A Proactive System of Intelligence for Security
Тomasz Tunguz рассказывает о компании Artemis, основанной Shachar Hirshberg (ранее руководил продуктом Amazon GuardDuty, выросшим до более чем 80 000 клиентов) и Dan Shiebler (создал и возглавил команду AI/ML из 60 человек в Abnormal Security). Artemis строит новый тип SIEM — базу данных для защиты современных команд безопасности, способную противостоять автономным атакующим, дипфейк-мошенничеству и ИИ-фишингу. За несколько месяцев у компании уже более десятка корпоративных внедрений в продакшене и обработка свыше миллиарда событий в час. Платформа основана на трёх технологиях: семантическом понимании логов, агентном обнаружении с многошаговыми рассуждениями и обучении с замкнутым контуром, которое со временем улучшается. Инвестиция сделана на раунде Series A вместе с Felicis, Brightmind и First Round.
В сердце каждой команды безопасности лежит база данных. Эта база данных фиксирует каждый вход пользователя, каждый пакет входящего трафика и каждую попытку атаки. Спроектированные ещё до эпохи ИИ, эти SIEM-системы — деревянные щиты в эпоху автономных атакующих.
Последствия нарастают. Дипфейк-мошенничества украли десятки миллионов. Сгенерированный ИИ фишинг обходит устаревшие фильтры. Как показала Mythos, изощрённость атак будет только расти.
Shachar Hirshberg и Dan Shiebler увидели эту возможность. Shachar руководил продуктом Amazon GuardDuty, масштабировав бизнес до более чем 80 000 клиентов. Dan построил и возглавил команду AI/ML из 60 человек в Abnormal Security. Вместе они основали Artemis, чтобы создать базу данных, питающую защиту современных команд безопасности. За несколько месяцев у них уже более дюжины продакшен-внедрений в крупных компаниях, и они обрабатывают свыше миллиарда событий в час. Мы рады стать их партнёрами на раунде Series A вместе с нашими друзьями из Felicis, Brightmind и First Round.
В основе этого нового SIEM лежат три технологии:
Семантическое понимание. Для традиционного SIEM лог — это просто строка текста. Он не понимает, что «jdoe» в Okta и «john.doe» в AWS — один и тот же человек, или что последовательность по отдельности безобидных действий может составлять атаку. Artemis превращает сырые логи в живую модель окружения клиента: пользователи, активы, связи и состояние безопасности.
Агентное обнаружение. Устаревшие платформы полагаются на хрупкие, написанные вручную правила. Инженер пишет правило обнаружения: «если события A, B и C происходят последовательно — поднять тревогу». Оно работает пару месяцев. Затем добавляется новый сервис, меняются форматы логов — и правило ломается. Обнаружения Artemis включают агентов с многошаговыми рассуждениями, которые динамически запрашивают данные, выполняют агрегации и анализируют контекст, чтобы подтвердить угрозу, прежде чем вообще поднимать тревогу.
Обучение с замкнутым контуром. Устаревшие платформы со временем становятся хуже: статичные обнаружения деградируют по мере изменения данных и поведения. Artemis становится лучше: с каждым инцидентом или проактивной охотой за угрозами система выявляет новые паттерны. Они превращаются в постоянные обнаружения, которые исследуются, валидируются и поддерживаются полностью автономно.
В результате получается платформа, которая не просто хранит данные и выполняет по ним поиск, но рассуждает о них автономно.
Если вам интересно узнать больше или присоединиться к этой миссии, ознакомьтесь с открытыми вакансиями в Artemis и постом Shachar