodada de financiamento Série A de $10 milhões liderada pela Madrona com a participação da General Catalyst, Bloomberg Beta e Operator Partners, entre outros. A empresa planeja usar os fundos para expandir sua equipe de vendas e continuar a melhorar o produto. Sugarman disse que até agora conseguiram reduzir as taxas de falha de phishing da empresa de 20% para 6%, mas ele acredita que podem continuar a se aproximar de zero.
Sugarman disse que a Anagram lançou seu produto em um ponto de inflexão realmente interessante para a indústria de segurança cibernética. Com os avanços da IA generativa, as campanhas de engenharia social podem ser mais personalizadas do que nunca, o que tornará cada vez mais difícil para as pessoas distinguir o que é real do que não é.
'Acho que o efeito colateral disso é que as plataformas tradicionais de segurança de e-mails vão ter muito mais dificuldade em detectar esses e-mails de phishing gerados por IA', disse Sugarman. 'Essa capacidade de gerar e randomizar é tão forte, e é realmente muito difícil, do ponto de vista da engenharia, se defender contra isso.'
A Anagram também está trabalhando para desenvolver um agente de IA que ficará nos e-mails dos funcionários da empresa e será treinado para sinalizar possíveis descuidos em segurança cibernética antes que aconteçam. Sugarman disse que o agente faria coisas como aparecer para perguntar a alguém se realmente deseja enviar suas informações de cartão de crédito por e-mail e outras salvaguardas semelhantes.
Enquanto isso, a Anagram espera que seus quebra-cabeças e vídeos de treinamento estilo TikTok continuem a fazer a diferença.
'Os humanos não são burros, construímos arranha-céus, podemos viajar para o espaço', disse Sugarman. 'Podemos descobrir como não clicar em um link suspeito em um e-mail.'
