Anagram adotta un approccio gamificato alla formazione sulla sicurezza informatica dei dipendenti

Nonostante i datori di lavoro richiedano ai propri dipendenti di completare corsi di formazione annuali sulla sicurezza informatica, le violazioni della sicurezza informatica causate dall'uomo continuano a verificarsi. Il problema potrebbe persino peggiorare notevolmente man mano che l'intelligenza artificiale generativa aumenta la scala e la personalizzazione delle campagne di ingegneria sociale.

Anagram , precedentemente nota come Cipher, sta adottando un nuovo approccio alla formazione dei dipendenti sulla sicurezza informatica, che l'azienda spera possa tenere il passo con la natura mutevole di queste campagne.

L'azienda con sede a New York ha creato una piattaforma che contiene una formazione pratica sulla sicurezza per le aziende. La formazione include video di piccole dimensioni e puzzle interattivi personalizzati per insegnare ai dipendenti come individuare e-mail e comunicazioni sospette. Queste formazioni sono progettate per essere più frequenti e più coinvolgenti rispetto allo standard attuale di una sessione di formazione lunga una volta all'anno.

Harley Sugarman, co-fondatore e CEO di Anagram, ha dichiarato a TechCrunch che queste attività includono compiti come chiedere ai dipendenti di creare le proprie e-mail di phishing personalizzate per insegnare loro come individuare campagne sofisticate contro se stessi.

"Abbiamo preso molto poco, in effetti, praticamente nessuna ispirazione dalle cose esistenti là fuori", ha detto Sugarman riguardo alla formazione sulla sicurezza informatica esistente. "Quello che abbiamo veramente preso sono state le lezioni da TikTok e le lezioni da Duolingo e Khan Academy. Abbiamo esaminato queste piattaforme che hanno funzionato davvero, davvero bene nell'impegnare e cambiare il comportamento degli utenti al di fuori dello spazio della sicurezza e ci siamo detti, OK, come possiamo applicare quelle lezioni all'interno della sicurezza?"

Creare una formazione sulla sicurezza informatica basata su un approccio gamificato non era ciò che Sugarman, ex VC di Bloomberg Beta, si era prefissato di fare quando ha lanciato inizialmente l'azienda.

La prima idea di Sugarman è stata un modo per adottare l'approccio di formazione "cattura la bandiera" del settore della sicurezza informatica per migliorare le competenze dei dipendenti della sicurezza informatica aziendale. Questo approccio di formazione prevede la creazione di software con vulnerabilità e l'inserimento di ricercatori di sicurezza nel software per trovare i bug e capire come scrivere codice senza cadere nelle stesse trappole.

Quella società è stata lanciata come Cipher nel 2022 e ha guadagnato una certa trazione. Ma i responsabili delle scienze informatiche (CISO) hanno iniziato a dire a Sugarman che le loro aziende avevano in realtà un problema di sicurezza più grande che stavano cercando di affrontare: i loro dipendenti non addetti alla sicurezza. Sugarman ha affermato che i CISO descrivono i loro dipendenti come il loro anello più debole della sicurezza informatica.

"Ciò che mi ha sorpreso in un certo senso è stata la quantità di disperazione che ho sentito nelle loro voci", ha detto Sugarman. "Per loro era un problema irrisolvibile".

Cipher ha poi cambiato rotta a gennaio 2024 per concentrarsi sulla risoluzione di quel problema. Ora la startup sta cambiando il suo nome in Anagram per riflettere il suo nuovo focus ed è in procinto di liquidare il suo prodotto originale. Anagram ha registrato una forte crescita da quando ha cambiato rotta e ha ottenuto clienti tra cui Thomson Reuters, MassMutual e Disney, tra gli altri.

Anagram ha recentemente raccolto un round di Serie A da 10 milioni di $ guidato da Madrona con la partecipazione di General Catalyst, Bloomberg Beta e Operator Partners, tra gli altri. La società prevede di utilizzare i fondi per sviluppare il proprio team di vendita e continuare a migliorare il prodotto. Sugarman ha affermato che finora sono stati in grado di ridurre i tassi di fallimento del phishing dell'azienda dal 20% al 6%, ma pensa che possano continuare ad avvicinarsi allo zero.

Sugarman ha affermato che Anagram ha lanciato il suo prodotto in un momento di svolta davvero interessante per il settore della sicurezza informatica. Con i progressi dell'intelligenza artificiale generativa, le campagne di ingegneria sociale possono essere più personalizzate che mai, il che renderà sempre più difficile per le persone distinguere ciò che è reale da ciò che non lo è.

"Penso che il tipo di effetto collaterale di ciò sia che le piattaforme di sicurezza e-mail tradizionali avranno in realtà molte più difficoltà a rilevare questi phishing generati dall'intelligenza artificiale", ha affermato Sugerman. "Quella capacità di generare e randomizzare è semplicemente così forte, ed è davvero, davvero difficile, da una prospettiva ingegneristica, difendersi da questo".

Anagram sta anche lavorando per sviluppare un agente AI che si troverà nelle e-mail dei dipendenti aziendali e sarà addestrato a segnalare potenziali errori di sicurezza informatica prima che accadano. Sugarman ha detto che l'agente farebbe cose come apparire per chiedere a qualcuno se vuole davvero inviare le informazioni della sua carta di credito tramite e-mail e altre misure di sicurezza simili.

Nel frattempo, Anagram spera che i suoi puzzle e i suoi video di formazione in stile TikTok continuino a fare la differenza.

"Gli umani non sono stupidi, abbiamo costruito grattacieli e possiamo viaggiare nello spazio", ha detto Sugarman. "Sappiamo come non cliccare su un link sospetto in un'e-mail".