Nabil Hannan，NetSPI 的 Field CISO – 采访系列

Nabil Hannan 是 NetSPI 的 Field CISO（首席信息安全官）。他领导公司的咨询实践，专注于帮助客户解决网络安全评估和威胁及漏洞管理需求。他的背景是建立和改进有效的软件安全计划，在金融服务领域具有深厚的专业知识。

NetSPI 是一种主动的安全解决方案，旨在发现、优先级和修复最关键的安全漏洞。它通过使组织能够以比以往任何时候都更快、更清晰、更大规模的方式主动应对网络安全威胁，帮助组织保护其业务最重要的资产。

您能否分享一下您在网络安全方面的经历，以及是什么让您加入 NetSPI？

我从七岁开始编程。技术一直让我感到兴奋，因为我想知道事物的工作原理，这导致我在很小的时候就开始拆卸和重新组装很多东西。

在大学学习计算机科学期间，我开始在 Blackberry 公司担任产品经理，负责 Blackberry Messenger 平台，并对硬件设计产生了兴趣。从那里，我被一家小公司招募到应用安全领域——我对此非常热情，以至于我愿意搬到一个新国家去工作。

当我回顾我的网络安全之旅时，它是从底层开始的。我从做一名初级顾问开始，进行渗透测试、代码审查、威胁建模、硬件测试和其他任务。最终，我在 Cigital 公司建立了一个渗透测试服务，后来被 Synopsys 收购。所有这些让我来到了 NetSPI，以支持其在主动安全领域的增长轨迹。

您在金融服务领域的经验如何影响您对网络安全的方法？

在 Synopsys 工作期间，我帮助建立了向金融服务行业销售安全服务和产品的策略。因此，虽然我没有直接在金融服务领域工作，但我负责为该行业建立策略，这需要深入了解该行业的驱动因素和痛点。

在技术领域成长过程中，我花了大量时间与全球各大金融服务组织合作。拥有这种背景，我专注于开发针对金融服务行业的策略和服务。

我从金融服务领域获得的最大收获是，黑客会去哪里有钱。黑客不是为了娱乐；这是他们的收入来源。他们会去哪里有最大的经济影响——无论是实际偷钱还是对组织造成经济损害。这种心态帮助我理解了网络安全，并使我在当前的 Field CISO 角色中取得了成功。

随着网络威胁的迅速演变，组织今天面临的最大网络安全挑战是什么？

今天最大的挑战是每个组织需要以多快的速度运作，以应对不断演变的威胁并跟上新兴技术，如人工智能的步伐。历史上，软件开发采用的是瀑布式方法，这与今天的快速部署相比，并不是一个快速的过程。现在，我们有了更敏捷的方法，组织正在尝试快速构建和发布软件，并以更小的增量进行实施。

过去十年中，安全生态系统发生了快速的变化和加速。这对大型组织来说引发了很多问题，例如影子 IT，使得难以洞察攻击面和资产。您无法保护您看不到的东西。

云采用加剧了这种情况——更多的人采用、接受和迁移到云端，软件系统和资产变得更加弹性。软件和硬件的弹性扩展和收缩能力使得变化更加困难。随着系统具有弹性，资产所有权更频繁地发生变化，并为恶意行为者提供了机会来找到进入组织的途径。

您认为网络安全格局在未来五年内将如何变化？

在未来五年内，内部和外部资产的可见性需求将继续增长，并将改变客户与供应商的合作方式。我们在 NetSPI 已经高度关注这一领域。在六月，我们 收购了一种叫做 Hubble Technology 的网络资产攻击面管理（CAASM）和网络安全姿态管理解决方案。将 CAASM 添加到我们的外部攻击面管理（EASM）功能中，使我们的客户能够持续识别新的资产和风险，修复安全控制盲点，并通过提供网络资产的准确清单（包括外部和内部资产）来获得整体的安全姿态视图——这是该行业以前所缺乏的。

将我们的 EASM 和 CAASM 功能合并到 NetSPI 平台中，使我们能够为客户提供他们需要的工具来解决持续的可见性挑战。它还增强了准确确定与资产和漏洞相关的风险的能力。此外，它帮助安全领导者评估其最重要资产在这些风险方面的暴露程度。

NetSPI 的漏洞管理方法与行业其他公司相比如何不同？

最近，我们 推出了一个新的统一主动安全平台，该平台将我们的渗透测试即服务（PTaaS）、外部攻击面管理（EASM）、网络资产攻击面管理（CAASM）和漏洞利用模拟（BAS）技术整合到一个解决方案中。通过 NetSPI 平台，客户可以以比以往任何时候都更清晰、更快、更大的规模来主动应对网络安全。这一新的主动方法反映了我们在行业中看到的趋势，即从分散的点解决方案转向更全面的端到端平台服务。

NetSPI 如何使用人工智能来增强网络安全措施？

像任何网络安全领导者都会告诉你的，人工智能有可能催化业务成功，但它也可能为对手攻击提供燃料。在 NetSPI，我们正在尝试通过实施人工智能/机器学习渗透测试模型来帮助客户保持领先地位，该模型可以从构思到实施确保安全性，并通过识别、分析和减轻对机器学习系统（尤其是大型语言模型）的对手攻击相关风险来实现这一点。在网络安全领域，人工智能能力增强了我们实时监测和修复威胁的能力。

网络安全中与人工智能相关的潜在风险是什么，以及如何减轻这些风险？

根据我与其他网络安全领导者的对话，人工智能最大的风险是组织缺乏基本的数据和网络安全卫生。正如我们所知，人工智能解决方案的有效性取决于其训练数据。如果组织无法掌握数据清单和分类，那么他们的模型将受到影响，并容易出现安全漏洞。

当人们看到人工智能中的“智能”一词时，他们会将其误解为“固有智能”或某种形式的意识。但事实并非如此。安全从业者仍需要编程人工智能模型，使其了解什么资产是个人、隐私、公共等。

没有这些机制，人工智能可能会陷入混乱。在我看来，这是 CISO 最大的担忧。

您能否详细说明 NetSPI 的渗透测试即服务（PTaaS）如何帮助组织维持强大的安全性？

渗透测试对于组织的整体网络安全姿态至关重要，因为它为团队提供了有关特定于其业务的漏洞的更大背景。

渗透测试也是一个很好的测试其他安全控制（如代码审查、威胁建模、静态应用程序安全测试（SAST）、动态应用程序安全测试（DAST）、交互式应用程序安全测试（IAST）等）的有效性。

定期进行渗透测试可以促进安全专家之间的实时合作，这可以带来更深入的数据见解。在一次成功的渗透测试之后，组织将对其 IT 环境中哪些部分更容易受到泄露有更好的见解。当渗透测试检测到漏洞时，它通常会突出早期控制中的差距或缺失的控制。他们还将了解如何实现合规性，关注哪些补救工作，以及 IT 和安全团队如何合作以掌握潜在的业务影响。

通过与专门从事 PTaaS 的供应商合作以补充强大的安全姿态，组织可以更好地预防安全事件。

您如何将技术和人工专业知识相结合，提供全面安全解决方案？

NetSPI 认为，需要同时具备技术和人力来制定一个全面的策略，以应对已知和未知的威胁。人类必须参与验证、优先级和上下文化工具生成的输出。我们不在乎提供假阳性或产生噪音，导致客户花费更多时间确定什么真正重要。换句话说，您可以拥有很好的技术，但您需要有人实际使用它并解释它才能成功。

有很多单调的任务可以由人工智能更快、更准确地完成。 如果可以以可信的方式构建技术，那么这将使我们能够自动执行某些任务，并为安全团队腾出时间，专注于更具创造性和批判性思维的问题，这些是人工智能无法取代的。

您通常会为客户提供什么战略建议来加强他们的网络安全姿态？

人们容易陷入的一个常见陷阱是投资于他们理解的事情。例如，一家公司可能会引入一位具有云安全背景的领导者。自然，他们然后专注于建立一个云安全团队，而不是，例如，合规性、网络安全、应用程序安全等领域，组织可能真正需要支持。

拥有一个更全面的程序，涵盖所有内容更好。然后，您开始构建深度防御，并拥有可以减轻不同组织部分其他故障的控制。构建一个全面的程序比在特定领域投入更多时间、精力和工具更好。

感谢这次精彩的采访，希望了解更多的读者可以访问 NetSPI。