Роб Гурзеев, генеральный директор и сооснователь CyCognito – Интервью

Роб Гурзеев, генеральный директор и сооснователь CyCognito, возглавлял разработку решений по безопасности для частного сектора и разведывательных агентств.

До основания CyCognito он был директором по безопасности и руководителем отдела исследований и разработок в C4 Security (приобретенной компанией Elbit Systems) и техническим директором отдела продукции 8200-го корпуса израильской разведки. Награды, которые он получил как офицер израильской армии обороны, включали награду за отличие, премию за творческое мышление и награду “Источник жизни”.

CyCognito была основана ветеранами национальных разведывательных агентств, которые понимают, как атакующие используют слепые зоны, и опытным менеджментом из некоторых из наиболее доверенных кибербезопасных компаний.

Что изначально привлекло вас к кибербезопасности?

Я впервые заинтересовался технологиями около 13 или 14 лет. Я начал посещать IRC-каналы с людьми, интересующимися технологиями и тем, что называлось “хакингом” в то время.

Люди в то время экспериментировали со всеми видами интересных вещей, таких как криптография в приложениях для обмена сообщениями. Они также экспериментировали с обменом файлами. Дети шутили над своими друзьями, отправляя исполняемые файлы, которые вызывали смешное действие. Если подумать, это было основой для того, что мы сегодня называем “социальной инженерной” атакой.

Все это заставило меня подумать: что если человек с плохими намерениями получит доступ к этой технологии для злонамеренных целей?

Эти ранние переживания стали началом моей карьеры в области безопасности. В конечном итоге я оказался в израильском подразделении 8200-й разведки, занимаясь разведкой, и позже стал сооснователем CyCognito.

Можете ли вы рассказать историю создания CyCognito?

CyCognito была основана на осознании того, что атакующие всегда опережают защитников. Они умны, безжалостны и всегда ищут путь наименьшего сопротивления. И хотя атакующим нужно только одно слабое место, чтобы проникнуть, команды безопасности должны защитить все возможные точки входа в постоянно растущую и эволюционирующую поверхность атаки. Это довольно сложная задача.

Чтобы усугубить проблему, большинство организаций имеют потенциальные точки входа, которые не видны командам безопасности, но легко обнаруживаются злоумышленниками.

Однажды я сел с моим сооснователем, Димой Потехиным, и мы решили изменить парадигму, вместо того, чтобы развертывать агенты или инструктировать сканер портов для сканирования нескольких известных диапазонов IP-адресов, мы создали решение, которое работает как мировой класс атакующего, то есть оно начинается, зная только имя компании, и затем идентифицирует активы, которые наиболее подвержены риску, и наиболее заманчивые открытые пути.

Мы хотели смоделировать операцию атакующего, начиная с первого шага, где атакующий знает только имя компании и его цель – получить доступ к конфиденциальным данным.

Итак, в 2017 году мы взяли наш опыт национальных разведывательных агентств и начали это с миссией помощи организациям предотвратить нарушения, постоянно картографируя их внешнюю поверхность атаки и находя пути наименьшего сопротивления во внутренние сети. Это требовало использования не только передовых знаний по кибербезопасности, но и современных технологий, которые еще редко используются в нашей отрасли, таких как байесовские модели машинного обучения, LLM, NLP и графические модели данных.

Сегодня мы помогаем развивающимся и крупным глобальным компаниям из списка Global 100 защитить свою поверхность атаки от растущих угроз. Некоторые из наших клиентов включают Colgate-Palmolive, государство Калифорния, Berlitz, Hitachi, Tesco, чтобы назвать несколько.

Что такое внешнее управление поверхностью атаки?

Учебная определение внешнего управления поверхностью атаки (EASM) относится к процессам и технологиям, используемым для выявления, оценки и управления экспозицией цифровых активов организации, доступных или видимых из интернета.

Внешние поверхности атаки обширны и сложны. Одна организация может иметь сотни и тысячи систем, приложений, облачных экземпляров, цепочек поставок, устройств IoT и данных, экспонированных в Интернете – часто простирающихся на дочерние компании, несколько облаков и активы, управляемые третьими сторонами.

Команды безопасности имеют ограниченную возможность обнаружить эти активы. Они завалены тысячами предупреждений, но у них нет контекста, чтобы знать, какие из них критически важны и какие следует отдавать приоритет.

Изоляция真正 критических проблем сначала требует видимости поверхности атаки, но что более важно, она требует глубокого понимания контекста и цели затронутых активов. Как только это будет установлено, команды безопасности могут рассчитать пути атаки и предсказать, какие конкретные угрозы имеют значение – те, которые, вероятно, вызовут серьезный ущерб бизнесу. Затем организация может правильно расставить приоритеты и устранить максимальный эффект.

Можете ли вы поделиться своим мнением о важности мышления как атакующего для обнаружения неизвестных рисков?

Согласно отчету Verizon DBIR, 82% атак исходят извне. Кроме того, большинство нарушений, согласно Gartner, связаны с неизвестными и неуправляемыми активами.

Это именно почему принятие подхода “снаружи внутрь” для оценки поверхности атаки имеет решающее значение для оценки и управления кибербезопасным риском. Вступая в роль атакующего, предоставляется объективный взгляд на коронные драгоценности, которые живут внутри систем, и, что более важно, которые из них подвержены риску и уязвимы.

Как я упоминал ранее, поверхности атаки постоянно растут и сложны. Большинство команд безопасности не имеют полной видимости экспонированных и уязвимых активов. Атакующие знают это! И они будут неустанно исследовать поверхность атаки, охотясь за путем наименьшего сопротивления и одним пробелом, который команды безопасности не контролируют. К сожалению, одному пробелу достаточно, чтобы проникнуть. Тем временем команды безопасности имеют сложную задачу выявления экспозиций, которые делают их организации наиболее уязвимыми, и принятия мер для защиты этих точек входа.

Как часто вы выявляете угрозы, связанные с внешними приложениями и API, которые просто не отслеживаются или не тестируются?

Часто, чем мы хотели бы. Мы недавно провели исследование, показывающее уязвимые публичные облачные, мобильные и веб-приложения, экспонирующие конфиденциальные данные, включая не защищенные API и личную идентифицирующую информацию (PII). Вот некоторые из ключевых результатов:

• 74 процента активов с PII уязвимы как минимум к одному известному основному эксплойту, и одна из десяти имеет как минимум одну легко эксплуатируемую проблему.
• 70 процентов веб-приложений имеют серьезные пробелы в безопасности, такие как отсутствие защиты WAF или зашифрованного соединения, такого как HTTPS, в то время как 25 процентов всех веб-приложений (веб-апп) не имели ни того, ни другого.
• Типичная глобальная корпорация имеет более 12 тысяч веб-апп, которые включают API, приложения SaaS, серверы и базы данных, среди прочего. Как минимум 30 процентов этих веб-апп (более 3 000 активов) имеют как минимум одну эксплуатируемую или высокорисковую уязвимость. Половина этих потенциально уязвимых веб-апп размещена в облаке.
• 98 процентов веб-апп потенциально не соответствуют требованиям GDPR из-за отсутствия возможности для пользователей отказаться от файлов cookie.

Наше исследование, кроме того, есть многочисленные доказательства этих угроз сегодня. Эксплойт MOVEit является примером, который все еще продолжается.

Можете ли вы обсудить важность консолидации процессов и инструментов для тестирования и управления поверхностью атаки?

“Стековый разрастание” – это то, от чего страдают большинство предприятий. Это особенно выражено в безопасности. Большинство организаций имеют разрозненные, не связанные между собой инструменты безопасности. Была такая мантра в безопасности, что больше платформ устранит пробелы в безопасности. Но вместо этого это открывает дверь для человеческих ошибок, избыточности, увеличения операционной нагрузки и слепых зон.

CyCognito была построена для выполнения работы многих устаревших точечных решений. Мы помогаем компаниям консолидировать свой стек, чтобы они могли сосредоточиться на выполнении своей работы.

Можете ли вы рассказать о некоторых способах, которыми злоумышленники используют LLM и генеративный ИИ для масштабирования атак?

Мы еще не видели крупномасштабных атак, использующих LLM, но это только вопрос времени. С моей точки зрения, LLM имеет потенциал обеспечить большую масштабируемость, объем, охват и скорость различных стадий кибератак.

Например, LLM имеет потенциал ускорить автоматическое разведывание, где атакующие могут картографировать и обнаруживать активы, бренды и услуги организации, а также конфиденциальную информацию, такую как экспонированные учетные данные. LLM также может помочь в обнаружении уязвимостей, выявлении слабостей в целевой сети и облегчить эксплуатацию с помощью методов, таких как фишинг или атаки на водяные дыры для получения доступа и эксплуатации уязвимостей сети. LLM также может помочь в краже данных, копируя или эксфильтруя конфиденциальные данные из сети.

Кроме того, потребительские приложения на основе LLM, наиболее заметные из которых – ChatGPT, представляют угрозу, поскольку они могут быть использованы как намеренно, так и непреднамеренно сотрудниками для утечки интеллектуальной собственности компании.

Кампании по фишингу предоставляют еще один пример использования. Высококачественный фишинг основан на глубоком понимании цели; именно это могут хорошо сделать большие языковые модели, поскольку они обрабатывают большие объемы данных очень быстро и настраивают сообщения эффективно.

Можете ли вы рассказать, как предприятия могут использовать генеративный ИИ для защиты себя?

Отличный вопрос. Это хорошая новость во всем этом. Если атакующие могут использовать генеративный ИИ, то могут и команды безопасности. Генеративный ИИ может помочь командам безопасности проводить разведку на своих собственных компаниях и устранять уязвимости. Они могут быстрее и более эффективно сканировать и картографировать свою собственную поверхность атаки, чтобы найти экспонированные конфиденциальные активы, такие как личная идентифицирующая информация (PII), файлы и т. д.

Генеративный ИИ может существенно помочь понять бизнес-контекст любого актива. Например, он может помочь признать базу данных, содержащую PII, и сыграть роль в транзакциях по выручке. Это чрезвычайно ценно.

Генеративный ИИ также может определить бизнес-цель актива. Например, он может помочь различать платежный механизм, критическую базу данных и случайное устройство – и классифицировать его профиль риска. Это, в свою очередь, позволяет командам безопасности лучше расставлять приоритеты рисков. Без возможности расставлять приоритеты команды безопасности должны просеивать бесконечные уязвимости, помеченные как “срочные”, когда большинство из них на самом деле не являются критически важными для миссии.

Почему предприятиям следует быть осторожными, слишком сильно полагаясь на генеративный ИИ для оборонительных целей?

Генеративный ИИ имеет большой потенциал, но есть внутренние проблемы, которые нам нужно решить как отрасли.

Большая картина для меня заключается в том, что модели генеративного ИИ могут сделать команды безопасности самодовольными. Притяжение большей автоматизации велико, но ручной обзор имеет решающее значение, учитывая состояние моделей генеративного ИИ сегодня. Например, модели генеративного ИИ “галлюцинируют”. Другими словами, они производят неточные выходные данные.

Кроме того, модели генеративного ИИ (LLM, в частности) не понимают контекст, поскольку они построены на статистическом, временном текстовом анализе – что также может привести к дальнейшим “галлюцинациям”, которые очень трудно обнаружить.

Я понимаю, что команды безопасности все чаще ищут способы “делать больше с меньшим” – но человеческий надзор всегда будет частью процесса безопасности.

Можете ли вы рассказать, как CyCognito предлагает автоматизированное внешнее управление поверхностью атаки и непрерывное тестирование?

Не звучит ли это как сломанная запись, но, как я упоминал ранее, поверхности атаки обширны и сложны – и они продолжают расти.

Мы построили CyCognito для непрерывной картографии всей поверхности атаки за пределами корпоративного ядра, чтобы охватить дочерние компании, приобретения, совместные предприятия и бренд-операции – и привязать каждую к ее законному владельцу.

Есть несколько технических возможностей, которые стоит выделить.

В процессе открытия поверхности атаки в черном ящике наша платформа использует LLM как один из десятков источников “гипотез об атрибуции”, которые наши байесовские модели машинного обучения анализируют для определения бизнес-структуры организации (до 1000 бизнес-единиц) и назначения активов владельцам (в масштабе миллионов ИТ-активов) полностью автоматически.

Платформа также ускоряет классификацию активов с помощью обработки естественного языка (NLP) и евристических алгоритмов – задачи, которая обычно дорога и требует много ресурсов.

Мы также предоставляем бизнес-контекст, необходимый для эффективного расстановки приоритетов рисков. Даже если уязвимость затрагивает тысячу машин, CyCognito может определить наиболее критическую из них, предоставляя информацию о уровне экспозиции, бизнес-значимости, эксплуатируемости и разговорах хакеров.

Мы принимаем целостный подход к внешнему управлению поверхностью атаки, который преодолевает ловушку одинаковой срочности всех критических проблем. Мы позволяем командам безопасности расставлять приоритеты真正 критических векторов, экономя им время и деньги.

Спасибо за отличное интервью, читателям, которые хотят узнать больше, следует посетить CyCognito.