Connect with us

नबील हनन, फील्ड सीआईएसओ tại NetSPI – साक्षात्कार श्रृंखला

साक्षात्कार

नबील हनन, फील्ड सीआईएसओ tại NetSPI – साक्षात्कार श्रृंखला

mm
Published
Updated

नबील हनन NetSPI में फील्ड सीआईएसओ (मुख्य सूचना सुरक्षा अधिकारी) हैं। वह कंपनी के परामर्श अभ्यास का नेतृत्व करते हैं, जो ग्राहकों को उनकी साइबर सुरक्षा मूल्यांकन और खतरे और वल्नरेबिलिटी प्रबंधन की आवश्यकताओं को हल करने में मदद करने पर केंद्रित है। उनकी पृष्ठभूमि प्रभावी सॉफ्टवेयर सुरक्षा पहल को बनाने और सुधारने में है, जिसमें वित्तीय सेवा क्षेत्र में गहरी विशेषज्ञता है।

NetSPI एक प्रोक्टिव सुरक्षा समाधान है जो सबसे महत्वपूर्ण सुरक्षा वल्नरेबिलिटी को खोजने, प्राथमिकता देने और दूर करने के लिए डिज़ाइन किया गया है। यह संगठनों को अपने व्यवसाय के लिए सबसे महत्वपूर्ण चीजों की सुरक्षा करने में मदद करता है bằng एक प्रोक्टिव दृष्टिकोण के साथ साइबर सुरक्षा के लिए अधिक स्पष्टता, गति और पैमाने के साथ।

क्या आप अपनी साइबर सुरक्षा यात्रा के बारे में थोड़ा बता सकते हैं और बता सकते हैं कि आपको NetSPI में शामिल होने के लिए क्या प्रेरित किया?

मैं सात साल की उम्र से ही प्रोग्रामिंग कर रहा हूं। प्रौद्योगिकी ने मुझे हमेशा उत्साहित किया है क्योंकि मैं जानना चाहता था कि चीजें कैसे काम करती हैं, जिससे मुझे बहुत सी चीजों को अलग करने और उन्हें वापस एक साथ रखने के लिए प्रेरित किया गया।

कॉलेज में कंप्यूटर विज्ञान का अध्ययन करते हुए, मैंने अपना करियर ब्लैकबेरी में शुरू किया, जहां मैं ब्लैकबेरी मैसेंजर प्लेटफ़ॉर्म के लिए उत्पाद प्रबंधक के रूप में काम करता था और हार्डवेयर डिज़ाइन में रुचि लेने लगा। वहां से, मुझे एक छोटी कंपनी में एप्लिकेशन सुरक्षा डोमेन में शामिल होने के लिए भर्ती किया गया – मैं इतना उत्साहित था कि मैं नौकरी पाने के लिए एक नए देश में जाने के लिए तैयार था।

जब मैं अपनी साइबर सुरक्षा यात्रा पर विचार करता हूं, तो यह नीचे से शुरू हुई। मैं एक सहयोगी सलाहकार के रूप में शुरू हुआ, जो प्रवेश परीक्षण, कोड समीक्षा, खतरा मॉडलिंग, हार्डवेयर परीक्षण और जो कुछ भी मेरे बॉस मुझे देते थे। अंततः, मैं सिगिटल के लिए एक प्रवेश परीक्षण सेवा बनाने के लिए काम करने के लिए आगे बढ़ा, जिसे बाद में सिनोप्सिस द्वारा अधिग्रहित किया गया। यह सब मुझे NetSPI में लाया ताकि मैं प्रोक्टिव सुरक्षा स्थान में इसके विकास पथ का समर्थन कर सकूं।

वित्तीय सेवा क्षेत्र में आपका अनुभव आपके साइबर सुरक्षा दृष्टिकोण को कैसे आकार देता है?

सिनोप्सिस में, मैंने वित्तीय सेवा उद्योग को सुरक्षा सेवाओं और उत्पादों को बेचने के लिए रणनीति बनाने में मदद की। तो जबकि मैं सीधे वित्तीय सेवाओं में काम नहीं कर रहा था, मैं उस क्षेत्र के लिए रणनीतियों को बनाने के लिए जिम्मेदार था, जिसके लिए मुझे उस ऊर्ध्वाधर को गहराई से समझने की आवश्यकता थी।

प्रौद्योगिकी स्थान में बढ़ते हुए, मैंने दुनिया भर में बड़े वित्तीय सेवा संगठनों के साथ काम करने में बहुत समय बिताया। उस पृष्ठभूमि के साथ, मैंने अपना समय और कौशल वित्तीय सेवा उद्योग के लिए सेवाओं को विकसित करने और लक्षित करने की रणनीति पर केंद्रित किया।

वित्तीय सेवा क्षेत्र से मेरे संपर्क में आने से मुझे सीखने वाली सबसे बड़ी बात यह है कि हैकर्स पैसे के पीछे जाते हैं। हैकर्स सिर्फ मजे के लिए नहीं हैं; यह उनकी आय का स्रोत है। वे जहां सबसे अधिक वित्तीय प्रभाव होता है – चाहे वह वास्तव में किसी भी रूप में पैसे चोरी करना हो या किसी संगठन को वित्तीय नुकसान पहुंचाना हो। यह मानसिकता मेरी साइबर सुरक्षा की समझ को आकार देने में मदद की है और मुझे अपनी वर्तमान भूमिका में एक फील्ड सीआईएसओ के रूप में सफल होने में मदद की है।

साइबर खतरों के तेजी से विकसित होने के साथ, आपको लगता है कि संगठनों को आज सबसे बड़ी साइबर सुरक्षा चुनौतियों का सामना करना पड़ रहा है?

आज सबसे बड़ी चुनौती यह है कि हर संगठन को विकसित होते खतरों से निपटने और उभरती प्रौद्योगिकियों के साथ तालमेल बिठाने के लिए कितनी तेजी से काम करने की आवश्यकता है, जैसे कि एआई। ऐतिहासिक रूप से, सॉफ्टवेयर बनाने के लिए एक जलप्रपात विधि थी, जो तेजी से नहीं थी जितनी तेजी से सॉफ्टवेयर आज तैनात किया जाता है। अब, हमारे पास एक अधिक लचीला तरीका है, जहां संगठन तेजी से सॉफ्टवेयर बनाने और इसे उत्पादन में लाने की कोशिश कर रहे हैं और अधिक छोटे आकार के कार्यान्वयन कर रहे हैं।

पिछले 10 वर्षों में सुरक्षा पारिस्थितिकी तंत्र में तेजी से परिवर्तन और त्वरण देखा गया है। यह बड़े संगठनों के लिए कई मुद्दों का कारण बनता है, जैसे कि शैडो आईटी, जो उनके हमले की सतह और संपत्ति में अंतर्दृष्टि प्राप्त करना अधिक कठिन बना देता है। आप जो देख नहीं सकते हैं उसे सुरक्षित नहीं रख सकते।

क्लाउड अपनाना इस आग में ईंधन डालता है – जितना अधिक लोग इसे अपनाते हैं, क्लाउड में स्थानांतरित करते हैं, सॉफ्टवेयर सिस्टम और संपत्ति अधिक लचीली हो जाती है। सॉफ्टवेयर और हार्डवेयर को ऊपर और नीचे की ओर लचीली तरह से स्केल करने की क्षमता परिवर्तन को और अधिक कठिन बना देती है। जैसे ही सिस्टम लचीली संभावना के साथ बनाए जाते हैं, आप संपत्ति के मालिकाना हक को अधिक बार बदलते हैं और संगठन में प्रवेश करने के लिए बुरे अभिनेताओं के लिए अवसर पैदा करते हैं।

आपको लगता है कि अगले पांच वर्षों में साइबर सुरक्षा परिदृश्य कैसे बदल जाएगा?

आगामी पांच वर्षों में बाहरी और आंतरिक दोनों संपत्तियों में दृश्यता की आवश्यकता जारी रहेगी और यह ग्राहकों को विक्रेताओं के साथ कैसे काम करते हैं इसे बदल देगी। यह पहले से ही एक ऐसा क्षेत्र है जिस पर हम NetSPI में भारी रूप से ध्यान केंद्रित कर रहे हैं। जून में, हमें हब्बल प्रौद्योगिकी नामक एक साइबर एसेट अटैक सरफेस मैनेजमेंट (सीएएएसएम) और साइबर सुरक्षा मुद्रा प्रबंधन समाधान का अधिग्रहण किया। हमारी स्थापित बाहरी हमला सतह प्रबंधन (ईएएसएम) क्षमताओं में सीएएएसएम जोड़ने से हमारे ग्राहकों को नए संपत्ति और जोखिमों की पहचान करने, सुरक्षा नियंत्रण अंधे धब्बे को दूर करने और अपनी सुरक्षा मुद्रा का एक समग्र दृष्टिकोण प्राप्त करने में सक्षम बनाता है – जो कि उद्योग में अब तक की कमी थी।

हमारी ईएएसएम और सीएएएसएम क्षमताओं को द नेटएसपीआई प्लेटफ़ॉर्म में मिलाने से हमारे ग्राहकों को दृश्यता चुनौतियों से निपटने के लिए आवश्यक उपकरण प्रदान करने में मदद मिलती है। यह जोखिमों के साथ संपत्ति और वल्नरेबिलिटी से जुड़े जोखिमों को अधिक सटीक रूप से प्राथमिकता देने की क्षमता को भी बढ़ाता है। इसके अलावा, यह सुरक्षा नेताओं को जोखिमों के संबंध में अपनी सबसे महत्वपूर्ण संपत्तियों के जोखिम का आकलन करने में मदद करता है।

NetSPI का दृष्टिकोण वल्नरेबिलिटी प्रबंधन में अन्य कंपनियों से कैसे भिन्न है?

हाल ही में, हमने एक नया एकीकृत प्रोक्टिव सुरक्षा प्लेटफ़ॉर्म पेश किया, जो हमारी प्रवेश परीक्षण के रूप में सेवा (पीटीएएस), बाहरी हमला सतह प्रबंधन (ईएएसएम), साइबर एसेट अटैक सरफेस मैनेजमेंट (सीएएएसएम), और उल्लंघन और हमला सिमुलेशन (बीएएस) प्रौद्योगिकियों को एक ही समाधान में मिलाता है। द नेटएसपीआई प्लेटफ़ॉर्म के साथ, ग्राहक अधिक स्पष्टता, गति और पैमाने के साथ साइबर सुरक्षा के लिए एक प्रोक्टिव दृष्टिकोण ले सकते हैं। यह नया प्रोक्टिव दृष्टिकोण उद्योग में हम जो रुझान देख रहे हैं, उसका प्रतिबिंब है, और विभिन्न बिंदु समाधानों से दूर जाने के लिए, और अधिक समग्र, अंत से अंत तक प्लेटफ़ॉर्म सेवाओं की तेजी से अपनाने की ओर।

NetSPI में साइबर सुरक्षा उपायों को बढ़ाने के लिए एआई का उपयोग कैसे किया जा रहा है?

जैसा कि कोई भी साइबर सुरक्षा नेता आपको बताएगा, एआई व्यवसायिक सफलता को उत्प्रेरित करने की क्षमता रखता है, लेकिन इसके पास विरोधी हमलों को खिलाने की भी क्षमता है। NetSPI में, हम अपने ग्राहकों को आगे रहने में मदद करने के लिए एआई/एमएल प्रवेश परीक्षण मॉडल लागू करने का प्रयास कर रहे हैं, जो सुरक्षा को विचार से लेकर कार्यान्वयन तक में शामिल करता है, और विरोधी हमलों पर एलएमएस पर जोर देते हुए एमएल सिस्टम से जुड़े जोखिमों की पहचान, विश्लेषण और कम करने में मदद करता है। साइबर सुरक्षा में, एआई क्षमताओं ने हमारी खतरों की निगरानी और दूर करने की क्षमता को वास्तविक समय में बढ़ाया है।

साइबर सुरक्षा में एआई से जुड़े संभावित जोखिम क्या हैं, और उन्हें कैसे कम किया जा सकता है?

अन्य साइबर सुरक्षा नेताओं के साथ हो रही बातचीत के आधार पर, एआई का सबसे बड़ा जोखिम संगठनों की बुनियादी डेटा और साइबर सुरक्षा स्वच्छता की कमी है। जैसा कि हम जानते हैं, एआई समाधान उतने ही प्रभावी होते हैं जितना डेटा जिस पर मॉडल प्रशिक्षित होते हैं। यदि संगठनों के पास डेटा इन्वेंट्री और वर्गीकरण पर एक मजबूत पकड़ नहीं है, तो उनके मॉडल पीड़ित होंगे और सुरक्षा गैप के लिए अतिसंवेदनशील होंगे।

जब लोग एआई में “बुद्धिमत्ता” शब्द देखते हैं, तो वे इसे “आंतरिक रूप से बुद्धिमान” या किसी प्रकार की चेतना के रूप में गलत समझते हैं। लेकिन ऐसा नहीं है। सुरक्षा पractioners को अभी भी एआई मॉडल को प्रोग्राम करने की आवश्यकता है ताकि वे समझ सकें कि कौन सी संपत्तियां व्यक्तिगत, निजी, सार्वजनिक हैं और इसी तरह। उन तंत्रों के बिना, एआई अराजकता में उतर सकता है। मेरे विचार में, यह वर्तमान में सीआईएसओ के बीच सबसे बड़ी चिंता है।

क्या आप बता सकते हैं कि NetSPI का प्रवेश परीक्षण के रूप में सेवा (पीटीएएस) संगठनों को मजबूत सुरक्षा बनाए रखने में कैसे मदद करता है?

प्रवेश परीक्षण संगठन की समग्र साइबर सुरक्षा मुद्रा के लिए महत्वपूर्ण है क्योंकि यह टीमों को उनके व्यवसाय के लिए विशिष्ट वल्नरेबिलिटी में अधिक संदर्भ प्रदान करता है।

प्रवेश परीक्षण यह भी एक अच्छा लिटमस परीक्षण है कि अन्य सुरक्षा नियंत्रण, जैसे कोड समीक्षा, खतरा मॉडलिंग, स्टेटिक एप्लिकेशन सुरक्षा परीक्षण (एसएएसटी), डायनामिक एप्लिकेशन सुरक्षा परीक्षण (डीएएसटी), इंटरएक्टिव एप्लिकेशन सुरक्षा परीक्षण (आईएएसटी), और अन्य जो आपने पहले लागू किए हैं, कितने प्रभावी हैं।

नियमित प्रवेश परीक्षण सुरक्षा विशेषज्ञों के साथ वास्तविक समय सहयोग को बढ़ावा देता है जो अधिक गहराई को जोड़ने वाला एक और दृष्टिकोण प्रदान कर सकता है। एक सफल पेंटेस्ट के अंत में, संगठनों को अपने आईटी पर्यावरण के कौन से हिस्से उल्लंघन के लिए अधिक प्रवण हैं, इसकी बेहतर अंतर्दृष्टि प्राप्त होगी। जब एक पेंटेस्ट वल्नरेबिलिटी का पता लगाता है, तो वे अक्सर नियंत्रणों में अंतराल को उजागर करते हैं जो जीवन चक्र में पहले ही गायब हो गए हैं या जो गायब हैं। वे यह भी समझेंगे कि अनुपालन कैसे प्राप्त किया जाए, जहां उन्हें उपचार प्रयासों पर ध्यान केंद्रित करना चाहिए, और यह कि आईटी और सुरक्षा टीमें संभावित व्यावसायिक प्रभावों पर बने रहने के लिए कैसे एक साथ काम कर सकती हैं।

पीटीएएस में विशेषज्ञता वाले विक्रेताओं के साथ काम करके, संगठन एक मजबूत सुरक्षा मुद्रा को पूरक बनाने के लिए तैयार हो सकते हैं।

आप पूर्ण सुरक्षा समाधान प्रदान करने के लिए प्रौद्योगिकी और मानव विशेषज्ञता दोनों को कैसे एकीकृत करते हैं?

NetSPI मानता है कि आपको एक ध्वनि रणनीति बनाने के लिए प्रौद्योगिकी और मानव दोनों की आवश्यकता है ताकि ज्ञात और अज्ञात खतरों से आगे रहा जा सके। मानवों को उपकरणों द्वारा उत्पन्न आउटपुट को मान्य करने, प्राथमिकता देने और संदर्भ देने के लिए लूप में होना चाहिए। हम लोगों को गलत सकारात्मक या शोर उत्पन्न करने के व्यवसाय में नहीं हैं जो उन्हें अधिक समय बिताने के लिए प्रेरित करते हैं कि वास्तव में क्या मायने रखता है। दूसरे शब्दों में, आप महान प्रौद्योगिकी हो सकते हैं, लेकिन आपको वास्तव में इसका उपयोग करने के लिए किसी की आवश्यकता है।

मानवों की तुलना में एआई द्वारा किए जाने वाले कई दिनचर्या कार्य हैं जो तेजी से और अधिक सटीक रूप से किए जा सकते हैं। यदि प्रौद्योगिकी एक विश्वसनीय तरीके से निर्मित की जा सकती है, तो यह सुरक्षा टीमों को कुछ कार्यों को स्वचालित करने और अपना ध्यान अधिक रचनात्मक सोच और महत्वपूर्ण समस्या-समाधान पर केंद्रित करने के लिए समय मुक्त करने में मदद करेगा जो एआई द्वारा प्रतिस्थापित नहीं किया जा सकता है।

आप आमतौर पर अपने ग्राहकों को उनकी साइबर सुरक्षा मुद्रा को मजबूत करने के लिए क्या रणनीतिक सलाह देते हैं?

लोगों द्वारा पड़ने वाला एक सामान्य जाल यह है कि वे उन चीजों में निवेश करते हैं जिन्हें वे समझते हैं। उदाहरण के लिए, एक कंपनी एक क्लाउड सुरक्षा पृष्ठभूमि वाले एक नेता को ला सकती है। स्वाभाविक रूप से, वे तब एक क्लाउड सुरक्षा टीम बनाने पर ध्यान केंद्रित करते हैं, इसके बजाय, कहें, अनुपालन, नेटवर्क सुरक्षा, एप्लिकेशन सुरक्षा और इसी तरह, जहां संगठन वास्तव में समर्थन की आवश्यकता हो सकती है।

एक अधिक संतुलित कार्यक्रम होना बेहतर है जो सब कुछ समग्र रूप से ध्यान केंद्रित करता है। फिर, आप गहराई से रक्षा बनाना शुरू करते हैं और उन नियंत्रणों को बनाते हैं जो संगठन के विभिन्न हिस्सों में अन्य विफलताओं को कम करते हैं। एक संतुलित कार्यक्रम बनाना किसी एक क्षेत्र में अधिक समय, प्रयास और टूलिंग में निवेश करने से बेहतर है।

साक्षात्कार के लिए धन्यवाद, पाठक जो अधिक जानना चाहते हैं उन्हें NetSPI पर जाना चाहिए।

Related Topics:
mm

एंटोनी एक दूरदर्शी नेता और Unite.AI के संस्थापक भागीदार हैं, जो कि एआई और रोबोटिक्स के भविष्य को आकार देने और बढ़ावा देने के लिए एक अटूट जुनून से प्रेरित हैं। एक श्रृंखला उद्यमी, वह मानता है कि एआई समाज के लिए उतना ही विघटनकारी होगा जितना कि बिजली, और अक्सर विघटनकारी प्रौद्योगिकियों और एजीआई की संभावना के बारे में उत्साहित होता है।

एक फ्यूचरिस्ट के रूप में, वह इन नवाचारों के माध्यम से हमारी दुनिया को आकार देने की खोज में समर्पित है। इसके अलावा, वह सिक्योरिटीज़.io के संस्थापक हैं, एक मंच जो भविष्य को फिर से परिभाषित करने और पूरे क्षेत्रों को फिर से आकार देने वाली अत्याधुनिक प्रौद्योगिकियों में निवेश पर केंद्रित है।