Connect with us

Emma Zaballos, CyCogniton tuotejohtaja – Haastattelusarja

Haastattelut

Emma Zaballos, CyCogniton tuotejohtaja – Haastattelusarja

mm
Published
Updated

Emma Zaballos on intohimoinen uhkien tutkija, joka on intohimoinen kyberuhkien ymmärtämisestä ja torjumisesta. Emma nauttii pimeän verkon markkinoiden seuraamisesta, kiristysohjelmien profiloimisesta ja tiedustelun käytöstä kyberuhkien ymmärtämiseksi.

CyCognito, joka on perustettu kansallisten tiedustelupalvelujen veteraaneista, erikoistuu kyberturvaan tunnistamalla potentiaalisia hyökkäysvektoreita ulkoisesta näkökulmasta. Yritys tarjoaa organisaatioille näkymän siitä, miten hyökkääjät voivat nähdä järjestelmänsä, korostaa heikkouksia, potentiaalisia sisäänpääsykohtia ja vaarantuneita varoja. Palo Altossa pääkonttoriaan pitävä CyCognito palvelee suuria yrityksiä ja Fortune 500 -yrityksiä, mukaan lukien Colgate-Palmolive ja Tesco

Sinulla on monipuolinen tausta kyberturvallisuuden tutkimuksessa, uhkien analyysissä ja tuotemarkkinoinnissa. Mitä ensin herätti kiinnostuksesi tähän alaan, ja miten urasi kehittyi altistumisen hallintaan?

Vuoden jälkeen yliopistosta työskentelin analyytikkona kansainvälisessä kauppaoikeudenkäynnissä, jossa seurasin toimijoiden verkostoa Yhdysvalloissa (ja kansainvälisesti). Se oli erittäin mielenkiintoinen tapaus, ja kun aloin etsiä seuraavaa asiaa, löysin työn pimeän verkon seurantayrityksestä (Terbium Labs, nykyään osa Deloittea), jossa esittäydyin sanomalla “en tiedä mitään pimeästä verosta tai kyberturvallisuudesta, mutta minulla on kokemusta verkostojen ja käyttäytymisen seuraamisesta, ja luulen, että voin oppia loput”. Ja se toimi! Jatkoin työskentelemistä kyberturvallisuuden parissa asiantuntijana, keskittyen uhkien tekijöihin vuoteen 2022, jolloin liityin CyCognitoon ensimmäiseen tuotemarkkinointirooliniini. On ollut hienoa työskennellä edelleen kyberturvallisuuden parissa, joka on ala, josta olen erittäin innostunut, samalla kokeillen uutta roolia. Rakastan sitä, että saan toteuttaa rakkaani dataohjautuvaa kerrontaa kirjoittamalla sisältöä, kuten CyCogniton vuosittainen State of External Exposure Management -raportti.

MAINITSET, ETTEI KOSKAAN OMISTA ALEXAA. Mitä askarruttaa sinua eniten älykkäistä kotitalouslaitteista, ja mitä keskivertoihmisen tulisi tietää niiden riskeistä?

Jos viettää aikaa pimeän verkon parissa, näkee, että kyberrikolliset ovat erittäin kiinnostuneita tietoja – mukaan lukien kuluttajatietoja, joita yritykset keräävät. Tietosi on arvokas resurssi, ja se on sellainen, jota moni yritys joko ei voi tai ei halua suojella asianmukaisesti. Sinulla kuluttajana on rajoitetut mahdollisuudet hallita, miten tietojasi kerätään, säilytetään ja hallitaan, mutta on tärkeää olla mahdollisimman perillä ja hallita sitä, mitä voit. Se voi tarkoittaa esimerkiksi sovellusten tai laitteiden asetusten mukauttamista tai joidenkin tuotteiden kokonaan välttämistä.

Välttämättömyyden vuoksi, jos sinulla on älykäs avustaja käytössä puhelimessasi tai älykkäät kodinlaitteet, jotka vaativat äänikomentoa, mikrofoni on kuunnellut jatkuvasti, jotta se voi reagoida pyynnöksi. Vaikka luotan siihen, että yritys suojaa nämä tallenteet ja poistaa ne, en vain henkilökohtaisesti pidä siitä, että minulla on mikrofoni aina päällä kotona.

On olemassa palveluita ja tuotteita, jotka keräävät tietojani, ja käytän niitä silti, koska se on jollain tavoin minulle arvokasta. Älykkäät kodinlaitteet ovat kuitenkin sellainen asia, jossa olen henkilökohtaisesti piirtänyt rajan – olen ok siitä, että menen itse säätämään valoja, tekemään ruokalistaa tai mitä tahansa, sen sijaan, että käsken Alexaa tekemään sen. Älykkäät laitteet tarjoavat kuluttajalle uskomattomia etuja, mutta ne ovat myös olleet kyberrikollisille hyödyllisiä.

Olet työskennellyt sekä julkisella että yksityisellä sektorilla. Miten kyberturvallisuuden haasteet eroavat näiden ympäristöjen välillä?

Kun työskentelin sopimuksella Terveydenhuollon ja ihmispalvelujen ministeriön Terveydenhuollon kyberturvallisuuden koordinaatioyksikössä, se keskittyi enemmän siihen, että ymmärrettiin kyberrikollisten toimien taustalla olevat mallit ja motiivit – ymmärrettiin, miksi he hyökkäsivät terveydenhuollon resursseja vastaan ja mitä suosituksia voitiin antaa näiden puolustusten lujittamiseksi. Julkisella sektorilla on enemmän tilaa perehtyä syvemmälle projekteihin, ja siellä on myös uskomattomia julkisia palvelijoita, jotka tekevät työtä kyberturvallisuuden parissa. Molemmilla startup-rooleillani olen myös saanut tehdä mielenkiintoista tutkimusta, mutta se on nopeampaa ja kohdennettua tarkemmin rajattuihin kysymyksiin. Yksi asia, josta pidän startupissa, on, että voi tuoda hieman enemmän omaa ääntään tutkimukseen – olisi ollut vaikeampaa esittää jotain kuten “Make Me Your Dark Web Personal Shopper” -puhe (DerbyCon 2019) HHS:n puolesta.

Viimeisimmässä artikkelissasi korostit pimeän verkon nopeaa kasvua. Mitkä tekijät ajavat tätä laajenemista, ja mitä trendejä näet seuraavien vuosien aikana?

Pimeä verkko on aina kuolemassa, kuoleva ja aina elpymässä uudelleen. Valitettavasti on olemassa jatkuva markkinat varastetuille tiedoille, haittaohjelmille, kyberrikoksille ja muiden pimeän verkon hyödykkeiden kaltaisille tuotteille, mikä tarkoittaa, että vaikka pimeän verkon perinteiset paikat kuten Silk Road, AlphaBay ja Agora ovat poissa, uudet markkinat voivat nousta heidän tilalleen. Poliittinen ja taloudellinen epävakaus ajaa myös ihmisiä kyberrikoksiin.

Se on tullut kliseeksi, mutta tekoäly on huolenaihe tässä – se tekee helpommaksi epäpätevälle rikolliselle kehittää taitojaan, ehkä käyttämällä tekoälyohjattuja koodausvälineitä tai generatiivisia tekoälytyökaluja, jotka voivat luoda vakuuttavia phishing-sähköposteja.

Toinen tekijä, joka ajaa pimeän verkon renessanssin, on vahva kryptovaluutan markkina. Kryptovaluutta on kyberrikollisuuden elämänlanka – moderni kiristysohjelmapohjainen markkina on perustettu kryptovaluutoille – ja kryptoystävällinen hallitus toisen Trumpin hallinnon aikana todennäköisesti lisää pimeän verkon rikollisuutta. Uuden hallinnon leikkaukset liittovaltion kyberturvallisuus- ja lainvalvontaprogrammeihin, mukaan lukien CISA, ovat myös kyberrikollisille eduksi, koska Yhdysvallat on historiallisesti johtanut toimia pimeän verkon markkinoiden vastaisesti.

Mitkä ovat joitain suurimmista harhaluuloista pimeästä verkkoon, joista yritykset ja yksityishenkilöt tulisi olla tietoisia?

Yksi suurimmista harhaluuloista, jonka näen, on, että pimeä verkko on valtava, mystinen olento, joka on liian monimutkainen ymmärtääkseen tai puolustautuakseen. Todellisuudessa se muodostaa alle 0,01 %: n internetistä – mutta tämä pieni koko piilottaa sen todellisen vaikutuksen yritysten turvallisuuteen. Toinen yleinen myytti on, että pimeä verkko on läpinäkymätön tai täysin anonyymi. Vaikka se vaatii erityisiä työkaluja, kuten Tor-selaimen ja .onion-alueita, seurataan näitä tiloja joka päivä. Pimeän verkon julkisuuden takia useat organisaatiot ajattelevat, että pimeä verkko on vain laitonta kauppaa, kuten huumeita tai aseita, eivätkä tajua, että se on myös valtava ja monimutkainen markkina yritysvaroille ja tiedoille. Todellisuus on, että pimeä verkko on jotain, josta organisaatioiden on mahdollista, mutta myös välttämätöntä ymmärtää, koska sillä on suora vaikutus jokaisen yrityksen turvallisuusasemaan.

MAINITSET, ETTÄ ORGANISAATIOIDEN TULEE “olettaa altistumista”. Mitkä ovat joitain eniten huomiotta jääviä tapoja, joilla yritykset altistavat tietojaan verkossa tietämättään?

Mitä minusta on mielenkiintoista, on se, kuinka moni yritys ei vieläkään tajua altistumisensa laajuutta ja tapoja, joilla ne voivat altistua pimeän verkon kautta. Näemme säännöllisesti vuotaneita tunnistetietoja, jotka liikkuvat pimeän verkon markkinoilla – ei vain peruskirjautumistietoja, vaan myös järjestelmänvalvojan tilejä ja VPN-tunnisteita, jotka voivat antaa täydellisen pääsyn kriittisiin infrastruktuureihin. Erityisesti huomiotta jäävä alue on IoT-laitteet. Nämä vaikuttavat viattomilta yhdistetyiltä laitteilta voivat olla mukautettavissa luodakseen botnetit tai käynnistääkseen hyökkäyksiä. Modernit IT-ympäristöt ovat muodostuneet erittäin monimutkaisiksi, luoden niin sanotun “laajennetun hyökkäyspinnan”, joka menee paljon pidemmälle kuin mitä useimmat organisaatiot kuvittelevat. Puhumme pilvipalveluista, verkkopäätepisteistä ja integroiduista järjestelmistä, joita moni yritys ei edes tajua olevan alttiina. Kovaa totuutta on, että useimmat organisaatiot ovat paljon alttiimpia kuin luulevat, joten on parempi olettaa, että altistuminen on olemassa, kuin luottaa siihen, että nykyiset puolustukset ovat täydellisiä.

MITEN kyberrikolliset hyödyntävät tekoälyä parantaakseen toimintaansa pimeällä verkkoon, ja miten yritykset voivat puolustautua tekoälyohjatuilta kyberuhilta?

Kyberrikollisuus ei luo uusia hyökkäystyyppejä – se kiihdyttää niitä, joita jo tiedetään. Näemme rikollisten käyttävän tekoälyä luodakseen satoja uskottavia phishing-sähköposteja muutamassa minuutissa, mikä aiemmin vaati päiviä tai viikkoja. He kehittävät sopeutuvaa haittaohjelmaa, joka voi muuttaa käyttäytymistään välttääkseen havaitsemisen, ja he käyttävät erityisiä työkaluja, kuten WormGPT ja FraudGPT, jotka on suunniteltu rikollisiin toimiin. Ehkä eniten huolestuttaa se, että he pystyvät kompromitoimaan legitiimejä tekoälyalustoja – olemme nähneet varastettuja tunnistetietoja suurilta tekoälytoimittajilta myytävänä, ja on kasvava pyrkimys “vankilamurtamaan” valtavirtaisten tekoälytyökalujen turvallisuusrajoituksia.

Mutta hyviä uutisia on, että emme ole puolustuskyvyttömiä. Eturakkaat organisaatiot käyttävät tekoälyjärjestelmiä, jotka toimivat ympäri vuorokauden seuraamaan pimeän verkon foorumeita ja markkinoita. Nämä työkalut voivat analysoida miljoonia viestejä minuutissa, ymmärtää rikollisten salakieltä ja havaita sellaisia malleja, joita ihmisanalyytikot saattavat missata. Käytämme tekoälyä skannaamaan varastettuja tunnistetietoja, seuraamaan järjestelmän pääsykohtia ja antamaan varhaisia varoituksia mahdollisista uhrauksista. Avain on, että puolustusmekaniikkamme voi toimia samaa vauhtia ja mittakaavaa kuin rikolliset työkalut – se on ainoa tapa pysyä perässä modernien uhkien.

CyCognito ottaa “hyökkääjän näkökulman” tunnistamaan haavoittuvuudet. Voitko käydä läpi, miten tämä lähestymistapa eroaa perinteisistä turvallisuustestausmenetelmistä?

Lähestymistapaamme aloitetaan ymmärtämällä, että modernit IT-ympäristöt ovat paljon monimutkaisempia kuin perinteiset turvallisuusmallit olettavat. Emme myöskään riipu siitä, mitä organisaatiot tietävät, jotta voimme tehdä työtä – kun hyökkääjät kohdistavat organisaatiota, he eivät saa luetteloa varoista tai asiayhteydestä kohdettaan, joten menemme myös tyhjästä asiakkaan tiedoista. Sen perusteella kokoamme kartan organisaatiosta ja sen hyökkäyspinnasta ja asetamme kaikki heidän varansa asiayhteyteen tähän karttaan.

Kartoitamme koko laajennetun hyökkäyspinnan, menemällä pidemmälle kuin vain tunnettuja varoja, jotta ymmärtäisimme, miten hyökkääjät todella näkevät ja voivat hyödyntää. Kun seuraamme pimeän verkon markkinoita, emme kerää vain tietoja – ymmärrämme, miten vuotaneet tunnistetiedot, etuoikeutetut pääsyt ja altistuneet tiedot luovat reittejä organisaatioon. Pimeän verkon riskien ylittäminen olemassaolevaan hyökkäyspintaan antaa turvallisuusjoukkueille todellisen hyökkääjän näkökulman heikkouksiin. Tämä näkökulma auttaa heitä ymmärtämään ei vain sitä, mitä voi olla haavoittuvaa, vaan mitä on todella hyödynnettävissä.

MITEN CyCogniton tekoälyohjattu löytäminen toimii, ja mitä tekee siitä tehokkaamman kuin perinteinen ulkoinen hyökkäyspinnan hallinta (EASM) -ratkaisut?

Aloitan perustavanlaatuiseen ymmärrykseen, että jokaisen organisaation hyökkäyspinta on merkittävästi laajempi kuin mitä perinteiset työkalut olettavat. Tekoälyohjattu löytäminen alkaa kartoittamalla sitä, mitä kutsun “laajennetuksi hyökkäyspinnaksi” – käsite, joka menee paljon pidemmälle kuin perinteiset EASM-ratkaisut, jotka tarkastelevat vain tunnettuja varoja.

Prosessimme on kattava ja proaktiivinen. Jatkuvasti skannaamme neljää kriittistä altistumisen tyyppiä: vuotaneita tunnistetietoja, mukaan lukien salatut salasanat, joita hyökkääjät voivat salata; tilejä ja etuoikeutettuja pääsyjä, jotka myydään pimeän verkon markkinoilla; IP-pohjaisia tietovuotoja, jotka voivat paljastaa verkkovulnerabiliteetteja; ja herkkää tietoa, joka on altistunut aiemmissa uhrauksissa. Mutta näiden altistumisten löytäminen on vain ensimmäinen askel.

Sitten kartoitamme kaiken takaisin hyökkäyspintakaavioon. Tässä asiayhteys on kaikki. Sen sijaan, että antaisimme sinulle vain listan haavoittuvuuksia, kuten perinteiset EASM-ratkaisut, näytämme sinulle tarkalleen, miten pimeän verkon altistumiset leikkaavat olemassaolevan infrastruktuurin kanssa. Tämä mahdollistaa turvallisuusjoukkueiden nähdä ei vain, minne heidän tietonsa on päässyt, vaan tarkalleen, minne heidän on keskityttävä turvallisuustoimissaan seuraavaksi.

Ajattele sitä kuin strategisen kartan rakentamista – emme ainoastaan suorita turvallisuusskannauksia. Kartoittamalla pimeän verkon riskit olemassaolevaan hyökkäyspintaan, tarjoamme turvallisuusjoukkueille selkeän, toimintavalmiin näkymän heidän tärkeimmistä turvallisuusaukoistaan. Tämä asiayhteys on välttämätöntä turvallisuuden priorisoinnille ja nopean, kohdennetun vastauksen varmistamiseksi nouseviin uhkiin.

MITEN CyCognito erottaa kriittiset ja ei-kriittiset haavoittuvuudet?

Priorisoimme haavoittuvuuksia ymmärtämällä niiden asiayhteyden koko turvallisuusympäristössä. Emme voi tyytyä siihen, että tiedämme, onko tunniste vuotanut tai pääsykohta haavoittuvainen – meidän on ymmärrettävä, mitä tämä altistuminen tarkoittaa potentiaalisen vaikutuksen kannalta, ja tämä vaikutus voi vaihdella liiketoimintayhteyden mukaan. Kiinnitämme erityistä huomiota etuoikeutettuihin tunnistetietoihin, hallintotileihin ja VPN-pääsykohtiin, koska ne usein edustavat suurinta riskiä järjestelmiin. Kartoittamalla nämä altistumiset takaisin hyökkäyspintakaavioomme, voimme näyttää turvallisuusjoukkueille tarkalleen, mitkä haavoittuvuudet edustavat suurinta riskiä heidän tärkeimmissä varoissaan.

MITEN näet kyberturvallisuuden kehittyvän seuraavien viiden vuoden aikana, ja mikä on tekoälyn rooli sekä hyökkääjien että puolustajien puolella?

Olemme keskellä perustavanlaatuista muutosta kyberturvallisuusmaisemassa, jota suurelta osin ajaa tekoäly. Hyökkääjien puolella olemme jo nähneet, miten tekoäly kiihdyttää hyökkäysten mittakaavaa ja monimutkaisuutta tavalla, joka olisi ollut mahdotonta vain muutama vuosi sitten. Uudet tekoälytyökalut, jotka on suunniteltu erityisesti kyberrikoksiin, kuten WormGPT ja FraudGPT, kehittyvät nopeasti, ja näemme myös legitiimejä tekoälyalustoja kompromittautuvan tai “vankilamurtavien” rikollisiin tarkoituksiin.

Puolustajien puolella tekoäly ei ole enää vain etu – se on muodostumassa välttämättömyydeksi. Modernien uhkien nopeus ja mittakaava tarkoittavat, että perinteinen, ihmisten ainoa analyysi ei voi pysyä perässä. Tekoäly on välttämätöntä uhkien seuraamiseksi, pimeän verkon toiminnan analysoimiseksi ja nopean vastauskyvyn tarjoamiseksi, jota moderni turvallisuus vaatii. Mutta haluan korostaa, että teknologia yksin ei ole ratkaisu. Organisaatiot, jotka ovat menestyksekkäimpiä navigoimassa tässä uudessa maisemassa, yhdistävät edistyneet tekoälyominaisuudet proaktiivisiin turvallisuusstrategioihin ja syvään ymmärrykseen laajennetusta hyökkäyspinnasta. Seuraavat viisi vuotta ovat kaikki siitä, että löydetään tasapaino voimakkaiden tekoälytyökalujen ja älykkään, strategisen turvallisuussuunnittelun välillä.

Kiitos hienosta haastattelusta, lukijat, jotka haluavat oppia enemmän, voivat vierailla CyCognitossa.

mm

Antoine on visionäärinen johtaja ja Unite.AI:n perustajakumppani, jota ohjaa horjumaton intohimo muokata ja edistää tulevaisuuden tekoälyä ja robottiikkaa. Sarjayrittäjänä hän uskoo, että tekoäly tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänestä usein kuuluu ylistyksiä mullistavien teknologioiden ja AGI:n mahdollisuuksista.
Hänen ollessaan futuristi, hän on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on alusta, joka keskittyy sijoittamiseen uraauurtaviin teknologioihin, jotka määrittelevät uudelleen tulevaisuuden ja muokkaavat koko sektoreita.