مقابلات

إيما زابالوس ، مدير تسويق المنتج في CyCognito – سلسلة المقابلات

mm
Published
Updated

إيما زابالوس هي باحثة تهديدات شغوفة التي تهتم بفهم ومكافحة تهديدات الجريمة الإلكترونية. إيما تحب مراقبة سوق الإنترنت المظلم ، وتصنيف عصابات الفدية ، و使用 الاستخبارات لفهم الجريمة الإلكترونية.

CyCognito ، التي تأسست من قبل قدامى المحاربين في وكالات الاستخبارات الوطنية ، تختص في الأمن السيبراني عن طريق تحديد متجهات الهجوم المحتملة من منظور خارجي. توفر الشركة للمنظمات رؤية حول كيف يرى المهاجمون أنظمتهم ، مع تسليط الضوء على نقاط الضعف ، ونقاط الدخول المحتملة ، والأصول المعرضة للخطر. يقع مقر الشركة في بالو ألتو ، وخدمات CyCognito الشركات الكبيرة وشركات فورتشن 500 ، بما في ذلك كولغيت-بالموليف وشركة تيسكو

لديك خلفية متنوعة في أبحاث الأمن السيبراني ، وتحليل التهديدات ، وتسويق المنتج. ما هو الشيء الذي أثار اهتمامك بهذا المجال ، وكيف تطور مسيرتك المهنية إلى إدارة التعرض؟

عندما كنت في الكلية ، عملت كمحلل في قضية دعوى دولية تتعلق بتتبع شبكة من الممثلين في الولايات المتحدة (ودوليا). كانت هذه قضية مثيرة للاهتمام ، وعندما بدأت أبحث عن الشيء التالي ، وجدت وظيفة في شركة رصد الإنترنت المظلم (Terbium Labs ، الآن جزء من Deloitte) حيث قدمت نفسي كـ “مرحبا ، أنا لا أعرف أي شيء عن الإنترنت المظلم أو الأمن السيبراني ، ولكن لدي خبرة في تتبع الشبكات والسلوك وأعتقد أنني يمكن أن أتعلم الباقي”. وقد نجحت! استمرت في العمل في مجال الأمن السيبراني كخبير في مجال التهديدات حتى عام 2022 ، عندما انضمت إلى CyCognito في دوري الأول في تسويق المنتج. لقد كان رائعًا أن أستمر في العمل في مجال الأمن السيبراني ، وهو مجال أهتم به كثيرًا ، بينما أحاول دورًا جديدًا. أحب أن أ满ي حبي للرواية القائمة على البيانات من خلال كتابة المحتوى مثل تقرير CyCognito السنوي حول إدارة التعرض الخارجي.

ت提 إلى أنك لن تملك أليكسا. ما هو الشيء الذي يقلقك أكثر حول الأجهزة الذكية المنزلية ، وما هو الشيء الذي يجب على الشخص العادي أن يعرفه حول المخاطر؟

إذا قمت ب Passing الوقت في البحث عن الإنترنت المظلم ، ستجد أن المجرمين الإلكترونيين لديهم شهية هائلة للبيانات ، بما في ذلك البيانات الاستهلاكية التي تجمعها الشركات. بياناتك هي مورد قيم ويجب أن تتحكم في كيفية جمعها وتخزينها وإدارتها ، ولكنك كمستهلك لديك خيارات محدودة للسيطرة على كيفية جمع البيانات وتخزينها وإدارتها. يمكن أن يعني ذلك أن تصبح جيدًا في ضبط الإعدادات في التطبيقات أو الأجهزة أو ببساطة التخلي عن بعض المنتجات.

بالضرورة ، إذا كان لديك مساعد ذكي تمكين على هاتفك أو جهاز منزلي ذكي يتطلب إشارة صوتية ، يجب أن يكون الميكروفون دائمًا مستمعًا ليلقاك عندما تطلب شيئًا. حتى لو كنت أثق في أن الشركة تحمي تلك التسجيلات وتحذفها ، أنا شخصيًا لا أحب الفكرة التي لديها ميكروفون دائمًا في منزلي.

هناك بالتأكيد خدمات ومنتجات من الراحة التي تجمع بياناتي وأنا استخدمها على أي حال ، لأنها في某种 معنى تستحق ذلك بالنسبة لي. ومع ذلك ، فإن المنتجات الذكية المنزلية هي شيء أ drew خطًا شخصيًا – أنا موافق على الذهاب физيًا وتعديل الأضواء أو إعداد قائمة التسوق أو أي شيء آخر ، بدلاً من أن أقول لأليكسا أن تفعل ذلك. إن إنترنت الأشياء يوفر بعض الفوائد الرائعة للمستهلك ، ولكنها أيضًا كانت نعمة للمجرمين الإلكترونيين.

لقد عملت في كل من القطاعين الاتحادي والخاص. كيف تختلف التحديات الأمنية بين هذه البيئات؟

عندما عملت على عقد مع وزارة الصحة والخدمات الإنسانية في مركز التنسيق الأمني للقطاع الصحي ، كان ذلك أكثر تركيزًا على حفر الأنماط والدوافع وراء أفعال المجرمين الإلكترونيين – فهم لماذا استهدفوا موارد الرعاية الصحية وما هي التوصيات التي يمكننا تقديمها لتقوية دفاعاتهم. هناك المزيد من الفرص للوصول إلى عمق المشروع في القطاع العام وهناك بعض الموظفين العامين الرائعين الذين يعملون على الأمن السيبراني في الحكومات الفيدرالية والدولية. في كل من دوري في الشركات الناشئة ، لقد حظيت أيضًا بفرصة للقيام بأبحاث مثيرة للاهتمام ، ولكنها أسرع وتستهدف أسئلة محددة. هناك شيء واحد أحبه في الشركات الناشئة هو أنك يمكنك إحضار صوتك الخاص إلى الأبحاث – كان من الصعب تقديم شيء مثل محاضرة “اجعلني بائعك الشخصي على الإنترنت المظلم” (DerbyCon 2019) باسم HHS.

في مقالك المقال الأخير، لفتت الانتباه إلى النمو السريع للإنترنت المظلم. ما هي العوامل التي تدفع هذا التوسع ، وما هي الاتجاهات التي تريها للسنوات القليلة القادمة؟

الإنترنت المظلم دائمًا ما يُقال أنه ميت ، وميت ، ويعود إلى الحياة مرة أخرى. للأسف ، هناك سوق مستمر للبيانات المسروقة ، والبرامج الضارة ، والجريمة الإلكترونية كخدمة ، وجميع أنواع السلع المرتبطة بالإنترنت المظلم ، مما يعني أن حتى مع انتهاء الإنترنت المظلم مثل سيلك رود ، وألفا باي ، وأغورا ، يمكن أن تظهر أسواق جديدة لتحل محلها. عدم الاستقرار السياسي والمالي يدفع الناس إلى الجريمة الإلكترونية.

أصبح هذا كليشيه ، ولكن الذكاء الاصطناعي هو مصدر قلق هنا – إنه يجعل من السهل على مجرم غير متقدم أن يطور مهاراته ، ربما باستخدام أدوات برمجة مدعومة بالذكاء الاصطناعي أو من خلال أدوات الذكاء الاصطناعي التوليدية التي يمكن أن تولد محتوى احتيالي مقنع.

عامل آخر يدفع نهضة الإنترنت المظلم هو سوق العملات المشفرة القوية. العملة المشفرة هي عصب الحياة للجريمة الإلكترونية – سوق الفدية الحديثة تقريبًا لا وجود لها بدون العملات المشفرة – وحكومة.crypto-friendly تحت إدارة ترامب الثانية من المحتمل أن تزيد من الجريمة الإلكترونية على الإنترنت المظلم. تقطعات الإدارة الجديدة لبرامج الأمن السيبراني والقانونية ، بما في ذلك CISA ، هي أيضًا نعمة للمجرمين الإلكترونيين ، لأن الولايات المتحدة قادت تاريخيًا عمليات تنفيذ ضد أسواق الإنترنت المظلم الكبيرة.

ما هي أكبر المفاهيم الخاطئة حول الإنترنت المظلم التي يجب على الشركات والأفراد أن يكونوا على دراية بها؟

أكبر مفهوم خاطئ أراه هو أن الإنترنت المظلم هو كيان ضخم وغامض يصعب فهمه أو الدفاع عنه. في الواقع ، إنه يشكل أقل من 0.01٪ من الإنترنت – ولكن حجمه الصغير يخفي تأثيره الحقيقي على أمن الشركات. خرافة أخرى شائعة هي أن الإنترنت المظلم غير قابل لل اختراق أو مجهول الهوية تمامًا. بينما يتطلب أدوات متخصصة مثل متصفح Tor والنطاقات .onion ، نراقب هذه الفضاءات يوميًا. بسبب الدعاية حول إغلاق سوق سيلك رود ، غالبًا ما تعتقد المنظمات أن الإنترنت المظلم فقط لبيع السلع غير القانونية ، مثل المخدرات أو الأسلحة ، وليس لبيانات الأصول والبيانات.

ذكرت أن المنظمات يجب أن “تفترض التعرض”. ما هي أكثر الطرق التي يتم بها تعرض البيانات عبر الإنترنت بدون علم الشركات؟

ما أجدانه مثيرًا للاهتمام هو أن العديد من الشركات لا تزال لا تدرك مدى تعرضها ونطاقها. نرى بانتظام بيانات اعتماد مسربة تنتشر في أسواق الإنترنت المظلم – وليس فقط تفاصيل تسجيل الدخول الأساسية ، ولكن حسابات إدارية وبيانات VPN يمكن أن توفر الوصول الكامل إلى البنية التحتية الحيوية. منطقة واحدة تم إهمالها بشكل خاص هي أجهزة إنترنت الأشياء. يمكن أن تكون هذه الأجهزة المتصلة البريئة معرضة للخطر ويمكن بيعها لإنشاء بوتات أو إطلاق هجمات. أصبحت بيئات تكنولوجيا المعلومات الحديثة معقدة بشكل لا يصدق ، مما يخلق ما نسميه “سطح الهجوم الممتد” الذي يمتد إلى ما هو أبعد من ما تتصوره معظم المنظمات.

كيف يستخدم المجرمون الإلكترونيون الذكاء الاصطناعي لتعزيز عملياتهم على الإنترنت المظلم ، وكيف يمكن للشركات الدفاع ضد التهديدات الإلكترونية التي تدفعها الذكاء الاصطناعي؟

الجريمة الإلكترونية لا تخلق في الواقع أنواعًا جديدة من الهجمات – إنها تسريع الهجمات التي نعرفها بالفعل. نحن نرى المجرمين يستخدمون الذكاء الاصطناعي ل生成 مئات من رسائل البريد الإلكتروني الاحتيالية المقنعة في دقائق ، وهو ما كان يأخذ أيامًا أو أسابيع للقيام به يدوياً. إنهم يطورون البرامج الضارة التكيفية التي يمكن أن تغير سلوكها لتجنب الكشف ، وهم يستخدمون أدوات متخصصة مثل WormGPT و FraudGPT التي صممت خصيصًا لأنشطة إجرامية.

ولكن الجانب الجيد هو أننا لسنا عاجزين. المنظمات المتقدمة تنشر أنظمة ذكاء اصطناعي تعمل على مدار الساعة لمراقبة مناقشات الإنترنت المظلم وأسواقه. يمكن لهذه الأدوات تحليل ملايين المنشورات في دقائق ، وفهم لغة المجرمين المشفرة ، والكشف عن أنماط قد يفوتها المحللون البشر. نحن نستخدم الذكاء الاصطناعي لفحص بيانات اعتماد مسروقة ، ومراقبة نقاط الوصول إلى النظام ، وتقديم تحذيرات مبكرة للاختراقات المحتملة. المفتاح هو أن أجهزتنا الدفاعية يمكن أن تعمل بنفس السرعة والنطاق مثل أدوات المجرمين – إنه حقًا الوسيلة الوحيدة للتعامل مع التهديدات الحديثة.

تتبع CyCognito منظور المهاجم لتحديد الضعف. هل يمكنك أن تشرح كيف يختلف هذا النهج عن أساليب الاختبار الأمني التقليدية؟

نهجنا يبدأ بفهم أن بيئات تكنولوجيا المعلومات الحديثة أكثر تعقيدًا مما تفترضه نماذج الأمن التقليدية. نحن لا نعتمد على ما تعرفه المنظمات لإعلام عملنا – عندما يستهدف المهاجمون منظمة ، لا يحصلون على قوائم بأصول أو سياق من أهدافهم ، لذلك نحن أيضًا نذهب بدون بيانات بذرة من عملائنا. بناءً على ذلك ، نقوم ببناء خريطة للمنظمة وسطحها الهجومي ونضع جميع أصولها في سياق تلك الخريطة.

نقوم بتحديد سطح الهجوم الممتد ، متجاوزين الأصول المعروفة فقط لفهم ما يرى المهاجمون ويستفيدون منه. عندما نراقب أسواق الإنترنت المظلم ، لسنا مجرد جمع البيانات – نحن نفهم كيف تُخلّق بيانات اعتماد مسروقة ووصول متميز وبيانات معرضة لتخلق مسارات إلى المنظمة. من خلال وضع مخاطر الإنترنت المظلم على سطح الهجوم ، نقدم لأفرق الأمن رؤية حقيقية للمهاجم لضعفهم. هذا المنظور يساعدهم على فهم ليس فقط ما قد يكون معرضًا للخطر ، ولكن ما هو قابل للتسويغ.

كيف يعمل عملية اكتشاف CyCognito المدعومة بالذكاء الاصطناعي ، وما الذي يجعله أكثر فعالية من حلول إدارة سطح الهجوم الخارجي التقليدية (EASM)؟

نبدأ بفهم أساسي أن سطح الهجوم لكل منظمة أكبر بكثير مما تفترضه الأدوات التقليدية. عملية اكتشافنا المدعومة بالذكاء الاصطناعي تبدأ بتحديد ما نسميه “سطح الهجوم الممتد” – مفهوم يمتد إلى ما هو أبعد من حلول EASM التقليدية التي تنظر فقط إلى الأصول المعروفة.

عمليةنا شاملة ومدروسة. نقوم بفحص باستمرار لأربعة أنواع حرجة من التعرض: بيانات اعتماد مسربة ، بما في ذلك كلمات المرور المخزنة التي قد يفك شفرتها المهاجمون ؛ حسابات ووصول متميز متوفر للبيع على أسواق الإنترنت المظلم ؛ تسريبات معلومات قائم على IP التي قد تكشف عن نقاط ضعف في الشبكة ؛ وبيانات حساسة معرضة من خلال انتهاكات سابقة. لكن العثور على هذه التعرضات هو فقط الخطوة الأولى.

ثم نقوم بتحويل كل شيء إلى ما نسميه “رسم بياني لسطح الهجوم”. هنا يصبح السياق كل شيء. بدلاً من مجرد تقديم قائمة بالضعف كما تفعل حلول EASM التقليدية ، نريك بالضبط كيف تتقاطع مخاطر الإنترنت المظلم مع بنيتك التحتية الحالية. هذا يسمح لأفرق الأمن برؤية ليس فقط إلى哪里 ذهبت بياناتهم ، ولكن بالضبط إلى哪里 يجب التركيز على جهود الأمن التالية.

فكر في الأمر كبناء خريطة إستراتيجية بدلاً من مجرد تشغيل مسح أمني. من خلال وضع مخاطر الإنترنت المظلم على سطح الهجوم ، نقدم لأفرق الأمن رؤية واضحة وقابلة للتنفيذ لثغرات أمنية حرجة. هذا الفهم السياقي ضروري لتحديد الأولويات بفعالية وتحديد جهود الإصلاح.

كيف تختلف CyCognito بين الضعف الحرج وغير الحرج؟

نقوم بتحديد الأولوية للضعف من خلال فهم سياقه داخل نطاق أمان المنظمة بأكمله. لا يكفي معرفة أن بيانات اعتماد مسربة أو نقطة الوصول معرضة للخطر – نحن نحتاج إلى فهم ما يعني ذلك التعرض من حيث التأثير المحتمل ، وقد يختلف ذلك التأثير حسب سياق الأعمال للعنصر. ننظر ب特别 إلى بيانات اعتماد الوصول المتميز ، وال حسابات الإدارية ، ونقاط الوصول إلى VPN ، لأنها غالبًا ما تمثل أكبر خطر للحركة الجانبية داخل الأنظمة. من خلال وضع هذه التعرضات على رسم بياني لسطح الهجوم ، يمكننا أن نريك لأفرق الأمن بالضبط أي نقاط الضعف تشكل أكبر خطر لعناصرها الحيوية.

كيف ترى تطور الأمن السيبراني خلال السنوات الخمس القادمة ، وما هو الدور الذي سيلعبه الذكاء الاصطناعي في الهجوم والدفاع؟

نحن في منتصف تحول أساسي في مشهد الأمن السيبراني ، بدرجة كبيرة مدفوع بالذكاء الاصطناعي. من الجانب الهجومي ، نحن نرى بالفعل الذكاء الاصطناعي يسرع من حجم وتنظيم الهجمات بطرق كانت مستحيلة قبل بضع سنوات. أدوات جديدة مدعومة بالذكاء الاصطناعي مصممة خصيصًا للجريمة الإلكترونية ، مثل WormGPT و FraudGPT ، تظهر بسرعة ، ونحن نرى منصات الذكاء الاصطناعي المشروعة تتعرض للخطر أو “تخترق” لأغراض خبيثة.

من الجانب الدفاعي ، لم يعد الذكاء الاصطناعي ميزة فقط – إنه يصبح ضروريًا. سرعة ونطاق الهجمات الحديثة تعني أن التحليل البشري فقط لا يمكنه مواكبة ذلك. الذكاء الاصطناعي ضروري لمراقبة التهديدات على نطاق واسع ، وتحليل نشاط الإنترنت المظلم ، وتقديم قدرات الاستجابة السريعة التي يتطلبها الأمن الحديث. لكني أريد التأكيد على أن التكنولوجيا وحدها ليست هي الإجابة. المنظمات التي سوف تكون أكثر نجاحًا في التنقل في هذا المنظر الجديد هي تلك التي تجمع بين قدرات الذكاء الاصطناعي المتقدمة مع استراتيجيات أمنية مدروسة وفهما عميقًا لسطح الهجوم الممتد. السنوات الخمس القادمة سوف تكون حول العثور على التوازن بين أدوات الذكاء الاصطناعي القوية وخطط الأمن الاستراتيجية.

شكرًا على المقابلة الرائعة ، القراء الذين يرغبون في معرفة المزيد يجب أن يزوروا CyCognito.

mm

أنطوان هو قائد رؤى ومؤسس شريك في Unite.AI، مدفوعًا بشغف لا يتزعزع لتشكيل وتعزيز مستقبل الذكاء الاصطناعي والروبوتات. رجل أعمال متسلسل، يعتقد أن الذكاء الاصطناعي سيكون مدمرًا للمجتمع مثل الكهرباء، وغالبًا ما يُقبض عليه وهو يثرثر عن إمكانات التكنولوجيات المدمرة و AGI.

كما أنه مستقبلي، فهو مخصص لاستكشاف كيف سيشكل هذه الابتكارات العالم. بالإضافة إلى ذلك، فهو مؤسس Securities.io، وهي منصة تركز على الاستثمار في التكنولوجيات المتقدمة التي تعيد تعريف المستقبل وتهيئ القطاعات بأكملها.