Anagram hanteert een gamified aanpak voor cybersecuritytraining voor werknemers

Ondanks dat werkgevers van hun werknemers eisen dat ze jaarlijks cybersecurity-trainingen volgen, vinden er nog steeds door mensen aangestuurde cybersecurity-inbreuken plaats. Het probleem zou zelfs nog aanzienlijk erger kunnen worden naarmate generatieve AI de schaal en personalisatie van social engineering-campagnes vergroot.

Anagram , voorheen bekend als Cipher, hanteert een nieuwe aanpak voor de training van werknemers op het gebied van cyberbeveiliging. Het bedrijf hoopt hiermee gelijke tred te houden met de veranderende aard van deze campagnes.

Het in New York gevestigde bedrijf bouwde een platform dat praktische beveiligingstrainingen voor ondernemingen bevat. De training omvat korte video's en gepersonaliseerde interactieve puzzels om werknemers te leren hoe ze verdachte e-mails en communicatie kunnen herkennen. Deze trainingen zijn ontworpen om frequenter en boeiender te zijn dan de huidige standaard van een jaarlijkse, lange trainingssessie.

Harley Sugarman, medeoprichter en CEO van Anagram, vertelde TechCrunch dat deze activiteiten onder andere bestaan ​​uit het laten opstellen van persoonlijke phishing-e-mails door medewerkers, zodat ze kunnen leren hoe ze geavanceerde campagnes tegen hen kunnen herkennen.

"We hebben eigenlijk heel weinig, eigenlijk helemaal geen inspiratie gehaald uit de bestaande dingen die er zijn," zei Sugarman over bestaande cybersecuritytrainingen. "Wat we echt hebben geleerd, zijn lessen van TikTok en lessen van Duolingo en Khan Academy. We hebben gekeken naar deze platforms die het echt heel goed hebben gedaan om gebruikersgedrag buiten de beveiligingsruimte te betrekken en te veranderen en we zeiden: oké, hoe kunnen we die lessen toepassen binnen beveiliging?"

Sugarman, een voormalig VC bij Bloomberg Beta, had niet het idee om een ​​gamified cybersecurity-training te ontwikkelen toen hij het bedrijf oprichtte.

Sugarman's eerste idee was een manier om de "capture the flag"-trainingsaanpak van de cybersecurity-industrie te gebruiken om cybersecurity-medewerkers van bedrijven te verbeteren. Deze trainingsaanpak omvat het bouwen van software met kwetsbaarheden en het laten uitvoeren van beveiligingsonderzoekers in de software om de bugs te vinden en erachter te komen hoe ze code kunnen schrijven zonder in dezelfde valkuilen te trappen.

Dat bedrijf ging in 2022 van start als Cipher en kreeg wat grip. Maar chief information science officers (CISO's) begonnen Sugarman te vertellen dat hun bedrijven eigenlijk een groter beveiligingsprobleem hadden dat ze wilden aanpakken: hun niet-beveiligingsmedewerkers. Sugarman zei dat CISO's hun medewerkers omschrijven als hun zwakste schakel in cybersecurity.

“Wat mij eigenlijk verraste, was de hoeveelheid hopeloosheid die ik in hun stemmen hoorde,” zei Sugarman. “Dit was een onoplosbaar probleem voor hen.”

Cipher draaide vervolgens in januari 2024 om om zich te richten op het oplossen van dat probleem. Nu verandert de startup zijn naam naar Anagram om zijn nieuwe focus te weerspiegelen en is bezig met het afbouwen van zijn oorspronkelijke product. Anagram heeft sinds zijn draai een sterke groei doorgemaakt en klanten binnengehaald, waaronder Thomson Reuters, MassMutual en Disney.

Anagram haalde onlangs een Series A-ronde van $ 10 miljoen op, geleid door Madrona met deelname van onder andere General Catalyst, Bloomberg Beta en Operator Partners. Het bedrijf is van plan om de fondsen te gebruiken om zijn verkoopteam uit te breiden en het product te blijven verbeteren. Sugarman zei dat ze tot nu toe de phishing-mislukkingspercentages van het bedrijf van 20% naar 6% hebben kunnen terugbrengen, maar hij denkt dat ze dichter bij nul kunnen komen.

Sugarman zei dat Anagram zijn product lanceerde op een heel interessant kantelpunt voor de cybersecurity-industrie. Met de vooruitgang van generatieve AI kunnen social engineering-campagnes persoonlijker zijn dan ooit, waardoor het voor mensen steeds moeilijker wordt om te onderscheiden wat echt is en wat niet.

"Ik denk dat het soort neveneffect hiervan is dat traditionele e-mailbeveiligingsplatforms het veel moeilijker zullen hebben om deze door AI gegenereerde phishing te detecteren", zei Sugerman. "Dat vermogen om te genereren en te randomiseren is gewoon zo sterk, en het is echt heel erg moeilijk, vanuit een technisch perspectief, om je daartegen te verdedigen."

Anagram werkt ook aan de ontwikkeling van een AI-agent die in de e-mails van werknemers van bedrijven zal zitten en die getraind zal worden om potentiële cybersecurity-misstappen te signaleren voordat ze gebeuren. Sugarman zei dat de agent dingen zou doen zoals een pop-up om iemand te vragen of ze echt hun creditcardgegevens via e-mail willen sturen en andere soortgelijke beveiligingen.

In de tussentijd hoopt Anagram dat zijn puzzels en TikTok-achtige trainingsvideo's voor meer succes zullen zorgen.

“Mensen zijn niet dom, we hebben wolkenkrabbers gebouwd, we kunnen ruimtereizen maken,” zei Sugarman. “We kunnen erachter komen hoe we niet op een verdachte link in een e-mail moeten klikken.”