Anagram adota uma abordagem gamificada para treinamento de segurança cibernética de funcionários

Apesar dos empregadores exigirem que seus funcionários concluam cursos anuais de treinamento em segurança cibernética, violações de segurança cibernética conduzidas por humanos ainda acontecem. O problema pode até piorar substancialmente à medida que a IA generativa aumenta a escala e a personalização das campanhas de engenharia social.

A Anagram , anteriormente conhecida como Cipher, está adotando uma nova abordagem para o treinamento de segurança cibernética dos funcionários que a empresa espera que possa acompanhar a natureza mutável dessas campanhas.

A empresa sediada em Nova York construiu uma plataforma que contém treinamento prático de segurança para empresas. O treinamento inclui vídeos curtos e quebra-cabeças interativos personalizados para ensinar os funcionários a identificar e-mails e comunicações suspeitos. Esses treinamentos são projetados para serem mais frequentes e mais envolventes do que o padrão atual de uma sessão de treinamento longa e anual.

Harley Sugarman, cofundador e CEO da Anagram, disse ao TechCrunch que essas atividades incluem tarefas como fazer com que os funcionários criem seus próprios e-mails de phishing personalizados para ensiná-los a identificar campanhas sofisticadas contra si mesmos.

“Nós pegamos muito pouco, na verdade, basicamente nenhuma inspiração do material existente por aí”, disse Sugarman sobre o treinamento de segurança cibernética existente. “O que realmente pegamos foram lições do TikTok e lições do Duolingo e da Khan Academy. Nós olhamos para essas plataformas que se saíram muito, muito bem em envolver e mudar o comportamento do usuário fora do espaço de segurança e dissemos, OK, como podemos aplicar essas lições dentro da segurança?”

Desenvolver treinamento gamificado em segurança cibernética não era o que Sugarman, ex-VC da Bloomberg Beta, pretendia fazer quando lançou a empresa.

A primeira ideia de Sugarman foi uma maneira de levar a abordagem de treinamento "capture the flag" do setor de segurança cibernética para qualificar funcionários de segurança cibernética empresarial. Essa abordagem de treinamento envolve a construção de software com vulnerabilidades e fazer com que pesquisadores de segurança entrem no software para encontrar os bugs e descobrir como escrever código sem cair nas mesmas armadilhas.

Essa empresa foi lançada como Cipher em 2022 e ganhou alguma força. Mas os diretores de ciência da informação (CISOs) começaram a dizer a Sugarman que seus negócios na verdade tinham um problema de segurança maior que eles estavam procurando resolver: seus funcionários não relacionados à segurança. Sugarman disse que os CISOs descrevem seus funcionários como seu elo mais fraco de segurança cibernética.

“O que me surpreendeu foi, na verdade, a quantidade de desesperança que ouvi em suas vozes”, disse Sugarman. “Esse era um problema insolúvel para eles.”

A Cipher então mudou de ideia em janeiro de 2024 para focar na solução desse problema. Agora, a startup está mudando seu nome para Anagram para refletir seu novo foco e está em processo de encerramento de seu produto original. A Anagram tem visto um forte crescimento desde sua mudança e conquistou clientes como Thomson Reuters, MassMutual e Disney, entre outros.

A Anagram levantou recentemente uma rodada Série A de US$ 10 milhões liderada pela Madrona com a participação da General Catalyst, Bloomberg Beta e Operator Partners, entre outros. A empresa planeja usar os fundos para construir sua equipe de vendas e continuar a melhorar o produto. Sugarman disse que até agora eles conseguiram reduzir as taxas de falha de phishing da empresa de 20% para 6%, mas ele acha que eles podem continuar a chegar mais perto de zero.

Sugarman disse que a Anagram lançou seu produto em um ponto de inflexão realmente interessante para a indústria de segurança cibernética. Com os avanços da IA ​​generativa, as campanhas de engenharia social podem ser mais personalizadas do que nunca, o que tornará cada vez mais difícil para as pessoas dizerem o que é real e o que não é.

“Acho que o tipo de efeito colateral disso é que as plataformas tradicionais de segurança de e-mail vão ter muito mais dificuldade para detectar esses phishes gerados por IA”, disse Sugerman. “Essa capacidade de gerar e randomizar é muito forte, e é muito, muito difícil, de uma perspectiva de engenharia, se defender contra isso.”

A Anagram também está trabalhando para desenvolver um agente de IA que ficará nos e-mails dos funcionários da empresa e será treinado para sinalizar potenciais deslizes de segurança cibernética antes que aconteçam. Sugarman disse que o agente faria coisas como aparecer para perguntar a alguém se ele realmente quer enviar suas informações de cartão de crédito por e-mail e outras salvaguardas semelhantes.

Enquanto isso, a Anagram espera que seus quebra-cabeças e vídeos de treinamento semelhantes ao TikTok continuem a fazer a diferença.

“Os humanos não são burros, nós construímos arranha-céus, nós podemos fazer viagens espaciais”, disse Sugarman. “Nós podemos descobrir como não clicar em um link suspeito em um e-mail.”