Connect with us

Nabil Hannan, Field CISO at NetSPI – Interview Series

Rozhovory

Nabil Hannan, Field CISO at NetSPI – Interview Series

mm
Published
Updated

Nabil Hannan je Field CISO (Chief Information Security Officer) ve společnosti NetSPI. Vede poradenskou konzultační praxi společnosti, zaměřenou na pomoc klientům při řešení jejich potřeb v oblasti kybernetické bezpečnosti a řízení hrozeb a zranitelností. Jeho pozadí je v budování a zlepšování účinných softwarových bezpečnostních iniciativ, s hlubokými znalostmi v oblasti finančních služeb.

NetSPI je proaktivní bezpečnostní řešení, které umožňuje objevit, prioritizovat a odstranit nejkritičtější bezpečnostní zranitelnosti. Pomáhá organizacím chránit to, co je pro jejich podnikání nejdůležitější, umožňující proaktivní přístup k kybernetické bezpečnosti s větší jasností, rychlostí a rozsahem než kdykoli předtím.

Můžete sdílet něco o své cestě v kybernetické bezpečnosti a co vás vedlo k připojení se k NetSPI?

Programuji již od sedmi let. Technologie mě vždy fascinovala, protože jsem chtěl vědět, jak věci fungují, což mě vedlo k tomu, že jsem nhiều věcí rozebral a naučil se je zase sestavit již v mladém věku.

Během studií počítačových věd na univerzitě jsem začal svou kariéru v Blackberry, kde jsem pracoval jako produktový manažer pro platformu Blackberry Messenger a stal se intéressovaným o hardwarový design. Odtud jsem byl najat do malé společnosti v oblasti aplikací – byl jsem tak vášnivý, že jsem byl ochoten přestěhovat se do nové země, abych získal tuto práci.

Když se podívám na svou cestu v kybernetické bezpečnosti, začala to odspodu. Začal jsem jako asociativní konzultant, který prováděl penetrační testy, kódové recenze, modelování hrozeb, hardwarové testy a cokoliv jiného, co mi moji šéfové dali. Nakonec jsem pracoval na budování penetračního testovacího servisu pro Cigital, který později získal Synopsys. To mě semua vedlo k NetSPI, abych podpořil jeho růstovou trajektorii v proaktivním bezpečnostním prostoru.

Jak vaše zkušenosti v oblasti finančních služeb ovlivnily váš přístup k kybernetické bezpečnosti?

Během práce ve Synopsys jsem pomáhal budovat strategii pro prodej bezpečnostních služeb a produktů do finančních služeb. I když jsem přímo nepracoval ve finančních službách, byl jsem zodpovědný za budování strategií pro tento sektor, což vyžadovalo hluboké ponoru do tohoto vertikálu, abych pochopil jeho hnací a bolestivé body.

Vyrůstaje v technologickém prostoru, strávil jsem hodně času prací s velkými finančními službami po celém světě. Díky tomuto pozadí jsem se zaměřil na rozvoj strategie pro cílení a budování služeb pro finanční služby jako celek.

Největší věc, kterou jsem se naučil z expozice finančních služeb, je, že hackeři jdou tam, kde je peníze. Hackeři nejsou v tom jen pro zábavu; je to jejich zdroj příjmů. Jdou tam, kde je největší finanční dopad – zda jde o skutečné krádeže peněz nebo způsobení finanční újmy organizaci. Tento způsob myšlení mi pomohl vytvořit pochopení kybernetické bezpečnosti a vedl mě k úspěchu v mé současné roli jako Field CISO.

Jaké jsou největší bezpečnostní výzvy, kterým čelí organizace dnes?

Největší výzvou dnes je rychlost, s níž musí každá organizace operovat, aby bojovala proti se vyvíjejícím hrozbám a držela krok s novými technologiemi, jako je AI. Historicky existovala vodopádová metoda pro budování softwaru, která nebyla nutně rychlým procesem ve srovnání s tím, jak rychle je software nasazován dnes. Nyní máme mnohem agilnější metodologii, kde organizace snaží budovat software a nasazovat ho do produkce co nejrychleji a dělat více menších implementací.

Posledních 10 let ukázalo rychlou změnu a urychlení v bezpečnostním ekosystému. To způsobuje mnoho problémů pro velké organizace, jako je shadow IT, což ztěžuje získání přehledu o jejich útočném povrchu a aktivech. Nemůžete chránit to, co nevidíte.

Adopce cloudu přidává k tomuto ohni – čím více lidí adaptuje, adoptuje a migruje do cloudu, tím více se softwarové systémy a aktiva stávají elastickými. Schopnost škálovat software a hardware nahoru a dolů elasticky činí změnu ještě obtížnější. Jak jsou systémy postaveny s elastickým potenciálem, způsobují problémy, kde aktiva mění vlastnictví častěji a vytvářejí příležitosti pro špatné aktéry, aby našli cestu do organizace.

Jak si myslíte, že se bude kybernetická bezpečnostní krajina měnit v příštích pěti letech?

Potřeba větší viditelnosti do obou externích a interních aktiv bude pokračovat v příštích pěti letech a změní, jak zákazníci pracují s dodavateli. Již se na tom intenzivně zaměřujeme v NetSPI. V červnu my získali kybernetickou assetovou útočnou povrchovou správu (CAASM) a řešení pro správu kybernetické pozice zvané Hubble Technology. Přidání CAASM k našim stávajícím schopnostem externí útočné povrchové správy (EASM) umožňuje našim zákazníkům neustále identifikovat nová aktiva a rizika, odstraňovat bezpečnostní kontrolní slepá místa a získat holistický pohled na jejich bezpečnostní pozici poskytováním přesného inventáře kybernetických aktiv, både externích a interních – něco, co chybělo v tomto odvětví až do této chvíle.

Sloučení našich EASM a CAASM schopností do NetSPI Platformy umožňuje našim zákazníkům poskytovat nástroje, které potřebují k řešení pokračujících problémů s viditelností. To také zlepšuje schopnost přesně prioritizovat rizika spojená s aktivy a zranitelnostmi. Kromě toho pomáhá bezpečnostním lídrům hodnotit expozici jejich nejdůležitějších aktiv v souvislosti s těmito riziky.

Jak se přístup NetSPI k řízení zranitelností liší od ostatních společností v odvětví?

Nedávno jsme představili nové sjednocené proaktivní bezpečnostní platformy, které spojují naše Penetrační testování jako službu (PTaaS), Externí útočnou povrchovou správu (EASM), Kybernetickou assetovou útočnou povrchovou správu (CAASM) a Simulaci útoků a průlomů (BAS) technologie dohromady v jediném řešení. S NetSPI Platformou mohou zákazníci přijmout proaktivní přístup k kybernetické bezpečnosti s větší jasností, rychlostí a rozsahem než kdykoli předtím. Tento nový proaktivní přístup odráží trendy, které vidíme v odvětví, a posun od jednotlivých řešení k rychlé adopci více holistických, koncových platformových služeb.

Jak je AI používán ke zlepšení bezpečnostních opatření v NetSPI?

Jako každý bezpečnostní lídr vám řekne, AI má potenciál katalyzovat obchodní úspěch, ale také má potenciál krmit útočné útoky. V NetSPI se snažíme pomoci našim zákazníkům zůstat před křivkou implementací AI/ML penetračních testovacích modelů, které zajišťují, že bezpečnost je zvažována od ideace až po implementaci, identifikuje, analyzuje a zmírňuje rizika spojená s útočnými útoky na ML systémy, se zaměřením na LLM. V kybernetické bezpečnosti AI schopnosti zlepšily a přijaly naši schopnost monitorovat a odstraňovat hrozby v reálném čase.

Jaké jsou potenciální rizika spojená s AI v kybernetické bezpečnosti a jak je lze zmírnit?

Na základě rozhovorů, které mám s ostatními bezpečnostními lídry, je největší AI riziko, že organizace postrádají základní datové a kybernetické bezpečnostní hygienu. Jak víme, AI řešení jsou pouze tak efektivní, jako jsou data, na kterých jsou modely trénovány. Pokud organizace nemají pevný přehled o datech a klasifikaci, pak existuje riziko, že jejich modely budou trpět a budou náchylné k bezpečnostním mezerám.

Když lidé vidí slovo “inteligence” v AI, mýlí se, že je to “vrozeně inteligentní” nebo dokonce má nějakou formu vědomí. Ale tomu tak není. Bezpečnostní praktici stále potřebují programovat AI modely, aby jim řekli, co jsou osobní, soukromé, veřejné atp. Bez těchto mechanismů může AI spadnout do chaosu. To, podle mého názoru, je největší obava mezi CISO nyní.

Můžete vysvětlit, jak Penetrační testování jako služba (PTaaS) od NetSPI pomáhá organizacím udržovat robustní bezpečnost?

Penetrační testování je kritické pro celkovou kybernetickou bezpečnostní pozici organizace, protože poskytuje týmu větší kontext do zranitelností specifických pro jejich podnikání.

Penetrační testování je také skvělým testem, aby se zjistilo, jak efektivní jsou ostatní bezpečnostní kontroly, jako je kódová recenze, modelování hrozeb, Statické aplikací bezpečnostní testování (SAST), Dynamické aplikací bezpečnostní testování (DAST), Interaktivní aplikací bezpečnostní testování (IAST) a další, které jste dříve implementovali.

Pravidelné penetrační testování podporuje spolupráci s bezpečnostními experty, která může přinést další perspektivu, která přidává více hloubky k datům. Na konci úspěšného penetestu budou mít organizace lepší přehled o tom, které části jejich IT prostředí jsou více náchylné k průlomům. Když penetest detekuje zranitelnosti, často budou zdůrazňovat mezery v kontrolách dříve v životním cyklu nebo kontrolách, které chybí úplně. Budou také rozumět, jak dosáhnout souladu, kde se zaměřit na úsilí o nápravu a jak IT a bezpečnostní týmy mohou spolupracovat, aby zůstaly na vrcholu potenciálních obchodních dopadů.

Pracováním s dodavateli, kteří se specializují na PTaaS, aby doplnili robustní bezpečnostní pozici, mohou organizace být více připraveny proaktivně předcházet bezpečnostním incidentům.

Jak integrujete technologii a lidskou odbornost, aby poskytly komplexní bezpečnostní řešení?

NetSPI věří, že je potřeba mít obě – technologii a lidi – aby poskytly solidní strategii, aby zůstali před známými a neznámými hrozbami. Lidé musí být ve smyčce, aby ověřili, priorizovali a kontextualizovali výstupy, které generují nástroje. Nejsme v podnikání, abychom lidem poskytli falešné pozitivy nebo generovali hluk, což by je vedlo k tomu, aby strávili více času tím, co opravdu záleží. Jinými slovy, můžete mít skvělé technologie, ale potřebujete někoho, kdo je skutečně použije a interpretuje, aby byli úspěšní.

Existuje mnoho nudných úkolů, které může AI dělat rychleji a přesněji než lidé. Pokud lze technologii postavit důvěryhodným způsobem, pak to umožní automatizovat určité úkoly a uvolnit čas pro bezpečnostní týmy, aby se zaměřily na více kreativní myšlení a kritické řešení problémů, které AI jednoduše nemůže nahradit.

Jakou strategickou radu obvykle poskytujete klientům, aby posílili svou kybernetickou bezpečnostní pozici?

Častá past, do které lidé spadají, je investování do věcí, které rozumějí. Například společnost může přivést lídra s pozadím v cloudové bezpečnosti. Přirozeně se pak zaměřují na budování cloudové bezpečnostní týmu, místo aby se soustředili na soulad, síťovou bezpečnost, aplikací bezpečnost a tak dále, kde organizace možná skutečně potřebuje podporu.

Je lepší mít více vyvážený program, který se zaměřuje na vše holisticky. Pak začnete budovat obranu v hloubce a máte kontroly, které zmírňují ostatní selhání, která můžete mít v různých částech organizace. Budování vyváženého programu je lepší než investování více času, úsilí a nástrojů do jednoho konkrétního sektoru.

Děkuji za skvělý rozhovor, čtenáři, kteří chtějí se dozvědět více, by měli navštívit NetSPI.

Related Topics:
mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.