Interviews

Emma Zaballos, Product Marketing Manager hos CyCognito – Interviewserie

mm
Published
Updated

Emma Zaballos er en ivrig trusselforsker, der er passioneret om at forstå og bekæmpe cyberkriminelle trusler. Emma nyder at overvåge dark web-markedspladser, profilere ransomware-banditter og bruge efterretninger til at forstå cyberkriminalitet.

CyCognito, grundlagt af veteraner fra nationale efterretningstjenester, specialiserer sig i cybersikkerhed ved at identificere potentielle angrebsvektorer fra en ekstern synsvinkel. Virksomheden giver organisationer indsigt i, hvordan angribere kan opfatte deres systemer, og fremhæver sårbarheder, potentielle indgangspunkter og risikofyldte aktiver. Med hovedsæde i Palo Alto betjener CyCognito store virksomheder og Fortune 500-selskaber, herunder Colgate-Palmolive og Tesco

Du har en divers baggrund inden for cybersikkerhedsforskning, trusselsanalyse og produktmarkedsføring. Hvad var det, der først vækkede din interesse for dette felt, og hvordan udviklede din karriere sig til eksponeringsstyring?

Straks efter min uddannelse arbejdede jeg som analytiker på en international handelssag, der involverede sporing af et netværk af aktører i USA (og internationalt). Det var en superinteressant sag, og da jeg startede med at lede efter det næste, fandt jeg et job i en dark web-overvågningsstart-up (Terbium Labs, nu en del af Deloitte), hvor jeg grundlæggende præsenterede mig selv som “hey, jeg ved ikke noget om dark web eller cybersikkerhed, men jeg har erfaring med at spore netværk og adfærd, og jeg tror, jeg kan lære resten.” Og det fungerede! Jeg fortsatte med at arbejde i cybersikkerhed som en sagkyndig med fokus på trusselsaktører indtil 2022, hvor jeg tiltrådte CyCognito i min første produktmarkedsføringsrolle. Det har været fantastisk at stadig være beskæftiget med cybersikkerhed, som er en branche, jeg er meget passioneret om, samtidig med at jeg prøver en ny rolle. Jeg elsker, at jeg kan opfylde min kærlighed til data-dreven historiefortælling gennem skrivning af indhold som CyCognitos årlige rapport om eksponeringsstyring.

Du nævner, at du aldrig vil eje en Alexa. Hvad bekymrer dig mest om smart home-enheder, og hvad bør den gennemsnitlige person vide om risikoen?

Hvis du tilbringer noget tid med at kigge på dark web, vil du se, at cyberkriminelle har en enorm appetit på data – herunder forbrugerdata, som selskaber indsamler. Din data er en værdifuld ressource, og det er en ressource, som mange selskaber enten ikke kan eller ikke vil beskytte på en passende måde. Du som forbruger har begrænsede muligheder for at kontrollere, hvordan din data indsamles, gemmes og administreres, men det er vigtigt at være så informeret som muligt og kontrollere, hvad du kan. Det kan betyde, at du bliver rigtig god til at justere indstillinger i dine apps eller enheder eller blot fravælger nogle produkter helt.

Udviklingen af smart home-enheder er noget, hvor jeg personligt har trukket en grænse – jeg er okay med at gå fysisk over og justere lysene eller lave en indkøbsliste eller noget andet, i stedet for at bede Alexa om at gøre det. Internet of Things tilbyder nogle fantastiske fordele for forbrugeren, men det har også været en gevinst for cyberkriminelle.

Du har arbejdet i både den offentlige og private sektor. Hvordan adskiller cybersikkerhedsudfordringerne sig mellem disse miljøer?

Da jeg arbejdede på kontrakt for Sundheds- og menneskeservicesdepartementets Health Sector Cybersecurity Coordination Center, var det meget mere fokuseret på at grave dybt i mønstre og motiver bag cyberkriminelle handlinger – forstå, hvorfor de målrettede sundhedsressourcer og hvilke anbefalinger, vi kunne give til at styrke disse forsvar. Der er mere plads til at gå rigtig dybt ind i et projekt i den offentlige sektor, og der er nogle fantastiske offentlige tjenestemænd, der arbejder med cybersikkerhed i den føderale og statlige regering. I mine startup-roller har jeg også fået mulighed for at lave rigtig interessant forskning – det er bare mere hurtigt og mere målrettet på snævrere spørgsmål. En ting, jeg kan lide ved startups, er, at man kan bringe lidt mere af sin egen stemme til forskningen – det ville have været svært at præsentere noget som mit “Make Me Your Dark Web Personal Shopper”-talk (DerbyCon 2019) på vegne af HHS.

I dit seneste artikel, fremhævede du den hurtige vækst af dark web. Hvad er det, der driver denne udvidelse, og hvilke tendenser ser du for de næste par år?

Dark web er altid død, altid døende og altid springer tilbage til live. Desværre er der en konstant marked for stjålen data, malware, cyberkriminalitet som en tjeneste og alle andre former for varer, der er forbundet med dark web, hvilket betyder, at selvom dark web-favoritter som Silk Road, AlphaBay og Agora er væk, kan nye markeder opstå for at tage deres plads. Politisk og økonomisk ustabilitet driver også folk til cyberkriminalitet.

Det er blevet kliche, men AI er en bekymring her – det gør det lettere for en usofistikeret kriminel at udvikle sine færdigheder, måske ved at bruge AI-drevne kodningsværktøjer eller gennem generative AI-værktøjer, der kan generere overbevisende phishing-indhold.

En anden faktor, der driver dark webs genopblomstring, er et stærkt kryptomarked. Kryptocurrency er livsblodet for cyberkriminalitet – det moderne ransomwaremarked eksisterer grundlæggende på grund af kryptocurrency – og en krypto-venlig regering under den anden Trump-administration er sandsynligvis at forværre dark web-kriminalitet. Den nye administrations nedskæringer i føderal cybersikkerhed og lovenkræftige programmer, herunder CISA, er også en gevinst for cyberkriminelle, fordi USA historisk har ledet an i indsatsen mod større dark web-markedspladser.

Hvad er nogle af de største misforståelser om dark web, som virksomheder og privatpersoner bør være bekendt med?

Den største misforståelse, jeg ser, er, at dark web er en enorm, mystisk enhed, der er for kompleks at forstå eller forsvare sig imod. I virkeligheden udgør det mindre end 0,01% af internettet – men denne lille størrelse skjuler dens virkelige indvirkning på virksomhedssikkerhed. En anden almindelig myte er, at dark web er uigennemtrængelig eller fuldstændig anonym. Mens det kræver specialværktøjer som Tor-browseren og .onion-domæner, overvåger vi aktivt disse rum hver dag. På grund af den offentlighed, der er omkring lukningen af Silk Road-markedspladsen, tror organisationer ofte, at dark web kun er til salg af ulovlige varer, som stoffer eller våben, og ikke erkender, at det også er et enormt og sofistikeret marked for virksomhedsaktiver og data. Sandheden er, at dark web er noget, det ikke kun er muligt, men essentiel for organisationer at forstå, fordi det har potentiale til at direkte påvirke hver virksomheds sikkerhedsstilling.

Du nævner, at organisationer skal “antagge eksponering.” Hvad er nogle af de mest oversete måder, virksomheder uvidende eksponerer deres data online?

Det, jeg finder fascinerende, er, hvor mange virksomheder stadig ikke er klar over omfanget af deres eksponering og de måder, de kan eksponeres på gennem dark web. Vi ser jævnligt lækkede legitimationsoplysninger, der cirkulerer på dark web-markedspladser – ikke kun grundlæggende login-oplysninger, men admin-konti og VPN-legitimationsoplysninger, der kan give fuld adgang til kritisk infrastruktur. Et særligt overset område er IoT-enheder. Disse tilsyneladende uskyldige forbundne enheder kan kompromitteres og sælges for at skabe botnet eller lancere angreb. Moderne IT-miljøer er blevet utrolig komplekse og skaber, hvad vi kalder en “udvidet angrebsflade”, der går langt ud over, hvad de fleste organisationer forestiller sig, de har. Vi taler om cloud-tjenester, netadgangspunkter og integrerede systemer, som mange virksomheder ikke engang er klar over, er eksponeret. Sandheden er, at de fleste organisationer har langt flere potentielle indgangspunkter, end de tror, så det er bedre at antage, der er en eksponering derude, end at stole på, at deres eksisterende forsvar er perfekte.

Hvordan udnytter cyberkriminelle AI til at forbedre deres operationer på dark web, og hvordan kan virksomheder forsvare sig imod AI-drevne cybertrusler?

Cyberkriminalitet skaber ikke rigtig nye angrebstyper – det accelererer de, vi allerede kender. Vi ser kriminelle, der bruger AI til at generere hundredvis af overbevisende phishing-e-mails på få minutter, noget, der tidligere tog dage eller uger at gøre manuelt. De udvikler adaptiv malware, der kan ændre sin adfærd for at undgå opdagelse, og de bruger specialværktøjer som WormGPT og FraudGPT, der er specifikt designede til kriminelle aktiviteter. Måske det mest bekymrende er, hvordan de lykkes med at kompromittere legitime AI-platforme – vi har set stjålen legitimationsoplysninger fra store AI-udbydere, der sælges, og der er en voksende indsats for at “jailbreak” mainstream AI-værktøjer ved at fjerne deres sikkerhedsbegrænsninger.

Men det gode nyheder er, at vi ikke er forsvarsløse. Fremadskuende organisationer udruller AI-systemer, der arbejder døgnet rundt for at overvåge dark web-fora og markedspladser. Disse værktøjer kan analysere millioner af indlæg på få minutter, forstå kriminelle kodede sprog og spotte mønstre, som menneskelige analytikere måske ville overse. Vi bruger AI til at scanne efter stjålen legitimationsoplysninger, overvåge systemadgangspunkter og give tidlig advarsel om potentielle datakrænkelser. Nøglen er, at vores defensive AI kan arbejde med samme hastighed og skala som de kriminelle værktøjer – det er virkelig den eneste måde at holde trit med moderne trusler på.

CyCognito tager en “angriberperspektiv” til at identificere sårbarheder. Kan du føre os igennem, hvordan denne tilgang adskiller sig fra traditionelle sikkerhedstestmetoder?

Vores tilgang begynder med at forstå, at moderne IT-miljøer er langt mere komplekse, end traditionelle sikkerhedsmodeller antager. Vi afhænger heller ikke af, hvad organisationer ved, for at informere vores arbejde – når angribere målretter en organisation, får de ikke lister over aktiver eller kontekst fra deres mål, så vi går også ind med nul seed-data fra vores kunder. Baseret på det opbygger vi en kort over organisationen og dens angrebsflade og placerer alle deres aktiver i kontekst i den kort.

Vi kortlægger hele den udvidede angrebsflade, og går ud over kun kendte aktiver for at forstå, hvad angribere faktisk ser og kan udnytte. Når vi overvåger dark web-markedspladser, er vi ikke kun samler af data – vi forstår, hvordan lækkede legitimationsoplysninger, privilegeret adgang og eksponeret information skaber vejene ind i en organisation. Ved at lagre disse dark web-risici på den eksisterende angrebsflade giver vi sikkerhedsteams en sand angriberperspektiv på deres sårbarheder. Dette perspektiv hjælper dem med at forstå ikke kun, hvad der kan være sårbart, men hvad der faktisk kan udnyttes.

Hvordan fungerer CyCognitos AI-drevne opdagelsesproces, og hvad gør den mere effektiv end konventionelle eksterne angrebsfladeledelse (EASM)-løsninger?

Vi starter med en grundlæggende forståelse af, at hver organisations angrebsflade er betydelig større, end traditionelle værktøjer antager. Vores AI-drevne opdagelsesproces begynder med at kortlægge, hvad vi kalder den “udvidede angrebsflade” – et begreb, der går langt ud over konventionelle EASM-løsninger, der kun ser på kendte aktiver.

Vores proces er omfattende og proaktiv. Vi scanner kontinuerligt efter fire kritiske typer af eksponering: lækkede legitimationsoplysninger, herunder hashede passwords, som angribere måske kan dekryptere; konti og privilegeret adgang, der sælges på dark web-markedspladser; IP-baseret informationslæk, der kunne afsløre netværkssårbarheder; og følsomme data, der er eksponeret gennem tidligere datakrænkelser. Men at finde disse eksponeringer er kun det første skridt.

Vi kortlægger herefter alt tilbage til, hvad vi kalder angrebsfladens graf. Dette er, hvor kontekst bliver alt. I stedet for kun at give dig en liste over sårbarheder, som konventionelle EASM-løsninger gør, viser vi dig præcis, hvordan dark web-eksponeringer krydser din eksisterende infrastruktur. Dette giver sikkerhedsteams en klar, handlebar vy over deres mest kritiske sikkerhedslukker. Denne kontekstuelle forståelse er essentiel for at prioritere remedieringsindsatsen effektivt og sikre en hurtig, målrettet respons på fremvoksende trusler.

Prioritering af risici er en stor udfordring for sikkerhedsteams. Hvordan adskiller CyCognito sig mellem kritiske og ikke-kritiske sårbarheder?

Vi prioriterer sårbarheder ved at forstå deres kontekst inden for en organisations samlede sikkerhedsøkosystem. Det er ikke nok at vide, at en legitimationsoplysning er blevet eksponeret eller en adgangspunkt er sårbart – vi må forstå, hvad den eksponering betyder i terms of potentiel impact, og den impact kan variere afhængigt af den forretningsmæssige kontekst for aktivet. Vi ser særligt nøje på privilegerede adgangslegitimationsoplysninger, administrative konti og VPN-adgangspunkter, da disse ofte repræsenterer den største risiko for lateral bevægelse inden for systemer. Ved at kortlægge disse eksponeringer tilbage til vores angrebsfladens graf kan vi vise sikkerhedsteams præcis, hvilke sårbarheder, der udgør den største risiko for deres mest kritiske aktiver. Dette hjælper dem med at fokusere deres begrænsede ressourcer, hvor de vil have den største impact.

Hvordan ser du cybersikkerheden udvikle sig de næste fem år, og hvilken rol vil AI spille i både offensiven og forsvaret?

Vi er midt i en grundlæggende forandring af cybersikkerhedslandskabet, primært drevet af AI. På den offensive side ser vi allerede, hvordan AI accelererer omfanget og sofistikationen af angreb på måder, der ville have været umulige for få år siden. Nye AI-værktøjer, designet specifikt til cyberkriminalitet, som WormGPT og FraudGPT, dukker op hurtigt, og vi ser også legitime AI-platforme, der bliver kompromitteret eller “jailbreaket” til malicious formål.

På den defensive side er AI ikke længere en fordel – det bliver en nødvendighed. Hastigheden og omfanget af moderne angreb betyder, at traditionel, menneske-only analyse simpelthen ikke kan holde trit. AI er essentiel for at overvåge trusler i skala, analysere dark web-aktivitet og give de hurtige responsfærdigheder, der kræves af moderne sikkerhed. Men jeg vil understrege, at teknologi alene ikke er svaret. De organisationer, der vil være mest succesfulde i at navigere i dette nye landskab, er dem, der kombinerer avancerede AI-kapaciteter med proaktive sikkerhedsstrategier og en dyb forståelse af deres udvidede angrebsflade. De næste fem år vil handle om at finde balancen mellem kraftfulde AI-værktøjer og smart, strategisk sikkerhedsplanlægning. Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge CyCognito.

mm

Antoine er en visionær leder og medstifter af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for AI og robotteknologi. En serieiværksætter, han tror, at AI vil være lige så omvæltende for samfundet som elektricitet, og bliver ofte fanget i at tale begejstret om potentialet for omvæltende teknologier og AGI.

Som en futurist, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han grundlægger af Securities.io, en platform, der fokuserer på at investere i skærende teknologier, der gendefinerer fremtiden og omformer hele sektorer.