Connect with us

Emma Zaballos, Product Marketing Manager at CyCognito – Wywiad

Wywiady

Emma Zaballos, Product Marketing Manager at CyCognito – Wywiad

mm
Published
Updated

Emma Zaballos jest zapalonym badaczem zagrożeń, który jest pasjonatem zrozumienia i walki z cyberzagrożeniami. Emma lubi monitorować ciemne place handlowe, tworzyć profile gangów ransomware oraz wykorzystywać wywiad do zrozumienia cyberprzestępczości.

CyCognito, założona przez weteranów agencji wywiadowczych, specjalizuje się w cyberbezpieczeństwie poprzez identyfikację potencjalnych wektorów ataku z zewnętrznej perspektywy. Firma zapewnia organizacjom wgląd w to, jak atakujący mogą postrzegać ich systemy, wskazując słabości, potencjalne punkty wejścia i zagrożone aktywa. Z siedzibą w Palo Alto, CyCognito obsługuje duże przedsiębiorstwa i firmy z listy Fortune 500, w tym Colgate-Palmolive i Tesco.

Masz różnorodne doświadczenie w badaniach bezpieczeństwa, analizie zagrożeń i marketingu produktów. Co najpierw zainteresowało Cię tym obszarem, a jak Twoja kariera rozwinęła się w kierunku zarządzania narażeniem?

Wkrótce po ukończeniu studiów pracowałam jako analityk w międzynarodowym procesie sądowym, który obejmował śledzenie sieci aktorów w Stanach Zjednoczonych (i na arenie międzynarodowej). Był to bardzo interesujący przypadek, a gdy zaczęłam szukać następnej rzeczy, znalazłam pracę w startupie monitorującym ciemny internet (Terbium Labs, obecnie część Deloitte), gdzie podsunęłam sobie pomysł: „hej, nie wiem nic o ciemnym internecie ani bezpieczeństwie, ale mam doświadczenie w śledzeniu sieci i zachowań, i myślę, że mogę nauczyć się reszty”. I to się udało! Kontynuowałam pracę w branży bezpieczeństwa jako ekspert ds. zagrożeń z naciskiem na aktorów zagrożeń do 2022 roku, kiedy dołączyłam do CyCognito na moją pierwszą rolę w marketingu produktów. Było wspaniale nadal pracować w branży bezpieczeństwa, która jest przemysłem, o którym jestem bardzo zainteresowana, przy próbowaniu nowej roli. Lubię, że mogę spełniać moją miłość do opowieści opartych na danych poprzez pisanie treści, takich jak roczny raport CyCognito na temat stanu zarządzania narażeniem zewnętrznym.

Wspominasz, że nigdy nie będziesz posiadać Alexa. Co najbardziej martwi Cię w odniesieniu do urządzeń smart home, a co przeciętny człowiek powinien wiedzieć o ryzyku?

Jeśli spędzisz trochę czasu, badając ciemny internet, zobaczysz, że cyberprzestępcy mają ogromny apetyt na dane – w tym dane konsumenckie zebrane przez firmy. Twoje dane są cennym zasobem, a jest to coś, czego wiele firm albo nie może, albo nie chce odpowiednio chronić. Jako konsument masz ograniczone opcje kontroli, w jaki sposób Twoje dane są gromadzone, przechowywane i zarządzane, ale ważne jest, aby być jak najbardziej poinformowanym i kontrolować to, co możesz. Może to oznaczać zostanie bardzo dobrym w dostosowywaniu ustawień w aplikacjach lub urządzeniach, albo po prostu rezygnację z niektórych produktów.

Ze względu na konieczność, jeśli masz włączonego asystenta głosowego na telefonie lub urządzeniu smart home, które wymaga sygnału głosowego, mikrofon musi cały czas nasłuchiwać, aby złapać Twoje polecenia. Nawet jeśli ufam, że firma chroni te nagrania i je kasuje, po prostu nie lubię pomysłu, aby mieć włączony mikrofon w moim domu.

Mogą być usługi i produkty wygody, które gromadzą moje dane, a ja ich używam i tak, bo jest to w jakiś sposób warte dla mnie. Produkty smart home są jednak czymś, gdzie osobiście wyznaczyłam granicę – jestem w porządku, gdy fizycznie idę i reguluję światła, robię listę zakupów, czy cokolwiek, zamiast mówić Alexa, aby to zrobiła. Internet rzeczy oferuje niezwykłe korzyści konsumentom, ale jest to również był błogosławieństwem dla cyberprzestępców.

Pracowałaś w sektorze federalnym i prywatnym. Jak różnią się wyzwania bezpieczeństwa między tymi środowiskami?

Gdy pracowałam na kontrakcie w Departamencie Zdrowia i Usług Społecznych w ich Centrum Koordynacji Bezpieczeństwa Sektora Zdrowia, było to bardziej ukierunkowane na badanie wzorców i motywacji za działaniami cyberprzestępców – zrozumienie, dlaczego atakowali zasoby opieki zdrowotnej i jakie rekomendacje moglibyśmy przedstawić, aby wzmocnić ich obronę. Jest więcej miejsca, aby się zagłębić w projekt w sektorze publicznym, a tam są niesamowici urzędnicy państwowi pracujący nad bezpieczeństwem. W obu moich rolach w startupach miałam również okazję wykonać bardzo interesujące badania, ale jest to szybsze i bardziej ukierunkowane na ściśle zakreślone pytania. Jedną rzeczą, którą lubię w startupach, jest to, że mogę przynieść trochę swojego własnego głosu do badań – byłoby trudniej przedstawić coś takiego, jak moje „Zrób mnie Twoim osobistym sklepem na ciemnym internecie” (DerbyCon 2019) w imieniu Departamentu Zdrowia i Usług Społecznych.

W swoim artykule, podkreśliłaś szybki wzrost ciemnego internetu. Jakie czynniki napędzają ten wzrost, a jakie trendy widzisz na najbliższe lata?

Ciemny internet jest zawsze martwy, umiera i zawsze wraca do życia. Niestety, istnieje stały popyt na skradzione dane, złośliwe oprogramowanie, cyberprzestępczość jako usługę i inne towary związane z ciemnym internetem, co oznacza, że nawet jeśli ciemne place handlowe, takie jak Silk Road, AlphaBay i Agora, są martwe, nowe rynki mogą powstać na ich miejscu. Polityczna i finansowa niestabilność również napędza ludzi do cyberprzestępczości.

To stało się banałem, ale AI jest tutaj problemem – ułatwia to niezbyt wykwalifikowanemu przestępcy podniesienie umiejętności, być może poprzez korzystanie z narzędzi programistycznych zasilanych przez AI lub poprzez generatywne narzędzia AI, które mogą generować przekonywujące treści phishingowe.

Innym czynnikiem napędzającym renesans ciemnego internetu jest silny rynek kryptowalut. Kryptowaluta jest żyłami cyberprzestępczości – nowoczesny rynek ransomware praktycznie istnieje dzięki kryptowalucie – a kryptowalutowy rząd pod drugą administracją Trumpa prawdopodobnie nasili cyberprzestępczość na ciemnym internecie. Cięcia w programach federalnych dotyczących cyberbezpieczeństwa i egzekwowania prawa, w tym CISA, są również błogosławieństwem dla cyberprzestępców, ponieważ Stany Zjednoczone historycznie prowadziły działania egzekwowania prawa przeciwko głównym rynkom ciemnego internetu.

Jakie są największe mity na temat ciemnego internetu, o których powinny wiedzieć firmy i osoby?

Największym mitem, jaki widzę, jest to, że ciemny internet jest ogromną, tajemniczą jednostką, której nie da się zrozumieć ani obronić. W rzeczywistości stanowi mniej niż 0,01% internetu, ale ten mały rozmiar maskuje jego prawdziwy wpływ na bezpieczeństwo firm. Innym powszechnym mitem jest to, że ciemny internet jest nieprzenikniony lub całkowicie anonimowy. Chociaż wymaga specjalistycznych narzędzi, takich jak przeglądarka Tor i domeny .onion, aktywnie monitorujemy te przestrzenie każdego dnia. Z powodu rozgłosu wokół likwidacji rynku Silk Road wiele organizacji uważa, że ciemny internet służy tylko do sprzedaży nielegalnych towarów, takich jak narkotyki lub broń, a nie zdaje sobie sprawy, że jest to również ogromny i złożony rynek dla aktywów korporacyjnych i danych. Rzeczywistość jest taka, że ciemny internet jest czymś, co nie tylko jest możliwe, ale także niezbędne dla organizacji do zrozumienia, ponieważ ma potencjał bezpośrednio wpłynąć na postawę bezpieczeństwa każdej firmy.

Wspomniałaś, że organizacje powinny “przyjmować założenie, że są narażone”. Jakie są najbardziej pomijane sposoby, w jakie firmy nieświadomie narażają swoje dane w internecie?

To, co uważam za fascynujące, to to, ile firm nadal nie zdaje sobie sprawy z zakresu swojego narażenia i sposobów, w jakie mogą być narażone na ciemnym internecie. Regularnie widzimy wyciekłe poświadczenia, które krążą na rynkach ciemnego internetu – nie tylko podstawowe dane logowania, ale także konta administracyjne i poświadczenia VPN, które mogą zapewnić pełny dostęp do krytycznej infrastruktury. Jednym z najbardziej pomijanych obszarów są urządzenia IoT. Te pozornie niewinne urządzenia podłączone do sieci mogą być naruszone i sprzedane w celu utworzenia botnetów lub uruchomienia ataków. Współczesne środowiska IT stały się niezwykle złożone, tworząc to, co nazywamy „rozszerzoną powierzchnią ataku”, która wykracza daleko poza to, co większość organizacji sobie wyobraża. Mówimy o usługach w chmurze, punktach dostępu do sieci i zintegrowanych systemach, których wiele firm nawet nie zdaje sobie sprawy, że są one narażone. Twarda prawda jest taka, że większość organizacji ma o wiele więcej potencjalnych punktów wejścia, niż się spodziewają, więc lepiej jest założyć, że istnieje jakieś narażenie, niż ufać, że ich obecne obrony są idealne.

Jak cyberprzestępcy wykorzystują AI do zwiększenia swoich operacji na ciemnym internecie, a jak firmy mogą bronić się przed zagrożeniami związanymi z AI?

Cyberprzestępczość nie tworzy nowych typów ataków – przyspiesza te, które już znamy. Widzimy, jak przestępcy używają AI do generowania setek niezwykle przekonywujących e-maili phishingowych w ciągu kilku minut, co wcześniej zajmowało dni lub tygodnie. Rozwijają adaptacyjne złośliwe oprogramowanie, które może zmienić swoje zachowanie, aby uniknąć wykrycia, i używają specjalistycznych narzędzi, takich jak WormGPT i FraudGPT, które są specjalnie zaprojektowane do działań przestępczych. Być może najbardziej niepokojące jest to, jak udaje im się naruszać legalne platformy AI – widzieliśmy skradzione poświadczenia od głównych dostawców AI, które są sprzedawane, a rośnie wysiłek, aby „wyłamać” popularne narzędzia AI, usuwając ich ograniczenia bezpieczeństwa.

Ale dobra wiadomość jest taka, że nie jesteśmy bezbronni. Przyszłościowe organizacje wdrożenie systemów AI, które pracują przez całą dobę, monitorując ciemne fora i rynki. Te narzędzia mogą analizować miliony postów w ciągu kilku minut, zrozumieć zakodowany język przestępców i zauważyć wzorce, których ludzcy analitycy mogliby przegapić. Używamy AI do skanowania w poszukiwaniu skradzionych poświadczeń, monitorowania punktów dostępu do systemu i zapewniania wczesnego ostrzegania o potencjalnych naruszeniach. Kluczem jest to, że nasze obronne AI mogą działać z taką samą szybkością i skalą, co narzędzia przestępcze – to naprawdę jedyny sposób, aby nadążyć za nowoczesnymi zagrożeniami.

CyCognito stosuje podejście „z perspektywy atakującego”, aby identyfikować słabości. Możesz oprowadzić nas przez to, jak to podejście różni się od tradycyjnych metod testowania bezpieczeństwa?

Nasze podejście zaczyna się od zrozumienia, że współczesne środowiska IT są o wiele bardziej złożone, niż zakładały tradycyjne modele bezpieczeństwa. Nie polegamy również na tym, co organizacje wiedzą, aby poinformować naszą pracę – gdy atakujący celują w organizację, nie otrzymują listy aktywów ani kontekstu od swojego celu, więc również wchodzimy z zerowymi danymi naszych klientów. Na tej podstawie tworzymy mapę organizacji i jej powierzchni ataku, umieszczając wszystkie ich aktywa w kontekście tej mapy.

Mapujemy całą rozszerzoną powierzchnię ataku, idąc poza znane aktywa, aby zrozumieć, co atakujący widzą i mogą wykorzystać. Gdy monitorujemy rynki ciemnego internetu, nie tylko zbieramy dane – zrozumienie, jak wyciekłe poświadczenia, przywileje i narażone informacje tworzą ścieżki do organizacji. Nakładając te ryzyka z ciemnego internetu na istniejącą powierzchnię ataku, dajemy zespołom bezpieczeństwa prawdziwą perspektywę atakującego na ich słabości. Ta perspektywa pomaga im zrozumieć nie tylko to, co może być podatne na atak, ale także to, co jest naprawdę wykorzystywane.

Jak działa proces odkrywania oparty na AI w CyCognito, a co sprawia, że jest on bardziej skuteczny niż konwencjonalne rozwiązania zarządzania zewnętrzną powierzchnią ataku (EASM)?

Zaczynamy od podstawowego zrozumienia, że powierzchnia ataku każdej organizacji jest znacznie większa, niż zakładają tradycyjne narzędzia. Nasz proces odkrywania oparty na AI zaczyna się od mapowania tego, co nazywamy „rozszerzoną powierzchnią ataku” – pojęciem, które wykracza daleko poza konwencjonalne rozwiązania EASM, które patrzą tylko na znane aktywa.

Nasze podejście jest kompleksowe i proaktywne. Ciągle skanujemy cztery krytyczne typy narażenia: wyciekłe poświadczenia, w tym zahaszowane hasła, które atakujący mogą odszyfrować; konta i przywileje dostępu sprzedawane na rynkach ciemnego internetu; wycieki informacji opartych na IP, które mogą ujawnić słabości sieci; oraz wrażliwe dane narażone w wyniku wcześniejszych naruszeń. Ale znalezienie tych narażonych miejsc jest tylko pierwszym krokiem.

Następnie mapujemy wszystko z powrotem do tego, co nazywamy grafem powierzchni ataku. To jest miejsce, w którym kontekst staje się wszystkim. Zamiast podania tylko listy słabości, jak robią to konwencjonalne rozwiązania EASM, pokazujemy zespołom bezpieczeństwa dokładnie, jak narażenia z ciemnego internetu przecinają się z ich istniejącą infrastrukturą. To pozwala zespołom bezpieczeństwa zobaczyć nie tylko, gdzie ich dane się znalazły, ale również dokładnie, gdzie muszą skoncentrować swoje wysiłki bezpieczeństwa następnym razem.

Wyobraź sobie to jako budowanie strategicznej mapy, a nie tylko uruchamianie skanowania bezpieczeństwa. Nakładając ryzyka z ciemnego internetu na Twoją rzeczywistą powierzchnię ataku, zapewniamy zespołom bezpieczeństwa klarowny, działający widok ich najbardziej krytycznych luk w zabezpieczeniach. To kontekstowe zrozumienie jest niezbędne do efektywnej priorytetyzacji wysiłków naprawczych i zapewnienia szybkiej, ukierunkowanej odpowiedzi na pojawiające się zagrożenia.

Priorytetyzacja ryzyka jest dużym wyzwaniem dla zespołów bezpieczeństwa. Jak CyCognito różnicuje się między krytycznymi a niekrytycznymi słabościami?

Priorytetyzujemy słabości, rozumiejąc ich kontekst w ramach całego ekosystemu bezpieczeństwa organizacji. Nie wystarczy wiedzieć, że poświadczenie zostało narażone lub punkt dostępu jest podatny – musimy zrozumieć, co to narażenie oznacza pod względem potencjalnego wpływu, a ten wpływ może się różnić w zależności od kontekstu biznesowego aktywu. Zwracamy szczególną uwagę na poświadczenia dostępu uprzywilejowanego, konta administracyjne i punkty dostępu VPN, ponieważ często reprezentują one największe ryzyko dla ruchu wewnątrz systemów. Nakładając te narażenia z powrotem na nasz graf powierzchni ataku, możemy pokazać zespołom bezpieczeństwa, które słabości stanowią największe ryzyko dla ich najbardziej krytycznych aktywów. To pomaga im skoncentrować swoje ograniczone zasoby tam, gdzie będą miały największy wpływ.

Jak widzisz ewolucję bezpieczeństwa w ciągu najbliższych pięciu lat, a jaka rolę odegra AI w ofensywie i defensywie?

Jesteśmy w trakcie fundamentalnej zmiany w krajobrazie bezpieczeństwa, w dużej mierze napędzanej przez AI. Po stronie ofensywy widzimy już, jak AI przyspiesza skalę i złożoność ataków w sposób, który byłby niemożliwy kilka lat temu. Nowe narzędzia AI zaprojektowane specjalnie do cyberprzestępczości, takie jak WormGPT i FraudGPT, pojawiają się w szybkim tempie, a widzimy również, jak legitymne platformy AI są naruszane lub „wyłamywane” do celów malwersatywnych.

Po stronie defensywnej AI nie jest już tylko przewagą – staje się koniecznością. Szybkość i skala nowoczesnych ataków oznaczają, że tradycyjna, wyłącznie ludzka analiza po prostu nie może nadążyć. AI jest niezbędne do monitorowania zagrożeń w skali, analizy aktywności na ciemnym internecie i zapewniania zdolności do szybkiej odpowiedzi, której wymaga nowoczesne bezpieczeństwo. Ale chcę podkreślić, że technologia sama w sobie nie jest odpowiedzią. Organizacje, które będą najbardziej skuteczne w nawigowaniu przez ten nowy krajobraz, są tymi, które połączą zaawansowane możliwości AI z proaktywnymi strategiami bezpieczeństwa i głębokim zrozumieniem swojej rozszerzonej powierzchni ataku. Najbliższe pięć lat będzie o znalezieniu równowagi między potężnymi narzędziami AI a mądrymi, strategicznymi planami bezpieczeństwa.

Dziękuję za wspaniały wywiad, czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić CyCognito.

mm

Antoine jest wizjonerskim liderem i współzałożycielem Unite.AI, z niezachwianą pasją do kształtowania i promowania przyszłości sztucznej inteligencji i robotyki. Jako serialowy przedsiębiorca, uważa, że sztuczna inteligencja będzie tak samo przełomowa dla społeczeństwa, jak elektryczność, i często zachwycany jest potencjałem technologie przełomowych i AGI. Jako futurysta, poświęca się badaniu, jak te innowacje ukształtują nasz świat. Ponadto jest założycielem Securities.io, platformy skupiającej się na inwestowaniu w najnowocześniejsze technologie, które przeobrażają przyszłość i zmieniają całe sektory.