Entretiens

Emma Zaballos, Responsable du Marketing de Produit chez CyCognito – Série d’entretiens

mm
Published
Updated

Emma Zaballos est une chercheuse de menaces acharnée qui est passionnée par la compréhension et la lutte contre les menaces de cybercriminalité. Emma aime surveiller les marchés de la toile sombre, profiler les gangs de rançongiciels et utiliser l’intelligence pour comprendre la cybercriminalité.

CyCognito, fondée par des vétérans d’agences de renseignement nationales, se spécialise dans la cybersécurité en identifiant les vecteurs d’attaque potentiels d’un point de vue externe. L’entreprise fournit aux organisations des informations sur la façon dont les attaquants peuvent percevoir leurs systèmes, en mettant en évidence les vulnérabilités, les points d’entrée potentiels et les actifs à risque. Basée à Palo Alto, CyCognito sert de grandes entreprises et des sociétés du Fortune 500, notamment Colgate-Palmolive et Tesco

Vous avez un passé diversifié dans la recherche en cybersécurité, l’analyse des menaces et le marketing de produits. Qu’est-ce qui a d’abord éveillé votre intérêt pour ce domaine, et comment votre carrière a-t-elle évolué vers la gestion de l’exposition ?

À peine sorti de l’université, j’ai travaillé comme analyste dans une affaire de litige commercial international qui impliquait de suivre un réseau d’acteurs aux États-Unis (et à l’échelle internationale). C’était un cas super intéressant et lorsque j’ai commencé à chercher la prochaine chose, j’ai trouvé un emploi dans une startup de surveillance de la toile sombre (Terbium Labs, maintenant partie de Deloitte) où j’ai essentiellement présenté ma candidature en disant : « Hé, je ne sais rien sur la toile sombre ou la cybersécurité, mais j’ai de l’expérience dans le suivi de réseaux et de comportements et je pense que je peux apprendre le reste. » Et cela a fonctionné ! J’ai continué à travailler dans la cybersécurité en tant qu’expert en la matière avec un accent sur les acteurs menaçants jusqu’en 2022, date à laquelle j’ai rejoint CyCognito dans mon premier rôle de marketing de produits. C’est génial de continuer à travailler dans la cybersécurité, qui est un secteur dont je suis super passionné, tout en essayant un nouveau rôle. J’adore que je puisse satisfaire mon amour de l’histoire basée sur les données en écrivant du contenu comme le rapport annuel de CyCognito sur l’état de la gestion de l’exposition externe.

Vous mentionnez que vous n’aurez jamais d’Alexa. Qu’est-ce qui vous inquiète le plus concernant les appareils intelligents pour la maison, et qu’est-ce que la personne moyenne devrait savoir sur les risques ?

Si vous passez du temps à regarder la toile sombre, vous verrez que les cybercriminels ont un appétit immense pour les données – y compris les données des consommateurs collectées par les entreprises. Vos données sont une ressource précieuse et c’est une ressource que de nombreuses entreprises ne peuvent ou ne veulent pas protéger correctement. En tant que consommateur, vous avez des options limitées pour contrôler la façon dont vos données sont collectées, stockées et gérées, mais il est important d’être aussi informé que possible et de contrôler ce que vous pouvez. Cela peut signifier devenir très habile à ajuster les paramètres dans vos applications ou appareils ou simplement renoncer à certains produits.

Par nécessité, si vous avez un assistant intelligent activé sur votre téléphone ou un appareil intelligent pour la maison qui nécessite une invite vocale, le microphone doit être constamment à l’écoute pour capter ce que vous demandez. Même si je fais confiance à l’entreprise pour protéger ces enregistrements et les supprimer, je n’aime simplement pas l’idée d’avoir un microphone toujours allumé chez moi.

Il y a certainement des services et des produits de convenance qui collectent mes données et que j’utilise quand même, parce que cela vaut la peine pour moi. Les produits intelligents pour la maison, cependant, sont quelque chose pour lesquels j’ai personnellement tiré la ligne – je suis prêt à aller physiquement ajuster les lumières ou à faire une liste de courses ou quoi que ce soit, au lieu de demander à Alexa de le faire. L’Internet des objets offre certains avantages incroyables aux consommateurs, mais c’est également un cadeau pour les cybercriminels.

Vous avez travaillé à la fois dans le secteur fédéral et privé. Comment les défis de cybersécurité diffèrent-ils entre ces environnements ?

Lorsque j’ai travaillé sous contrat pour le Département de la Santé et des Services sociaux dans leur Centre de coordination de la cybersécurité du secteur de la santé, cela se concentrait davantage sur la compréhension des modèles et des motivations derrière les actions des cybercriminels – comprendre pourquoi ils ciblaient les ressources de soins de santé et quels recommandations nous pouvions faire pour durcir ces défenses. Il y a plus d’espace pour creuser vraiment dans un projet dans le secteur public et il y a certains serviteurs publics incroyables qui font un travail sur la cybersécurité dans les gouvernements fédéraux et étatiques. Dans mes rôles de startup, j’ai également pu faire des recherches vraiment intéressantes, mais c’est plus rapide et plus ciblé sur des questions à portée plus étroite. Une chose que j’aime dans les startups, c’est que vous pouvez apporter un peu plus de votre propre voix à la recherche – il aurait été plus difficile de présenter quelque chose comme ma conférence « Make Me Your Dark Web Personal Shopper » (DerbyCon 2019) au nom du HHS.

Dans votre article récent, vous avez mis en évidence la croissance rapide de la toile sombre. Quels facteurs sont à l’origine de cette expansion, et quels sont les tendances que vous voyez pour les prochaines années ?

La toile sombre est toujours morte, toujours en train de mourir et toujours en train de renaître. Malheureusement, il y a un marché constant pour les données volées, les logiciels malveillants, les services de cybercriminalité et tous les autres types de biens associés à la toile sombre, ce qui signifie que même si les incontournables de la toile sombre comme Silk Road, AlphaBay et Agora sont partis, de nouveaux marchés peuvent surgir pour prendre leur place. L’instabilité politique et financière pousse également les gens à la cybercriminalité.

C’est devenu un cliché, mais l’IA est une préoccupation ici – cela facilite la tâche d’un criminel peu sophistiqué pour améliorer ses compétences, peut-être en utilisant des outils de codage alimentés par l’IA ou par le biais d’outils de génération d’IA qui peuvent générer un contenu de phishing convaincant.

Un autre facteur à l’origine de la renaissance de la toile sombre est un marché de crypto-monnaies solide. Les crypto-monnaies sont le sang vital de la cybercriminalité – le marché moderne des rançongiciels existe essentiellement grâce aux crypto-monnaies – et un gouvernement favorable aux crypto-monnaies sous la deuxième administration Trump est susceptible d’exacerber la criminalité de la toile sombre. Les coupes dans les programmes fédéraux de cybersécurité et d’application de la loi, notamment CISA, sont également un cadeau pour les cybercriminels, car les États-Unis ont historiquement mené des actions d’application de la loi contre les principaux marchés de la toile sombre.

Quelles sont les plus grandes idées fausses sur la toile sombre que les entreprises et les particuliers devraient connaître ?

La plus grande idée fausse que je vois est que la toile sombre est cette entité massive et mystérieuse qui est trop complexe pour être comprise ou défendue. En réalité, elle représente moins de 0,01 % d’Internet – mais cette petite taille cache son véritable impact sur la sécurité des entreprises. Un autre mythe courant est que la toile sombre est impenetrable ou complètement anonyme. Alors que cela nécessite des outils spécialisés comme le navigateur Tor et les domaines .onion, nous surveillons activement ces espaces tous les jours. En raison de la publicité derrière la démolition du marché Silk Road, les organisations pensent souvent que la toile sombre n’est qu’un marché pour les biens illégaux, comme les drogues ou les armes, et non une vaste et sophistiquée place de marché pour les actifs et les données d’entreprise. La réalité est que la toile sombre est quelque chose qu’il n’est pas seulement possible mais essentiel pour les organisations de comprendre, car elle a le potentiel d’avoir un impact direct sur la posture de sécurité de chaque entreprise.

Vous avez mentionné que les organisations devraient « supposer une exposition ». Quelles sont les façons les plus négligées dont les entreprises exposent involontairement leurs données en ligne ?

Ce que je trouve fascinant est le nombre d’entreprises qui ne réalisent toujours pas l’étendue de leur exposition et les façons dont elles pourraient être exposées via la toile sombre. Nous voyons régulièrement des informations d’identification compromises qui circulent sur les marchés de la toile sombre – pas seulement des détails de connexion de base, mais des comptes d’administrateur et des informations d’identification VPN qui pourraient fournir un accès complet aux infrastructures critiques. Un domaine particulièrement négligé est celui des appareils IoT. Ces appareils connectés apparemment inoffensifs peuvent être compromis et vendus pour créer des botnets ou lancer des attaques. Les environnements modernes de TI sont devenus incroyablement complexes, créant ce que nous appelons une « surface d’attaque étendue » qui va bien au-delà de ce que la plupart des organisations imaginent qu’elles ont. Nous parlons de services cloud, de points d’accès réseau et de systèmes intégrés que de nombreuses entreprises ne réalisent même pas qu’ils sont exposés. La dure vérité est que la plupart des organisations ont bien plus de points d’entrée potentiels qu’elles ne le pensent, il est donc préférable de supposer qu’il y a une exposition plutôt que de faire confiance à leurs défenses existantes pour être parfaites.

Comment les cybercriminels utilisent-ils l’IA pour améliorer leurs opérations sur la toile sombre, et comment les entreprises peuvent-elles se défendre contre les menaces de cybercriminalité alimentées par l’IA ?

La cybercriminalité ne crée pas vraiment de nouveaux types d’attaques – elle accélère celles que nous connaissons déjà. Nous voyons des criminels utiliser l’IA pour générer des centaines de courriels de phishing incroyablement convaincants en quelques minutes, ce qui prenait auparavant des jours ou des semaines à faire manuellement. Ils développent des logiciels malveillants adaptatifs qui peuvent réellement changer leur comportement pour éviter la détection, et ils utilisent des outils spécialisés comme WormGPT et FraudGPT qui sont spécifiquement conçus pour des activités criminelles. Peut-être ce qui est le plus inquiétant est la façon dont ils parviennent à compromettre des plateformes d’IA légitimes – nous avons vu des informations d’identification volées de grands fournisseurs d’IA étant vendues, et il y a un effort croissant pour « casser » les outils d’IA grand public en supprimant leurs limitations de sécurité.

Mais la bonne nouvelle est que nous ne sommes pas sans défense. Les organisations visionnaires déployant des systèmes d’IA qui travaillent 24 heures sur 24 pour surveiller les forums et les marchés de la toile sombre. Ces outils peuvent analyser des millions de publications en quelques minutes, comprendre le langage codé des criminels et repérer des modèles que les analystes humains pourraient manquer. Nous utilisons l’IA pour analyser les informations d’identification compromises, surveiller les points d’accès système et fournir un avertissement précoce des failles potentielles. La clé est que notre IA défensive peut fonctionner à la même vitesse et à la même échelle que les outils criminels – c’est vraiment la seule façon de suivre les menaces modernes.

CyCognito adopte une approche « du point de vue de l’attaquant » pour identifier les vulnérabilités. Pouvez-vous nous expliquer comment cette approche diffère des méthodes de test de sécurité traditionnelles ?

<p Notre approche commence par la compréhension que les environnements de TI modernes sont beaucoup plus complexes que les modèles de sécurité traditionnels ne le supposent. Nous ne nous appuyons pas non plus sur ce que les organisations connaissent pour éclairer notre travail – lorsque les attaquants ciblent une organisation, ils n'obtiennent pas de listes d'actifs ou de contexte de leur cible, nous allons donc également avec des données de graines zéro de nos clients. Sur cette base, nous rassemblons une carte de l'organisation et de sa surface d'attaque et plaçons tous leurs actifs dans le contexte de cette carte.

Nous cartographions la surface d’attaque étendue, allant au-delà des actifs connus pour comprendre ce que les attaquants voient réellement et peuvent exploiter. Lorsque nous surveillons les marchés de la toile sombre, nous ne collectons pas simplement des données – nous comprenons comment les informations d’identification compromises, les accès privilégiés et les informations exposées créent des chemins d’accès à une organisation. En superposant ces risques de la toile sombre sur la surface d’attaque existante, nous donnons aux équipes de sécurité une véritable vue de l’attaquant de leurs vulnérabilités. Cette perspective les aide à comprendre non seulement ce qui pourrait être vulnérable, mais ce qui est réellement exploitable.

Comment fonctionne le processus de découverte alimenté par l’IA de CyCognito, et qu’est-ce qui le rend plus efficace que les solutions de gestion de surface d’attaque externe (EASM) conventionnelles ?

Nous commençons par une compréhension fondamentale que la surface d’attaque de chaque organisation est considérablement plus grande que ce que les outils traditionnels supposent. Notre processus de découverte alimenté par l’IA commence par cartographier ce que nous appelons la « surface d’attaque étendue » – un concept qui va bien au-delà des solutions EASM conventionnelles qui ne regardent que les actifs connus.

Notre processus est complet et proactif. Nous scannons en permanence quatre types d’exposition critiques : les informations d’identification compromises, y compris les mots de passe hachés que les attaquants pourraient déchiffrer ; les comptes et les accès privilégiés vendus sur les marchés de la toile sombre ; les fuites d’informations basées sur l’IP qui pourraient révéler des vulnérabilités de réseau ; et les données sensibles exposées par le biais de failles passées. Mais trouver ces expositions n’est que la première étape.

Nous cartographions ensuite tout sur ce que nous appelons le graphique de surface d’attaque. C’est là que le contexte devient tout. Au lieu de vous donner simplement une liste de vulnérabilités comme le font les solutions EASM conventionnelles, nous vous montrons exactement comment les expositions de la toile sombre se croisent avec vos infrastructures existantes. Cela permet aux équipes de sécurité de voir non seulement où leurs données se sont retrouvées, mais exactement où elles doivent concentrer leurs efforts de sécurité ensuite.

Pensez-y comme à la construction d’une carte stratégique plutôt que d’exécuter simplement un scan de sécurité. En superposant les risques de la toile sombre sur votre surface d’attaque réelle, nous fournissons aux équipes de sécurité une vue claire et actionnable de leurs lacunes de sécurité les plus critiques. Cette compréhension contextuelle est essentielle pour prioriser efficacement les efforts de remédiation et assurer une réponse rapide et ciblée aux menaces émergentes.

La priorisation des risques est un défi majeur pour les équipes de sécurité. Comment CyCognito différencie-t-elle les vulnérabilités critiques et non critiques ?

Nous priorisons les vulnérabilités en comprenant leur contexte dans l’ensemble de l’écosystème de sécurité d’une organisation. Il ne suffit pas de savoir qu’une information d’identification a été compromise ou qu’un point d’accès est vulnérable – nous devons comprendre ce que cette exposition signifie en termes d’impact potentiel, et cet impact peut varier en fonction du contexte commercial de l’actif. Nous examinons particulièrement les informations d’identification d’accès privilégié, les comptes d’administrateur et les points d’accès VPN, car ceux-ci représentent souvent le plus grand risque pour un mouvement latéral dans les systèmes. En cartographiant ces expositions sur notre graphique de surface d’attaque, nous pouvons montrer aux équipes de sécurité exactement quels sont les vulnérabilités qui représentent le plus grand risque pour leurs actifs les plus critiques. Cela les aide à concentrer leurs ressources limitées là où elles auront le plus d’impact.

Comment voyez-vous l’évolution de la cybersécurité au cours des cinq prochaines années, et quel rôle l’IA jouera-t-elle à la fois dans l’offense et la défense ?

Nous sommes en pleine évolution fondamentale du paysage de la cybersécurité, en grande partie alimentée par l’IA. Du côté offensif, nous voyons déjà l’IA accélérer l’échelle et la sophistication des attaques de manière qui aurait été impossible il y a quelques années seulement. De nouveaux outils d’IA conçus spécifiquement pour la cybercriminalité, comme WormGPT et FraudGPT, émergent rapidement, et nous voyons même des plateformes d’IA légitimes étant compromises ou « cassées » à des fins malveillantes.

Du côté défensif, l’IA n’est plus un avantage – elle devient une nécessité. La vitesse et l’échelle des attaques modernes signifient que l’analyse traditionnelle, uniquement humaine, ne peut simplement pas suivre. L’IA est essentielle pour surveiller les menaces à grande échelle, analyser l’activité de la toile sombre et fournir les capacités de réponse rapide que la sécurité moderne nécessite. Mais je veux insister sur le fait que la technologie seule n’est pas la réponse. Les organisations qui seront les plus performantes pour naviguer dans ce nouveau paysage sont celles qui combineront des capacités d’IA avancées avec des stratégies de sécurité proactives et une compréhension approfondie de leur surface d’attaque étendue. Les cinq prochaines années seront à propos de trouver un équilibre entre des outils d’IA puissants et une planification de sécurité intelligente et stratégique.

Merci pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter CyCognito.

mm

Antoine est un leader visionnaire et partenaire fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et se fait souvent prendre en train de vanter le potentiel des technologies perturbatrices et de l'AGI.
En tant que futurist, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.