Connect with us

Emma Zaballos, Product Marketing Manager at CyCognito – Rozhovor

Rozhovory

Emma Zaballos, Product Marketing Manager at CyCognito – Rozhovor

mm
Published
Updated

Emma Zaballos je zapálený výzkumník hrozeb, který je vášnivě zaujatý porozuměním a bojem proti kybernetickým hrozbám. Emma ráda monitoruje dark web trhy, profiluje ransomware gangy a používá inteligenci pro pochopení kybernetické kriminality.

CyCognito, založená veterány národních zpravodajských agentur, se specializuje na kybernetickou bezpečnost identifikací potenciálních útočných vektorů z externího pohledu. Společnost poskytuje organizacím přehled o tom, jak útočníci mohou vnímat jejich systémy, zdůrazňuje zranitelnosti, potenciální vstupní body a ohrožená aktiva. S centrálou v Palo Alto, CyCognito slouží velkým podnikům a společnostem Fortune 500, včetně Colgate-Palmolive a Tesco

Máte rozmanitý背景 v oblasti kybernetického výzkumu, analýzy hrozeb a produktového marketingu. Co vás poprvé přitáhlo k tomuto oboru a jak se vaše kariéra vyvinula do oblasti řízení expozice?

Právě po ukončení vysoké školy jsem pracoval jako analytik na mezinárodní obchodní žalobě, která zahrnovala sledování sítě aktérů napříč USA (a mezinárodně). Bylo to super zajímavý případ a když jsem začal hledat další věc, našel jsem práci v startupu pro monitorování dark webu (Terbium Labs, nyní součást Deloitte), kde jsem se vlastně nabídl jako „hey, nevím nic o dark webu nebo kybernetické bezpečnosti, ale mám zkušenosti se sledováním sítí a chování a myslím, že se mohu naučit zbytek.“ A to se vyplatilo! Pokračoval jsem v práci v kybernetické bezpečnosti jako odborník na hrozby až do roku 2022, kdy jsem se připojil k CyCognito ve své první roli produktového marketingu. Bylo skvělé stále pracovat v kybernetické bezpečnosti, která je odvětvím, kterému jsem velmi vážen, a zároveň zkusit novou roli. Miluji, že mohu naplnit svou lásku k datům poháněnému vyprávění prostřednictvím psaní obsahu, jako je roční zpráva CyCognito o stavu externího řízení expozice.

Zmínil jste, že nikdy nebudete vlastnit Alexa. Co vás nejvíce znepokojuje u chytrých domácích zařízení a co by měli vědět průměrní lidé o rizicích?

Pokud strávíte nějaký čas prohlížením dark webu, uvidíte, že kyberzločinci mají obrovskou chuť na data – včetně spotřebitelských dat shromážděných společnostmi. Vaše data jsou cenným zdrojem a je to něco, co mnoho společností buď nemůže, nebo nebude chránit dostatečně. Jako spotřebitel máte omezené možnosti, jak ovládat, jak jsou vaše data shromažďována, uložena a spravována, ale je důležité být co nejvíce informován a ovládat, co můžete. To může znamenat stát se velmi dobrým v úpravách nastavení v aplikacích nebo zařízeních nebo prostě vynechat některé produkty úplně.

Pracoval jste ve federální i soukromé sféře. Jak se liší kybernetické bezpečnostní výzvy mezi těmito prostředími?

Když jsem pracoval na smlouvu pro Ministerstvo zdravotnictví a sociálních služeb ve svém Centru pro kybernetickou bezpečnost zdravotnického sektoru, bylo to mnohem více zaměřeno na zkoumání vzorců a motivací za akcemi kyberzločinců – porozumění, proč cílí na zdroje zdravotní péče a jaké doporučení bychom mohli udělat, aby jsme zpevnili jejich obranu. Je více prostoru pro hlubší projekt ve veřejném sektoru a existují úžasní veřejní služebníci, kteří dělají práci na kybernetické bezpečnosti ve federální a státní vládě. Ve svých rolích startupu jsem také mohl dělat velmi zajímavý výzkum, ale je to rychlejší a více zaměřené na úzké otázky. Jedna věc, kterou mám rád u startupů, je, že můžete přinést trochu více svého vlastního hlasu do výzkumu – bylo by mnohem těžší prezentovat něco jako můj „Make Me Your Dark Web Personal Shopper“ (DerbyCon 2019) jménem HHS.

Vašem nedávném článku jste zdůraznil rychlý růst dark webu. Jaké faktory pohání tuto expanzi a jaké trendy vidíte pro příštích několik let?

Dark web je vždy mrtvý, vždy umírá a vždy se vrací k životu. Bohužel, existuje stálá poptávka po ukradených datech, malwaru, kyberzločinech jako službě a všech typech zboží spojených s dark webem, což znamená, že i když dark webové ikony jako Silk Road, AlphaBay a Agora jsou pryč, nové trhy mohou vyjít, aby je nahradily. Politická a finanční nestabilita také pohání lidi ke kyberzločinu.

Jaké jsou některé z největších mýtů o dark webu, o kterých by se měly podniky a jednotlivci dozvědět?

Největší mýtus, který vidím, je, že dark web je obrovská, záhadná entita, která je příliš složitá na to, aby se jí rozumělo nebo bránilo. Ve skutečnosti tvoří méně než 0,01 % internetu – ale tato malá velikost skrývá jeho skutečný dopad na bezpečnost podniků. Další běžný mýtus je, že dark web je nepropustný nebo zcela anonymní. Ačkoli vyžaduje specializované nástroje, jako je prohlížeč Tor a domény .onion, aktivně monitorujeme tyto prostory každý den. Díky publicitě kolem likvidace trhu Silk Road si organizace často myslí, že dark web je pouze pro prodej nezákonného zboží, jako jsou drogy nebo zbraně, a neuvědomují si, že je to také obrovský a sofistikovaný trh pro firemní aktiva a data. Realita je, že dark web je něco, co je nejen možné, ale nezbytné pro organizace, aby ho pochopily, protože má potenciál přímo ovlivnit bezpečnost každé firmy.

Řekli jste, že organizace by měly „předpokládat expozici“. Jaké jsou některé z nejvíce přehlížených způsobů, jakými společnosti nevědomky vystavují svá data online?

Co mě fascinuje, je, kolik společností si stále neuvědomuje rozsah své expozice a způsobů, jakými mohou být vystaveny prostřednictvím dark webu. Pravidelně vidíme uniklé přihlašovací údaje, které se šíří na dark web trzích – nejen základní přihlašovací údaje, ale i účty správce a přihlašovací údaje VPN, které by mohly poskytnout kompletní přístup k kritické infrastruktuře. Jednou z nejvíce přehlížených oblastí jsou zařízení IoT. Tato zdánlivě neškodná připojená zařízení mohou být ohrožena a prodána za účelem vytvoření botnetů nebo spuštění útoků. Moderní IT prostředí se stala neuvěřitelně složitými, vytvářející to, co nazýváme „rozšířenou útočnou plochou“, která jde daleko za to, co si většina organizací myslí, že mají. Mluvíme o cloudových službách, přístupových bodech sítě a integrovaných systémech, o kterých si mnoho společností není ani vědomo, že jsou vystaveny. Tvrdá realita je, že většina organizací má mnohem více potenciálních vstupních bodů, než si myslí, takže je lepší předpokládat, že existuje expozice, než důvěřovat, že jejich stávající obrany jsou dokonalé.

Jak kyberzločinci využívají umělou inteligenci ke zlepšení svých operací na dark webu a jak mohou podniky bránit proti kyberhrozbám poháněným umělou inteligencí?

Kyberzločinci nevytvářejí nové typy útoků – pouze urychlují ty, které již známe. Vidíme, jak zločinci používají umělou inteligenci k vygenerování stovek velmi přesvědčivých phishingových e-mailů za několik minut, což dříve trvalo dny nebo týdny. Vyvíjejí adaptivní malware, který může měnit své chování, aby unikl detekci, a používají specializované nástroje, jako je WormGPT a FraudGPT, které jsou speciálně navrženy pro aktivity kyberzločinců. Možná nejvíce znepokojivé je, jak se jim daří ohrozit legitimní platformy umělé inteligence – viděli jsme ukradené přihlašovací údaje od hlavních poskytovatelů umělé inteligence, které se prodávají, a existuje rostoucí úsilí „jailbreak“ mainstreamových nástrojů umělé inteligence odstraněním jejich bezpečnostních omezení.

CyCognito používá „perspektivu útočníka“ k identifikaci zranitelností. Můžete vysvětlit, jak se tento přístup liší od tradičních metod testování bezpečnosti?

Náš přístup začíná tím, že moderní IT prostředí jsou mnohem složitější, než tradiční bezpečnostní modely předpokládají. Nezávisíme také na tom, co organizace znají, aby informovaly naši práci – když útočníci cílí na organizaci, nezískávají seznamy aktiv nebo kontext od své cílové organizace, takže my také vstupujeme s nulovými inicializačními daty od našich zákazníků. Na základě toho sestavujeme mapu organizace a její útočné plochy a umisťujeme všechna jejich aktiva do kontextu v této mapě.

Jak funguje proces objevování CyCognito poháněný umělou inteligencí a co ho činí účinnějším než konvenční řešení pro externí správu útočné plochy (EASM)?

Začněme s fundamentálním pochopením, že útočná plocha každé organizace je podstatně větší, než tradiční nástroje předpokládají. Náš proces objevování poháněný umělou inteligencí začíná mapováním „rozšířené útočné plochy“ – konceptu, který jde daleko za konvenční řešení EASM, která se zaměřují pouze na známá aktiva.

Náš proces je komplexní a proaktivní. Kontinuálně skenujeme čtyři kritické typy expozic: uniklé přihlašovací údaje, včetně hashovaných hesel, která útočníci mohou dešifrovat; účty a přihlašovací údaje VPN, které se prodávají na dark web trzích; IP-založené úniky informací, které by mohly odhalit síťové zranitelnosti; a citlivá data vystavená prostřednictvím předchozích úniků. Ale nalezení těchto expozic je pouze první krok.

Jak CyCognito rozlišuje mezi kritickými a nekritickými zranitelnostmi?

Prioritizujeme zranitelnosti tak, že chápeme jejich kontext v rámci celého bezpečnostního ekosystému organizace. Není dostatečné vědět, že přihlašovací údaje byly vystaveny nebo že přístupový bod je zranitelný – musíme pochopit, co tato expozice znamená z hlediska potenciálního dopadu, a tento dopad se může lišit v závislosti na obchodním kontextu aktiva. Podrobně se díváme na přihlašovací údaje s privilegovaným přístupem, administrátorské účty a přístupové body VPN, protože tyto často představují největší riziko pro laterální pohyb v systémech. Mapováním těchto expozic zpět na naši graf útočné plochy můžeme bezpečnostním týmům ukázat přesně, welche zranitelnosti představují největší riziko pro jejich nejdůležitější aktiva. To jim pomáhá soustředit své omezené zdroje tam, kde budou mít největší dopad.

Jak vidíte budoucnost kybernetické bezpečnosti v příštích pěti letech a jakou roli bude hrát umělá inteligence v obou útocích a obraně?

Jsme uprostřed fundamentální změny v kybernetické bezpečnostní krajině, která je do značné míry poháněna umělou inteligencí. Na útočné straně již vidíme, jak umělá inteligence urychluje rozsah a složitost útoků způsobem, který by byl před několika lety nemožný. Nové nástroje umělé inteligence navržené speciálně pro kyberzločiny, jako je WormGPT a FraudGPT, se rychle vyvíjejí, a vidíme, jak jsou legitimní platformy umělé inteligence ohroženy nebo „jailbreakovány“ pro zneužití.

Děkuji za skvělý rozhovor, čtenářům, kteří se chtějí dozvědět více, doporučujeme navštívit CyCognito.

mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.