Connect with us

Entrevistas

Nabil Hannan, Field CISO na NetSPI – Série de Entrevistas

mm
Published
Updated

Nabil Hannan é o Field CISO (Chief Information Security Officer) da NetSPI. Ele lidera a prática de consultoria de assessoria da empresa, focando em ajudar os clientes a resolver suas necessidades de avaliação de segurança cibernética e gerenciamento de ameaças e vulnerabilidades. Seu background é em construir e melhorar iniciativas de segurança de software eficazes, com profunda especialização no setor de serviços financeiros.

NetSPI é uma solução de segurança proativa projetada para descobrir, priorizar e remediar as vulnerabilidades de segurança mais críticas. Ela ajuda as organizações a proteger o que é mais importante para seus negócios, permitindo uma abordagem proativa de segurança cibernética com maior clareza, velocidade e escala do que nunca antes.

Pode compartilhar um pouco sobre sua jornada em segurança cibernética e o que o levou a se juntar à NetSPI?

Eu venho programando desde os sete anos de idade. A tecnologia sempre me fascinou porque eu queria saber como as coisas funcionavam, o que me levou a desmontar e aprender a remontar muitas coisas desde cedo.

Enquanto estudava ciência da computação na faculdade, comecei minha carreira na Blackberry, onde trabalhei como gerente de produto para a plataforma Blackberry Messenger e me interessei pelo design de hardware. A partir daí, fui recrutado para ingressar em uma pequena empresa no domínio de segurança de aplicativos – eu estava tão apaixonado por isso que estava disposto a me mudar para um novo país para conseguir o emprego.

Quando considero minha jornada em segurança cibernética, ela começou de baixo para cima. Eu comecei como consultor associado fazendo testes de penetração, revisão de código, modelagem de ameaças, testes de hardware e qualquer outra coisa que meus chefes me pedissem. Eventualmente, trabalhei meu caminho para construir um serviço de teste de penetração para a Cigital, que mais tarde foi adquirida pela Synopsys. Tudo isso me levou à NetSPI para ajudar a apoiar sua trajetória de crescimento no espaço de segurança proativa.

Como sua experiência no setor de serviços financeiros moldou sua abordagem à segurança cibernética?

Enquanto trabalhava na Synopsys, ajudei a construir a estratégia para vender serviços e produtos de segurança para a indústria de serviços financeiros. Então, embora eu não estivesse trabalhando diretamente nos serviços financeiros, eu era responsável por construir estratégias para esse setor, o que exigia mergulhar fundo nesse vertical para entender seus drivers e pontos de dor.

Crescendo no espaço tecnológico, passei bastante tempo trabalhando com grandes organizações de serviços financeiros em todo o mundo. Com esse background, concentrei meu tempo e habilidades em desenvolver uma estratégia para direcionar e construir serviços personalizados para a indústria de serviços financeiros como um todo.

A maior coisa que aprendi com a exposição ao setor de serviços financeiros é que os hackers vão onde o dinheiro está. Os hackers não estão nisso apenas por diversão; é sua fonte de renda. Eles vão onde há o maior impacto financeiro – seja roubando dinheiro de alguma forma ou causando danos financeiros a uma organização. Essa mentalidade ajudou a moldar minha compreensão da segurança cibernética e me levou a ser bem-sucedido em meu papel atual como Field CISO.

Com as ameaças cibernéticas evoluindo rapidamente, quais são os maiores desafios de segurança cibernética que as organizações enfrentam hoje?

O maior desafio hoje é a velocidade com que todas as organizações precisam operar para combater ameaças em evolução e manter o ritmo com a tecnologia emergente, como a IA. Historicamente, havia uma metodologia em cascata para construir software, que não era necessariamente um processo rápido em comparação com a rapidez com que o software é implantado hoje. Agora, temos uma metodologia mais ágil, onde as organizações estão tentando construir software e liberá-lo para produção o mais rápido possível e fazer implementações menores.

Os últimos 10 anos mostraram uma mudança e aceleração rápidas no ecossistema de segurança. Isso está causando muitos problemas para grandes organizações, como a TI sombra, tornando mais difícil obter visibilidade sobre sua superfície de ataque e ativos. Você não pode proteger o que não pode ver.

A adoção de nuvem adiciona a esse fogo – quanto mais as pessoas adaptam, adotam e migram para a nuvem, mais elásticos os sistemas e ativos de software se tornam. A capacidade de dimensionar software e hardware para cima e para baixo de forma elástica torna a mudança ainda mais difícil de gerenciar. À medida que os sistemas são construídos com potencial elástico, você causa desafios onde os ativos mudam de proprietário com mais frequência e criam oportunidades para atores mal-intencionados encontrarem maneiras de entrar em uma organização.

Como você acha que o cenário de segurança cibernética mudará nos próximos cinco anos?

A necessidade de maior visibilidade tanto para ativos internos quanto externos continuará a ser importante nos próximos cinco anos e mudará como os clientes trabalham com fornecedores. Já é uma área em que estamos fortemente focados na NetSPI. Em junho, adquirimos uma solução de gerenciamento de superfície de ataque de ativos cibernéticos (CAASM) e gerenciamento de postura de segurança cibernética chamada Hubble Technology. Adicionar CAASM às nossas capacidades de gerenciamento de superfície de ataque externa (EASM) estabelecidas permite que nossos clientes continuamente identifiquem novos ativos e riscos, remediem lacunas de controle de segurança e obtenham uma visão holística de sua postura de segurança, fornecendo um inventário preciso de ativos cibernéticos, tanto internos quanto externos – algo que faltava na indústria até este ponto.

Mesclar nossas capacidades EASM e CAASM na Plataforma NetSPI nos permite fornecer aos clientes as ferramentas de que precisam para abordar os desafios de visibilidade contínua. Isso também melhora a capacidade de priorizar com precisão os riscos associados a ativos e vulnerabilidades. Além disso, ajuda os líderes de segurança a avaliar a exposição de seus ativos mais importantes em relação a esses riscos.

Como a abordagem da NetSPI para o gerenciamento de vulnerabilidades difere das outras empresas da indústria?

Recentemente, lançamos uma nova plataforma de segurança proativa unificada, que casa nossas tecnologias de Teste de Penetração como Serviço (PTaaS), Gerenciamento de Superfície de Ataque Externa (EASM), Gerenciamento de Superfície de Ataque de Ativos Cibernéticos (CAASM) e Simulação de Acesso e Ataque (BAS) em uma única solução. Com a Plataforma NetSPI, os clientes podem adotar uma abordagem proativa de segurança cibernética com mais clareza, velocidade e escala do que nunca antes. Essa nova abordagem proativa espelha tendências que estamos vendo na indústria, e a mudança das soluções pontuais para a adoção rápida de serviços de plataforma mais holísticos e de ponta a ponta.

Como o AI está sendo usado para melhorar as medidas de segurança cibernética na NetSPI?

Como qualquer líder de segurança cibernética dirá, o AI tem o potencial de catalisar o sucesso dos negócios, mas também tem o potencial de alimentar ataques adversários. Na NetSPI, estamos tentando ajudar nossos clientes a permanecer à frente da curva, implementando modelos de teste de penetração de AI/ML, o que garante que a segurança seja considerada desde a concepção até a implementação, identificando, analisando e mitigando os riscos associados a ataques adversários em sistemas de ML, com ênfase em LLMs. Na segurança cibernética, as capacidades de AI melhoraram e adotaram nossa capacidade de monitorar e remediar ameaças em tempo real.

Quais são os riscos potenciais associados ao AI na segurança cibernética, e como eles podem ser mitigados?

Com base em conversas que estou tendo com outros líderes de segurança cibernética, o maior risco do AI é a falta de higiene básica de dados e segurança cibernética das organizações. Como sabemos, as soluções de AI são apenas tão eficazes quanto os dados nos quais os modelos são treinados. Se as organizações não têm um firme domínio sobre o inventário e classificação de dados, então há o risco de que seus modelos sofrerão e estarão propensos a lacunas de segurança.

Quando as pessoas veem a palavra “inteligência” no AI, elas a confundem com ser “intrinsicamente inteligente” ou até mesmo ter algum tipo de consciência. Mas isso não é o caso. Os profissionais de segurança ainda precisam programar os modelos de AI para que eles entendam o que os ativos são pessoais, privados, públicos, e assim por diante. Sem esses mecanismos, o AI pode descer ao caos. Isso, na minha opinião, é a maior preocupação entre os CISOs no momento.

Pode elaborar sobre como o Teste de Penetração como Serviço (PTaaS) da NetSPI ajuda as organizações a manter uma segurança robusta?

O teste de penetração é fundamental para a postura de segurança cibernética geral de uma organização, pois fornece às equipes um contexto maior sobre as vulnerabilidades específicas de seus negócios.

O teste de penetração também é um excelente teste de litmus para ver quão eficazes outros controles de segurança, como revisão de código, modelagem de ameaças, Teste de Segurança de Aplicativos Estáticos (SAST), Teste de Segurança de Aplicativos Dinâmicos (DAST), Teste de Segurança de Aplicativos Interativos (IAST) e outros que você pode ter implementado anteriormente, são.

O teste de penetração regular fomenta a colaboração em tempo real com especialistas em segurança, o que pode trazer outra perspectiva que adiciona mais profundidade aos dados. No final de um teste de penetração bem-sucedido, as organizações terão uma visão melhor sobre quais partes de seu ambiente de TI são mais suscetíveis a violações. Quando um teste de penetração detecta vulnerabilidades, elas geralmente destacam lacunas nos controles anteriores no ciclo de vida ou controles que estão faltando por completo. Elas também entenderão como alcançar a conformidade, onde se concentrar nos esforços de remediação e como as equipes de TI e segurança podem trabalhar juntas para permanecer por cima das implicações comerciais potenciais.

Ao trabalhar com fornecedores que se especializam em PTaaS para complementar uma postura de segurança robusta, as organizações podem estar mais preparadas para prevenir proativamente incidentes de segurança.

Como você integra tanto a tecnologia quanto a expertise humana para fornecer soluções de segurança abrangentes?

A NetSPI acredita que você precisa de ambos, tecnologia e humanos, para fornecer uma estratégia sólida para permanecer à frente de ameaças conhecidas e desconhecidas. Os humanos devem estar no loop para validar, priorizar e contextualizar as saídas que as ferramentas geram. Não estamos no negócio de dar às pessoas falsos positivos ou gerar ruído, levando-as a gastar mais tempo descobrindo o que realmente importa. Em outras palavras, você pode ter uma ótima tecnologia, mas precisa de alguém para realmente usá-la e interpretá-la para ser bem-sucedido.

Há muitas tarefas mundanas que o AI pode fazer mais rápido e com mais precisão do que os humanos. Se a tecnologia puder ser construída de forma confiável, então isso permitirá que automatem certas tarefas e libere tempo para as equipes de segurança se concentrarem em pensamento criativo e resolução de problemas críticos que o AI simplesmente não pode substituir.

Qual é o conselho estratégico que você normalmente oferece aos clientes para fortalecer sua postura de segurança cibernética?

Uma armadilha comum em que as pessoas caem é investir em coisas que elas entendem. Por exemplo, uma empresa pode trazer um líder com experiência em segurança de nuvem. Naturalmente, eles então se concentram em construir uma equipe de segurança de nuvem, em vez de, digamos, conformidade, segurança de rede, segurança de aplicativos, e assim por diante, onde a organização pode realmente precisar de apoio.

É melhor ter um programa mais abrangente que se concentre em tudo de forma holística. Então, você começa a construir defesa em profundidade e tem controles que mitigam outras falhas que você pode ter em diferentes partes da organização. Construir um programa abrangente é melhor do que investir mais tempo, esforço e ferramentas em um setor particular.

Obrigado pela ótima entrevista, leitores que desejam aprender mais devem visitar NetSPI

Related Topics:
mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.