Wywiady dotyczące bezpieczeństwa: Alex Yampolskiy, SecurityScorecard


Gdyby nie biegł Karta wyników bezpieczeństwa– mówi Alex Yampolskiy, prawdopodobnie siedziałby w parku w Nowym Jorku i grał w szachy. Nowy Jork jest jego domem od wielu lat, odkąd jego rosyjsko-ukraińska rodzina wyemigrowała do Stanów Zjednoczonych, gdy był nastolatkiem.

Już jako nastolatek cudowne szachowe dziecko zostało ukąszone przez błąd cyberbezpieczeństwa. Podróż Yampolskiy’ego do branży bezpieczeństwa rozpoczęła się, gdy miał 12 lat, kiedy przyjaciel wsunął mu dyskietkę 3,5 cala zawierającą kopię klasycznej gry wideo Książę Persji. I wirus.

„Wydaje mi się, że w dzisiejszych czasach ludzie nie pamiętają, czym są dyskietki. Ale kiedy włożyłem to do komputera i zainfekowałem wirusem, pomyślałem: muszę się dowiedzieć, co to do cholery jest. Jak sprawić, by komputery działały nieprawidłowo? Chciałem zemścić się na przyjacielu” – mówi.

„I zacząłem uczyć się łamać zabezpieczenia, włamywać się do komputerów. A potem naprawdę zakochałem się w cyberbezpieczeństwie.”

Po przybyciu do Stanów Zjednoczonych Yampolskiy mógł realizować swoje zainteresowania. Poszedł na studia, a później obronił doktorat kryptografia z Yale University, gdzie spędził pięć lat kończąc swoją pracę magisterską, po drodze prowadząc badania nad koncepcjami, które są obecnie częścią blockchain technologia.

„Chciałem budować rzeczy i ożywiać je, a nie tylko publikować artykuły akademickie, więc wszedłem do branży” – mówi Yampolskiy. „Pracowałem w takich firmach jak Oracle i Goldman Sachs. A potem zostałem dyrektorem ds. bezpieczeństwa [CSO] w firmie o nazwie Gilt Groupe [a US-based members-only online retailer]i tam narodził się pomysł SecurityScorecard.”

Reklama

Tak naprawdę cała działalność miała swoją genezę podczas zakupów w Gilt Groupe, gdy Yampolskiy pełnił funkcję CSO.

Wyjaśnia: „Mój zespół marketingowy zarejestrował się w ramach oprogramowania jako usługi [SaaS] produkt pomagający zapobiegać oszustwom w handlu elektronicznym – jeśli jesteś sprzedawcą detalicznym i sprzedajesz towary w Internecie, ludzie będą używać fałszywych kart, aby Cię okraść, dlatego zarejestrowaliśmy się po ten produkt.

„Jednakże” – kontynuuje – „aby było to skuteczne, musieliśmy udostępnić informacje o wszystkich naszych klientach, co napawało mnie niepokojem, więc kazaliśmy im przejść atest. Wypełnili długi kwestionariusz na papierze i stwierdzili, że wykonują świetną robotę.

„Zdałem sobie sprawę, że mogę wykonywać świetną pracę, mogę ciężko pracować jako CSO, a mimo to mogę stracić pracę z powodu okoliczności, na które nie mam wpływu. To było wielkie odkrycie”

Alex Yampolskiy, karta wyników bezpieczeństwa

Chętna do dalszego rozwoju organizacja podpisała umowę zgodnie z linią przerywaną, ale gdy rozpoczął się proces integracji, napotkała poważną przeszkodę.

„Ku mojemu przerażeniu odkryliśmy niezaszyfrowane dane kart kredytowych w ich systemach należących do innych klientów” – mówi. „Dla mnie to była wielka pobudka. Zdałem sobie sprawę, że mogę wykonywać świetną pracę, mogę ciężko pracować jako CSO, a mimo to mogę stracić pracę z powodu okoliczności, na które nie mam wpływu. To było wielkie odkrycie!”

Niekwantyfikowane zależności

Latem 2013 roku Yampolskiy i jego partner biznesowy zaczęli głębiej zastanawiać się nad niezliczoną liczbą zależności od stron trzecich istniejących w przeciętnym przedsiębiorstwie oraz nad tym, jak szeroko udostępniane są dokumenty i dane – dokumenty prawne trafiają do kancelarii prawnej, podatki do księgowego, Twoje własne pliki do usługi przechowywania w chmurze i tak dalej.

Według Yampolskiy każda z tych zależności może skutkować incydentem związanym z bezpieczeństwem cybernetycznym, dzięki któremu Twoja organizacja znajdzie się na pierwszej stronie ogólnokrajowej gazety, a mimo to w świecie bezpieczeństwa w przeszłości nie istniały żadne kluczowe wskaźniki wydajności (KPI). które można wykorzystać do skutecznej oceny ryzyka strony trzeciej.

„Idziesz do lekarza, on mierzy ci ciśnienie krwi. Jeździsz samochodem, masz prędkościomierz. Ze względów bezpieczeństwa nic nie dostaniesz. Dlaczego nie może istnieć KPI pozwalający zmierzyć i określić ilościowo ryzyko? To właśnie ta wiedza skłoniła nas do rozpoczęcia prac nad SecurityScorecard” – mówi.

Jak to działa

W swej istocie platforma SecurityScorecard to baza danych firm ocenianych według różnych czynników ryzyka cybernetycznego, dająca użytkownikom wgląd w stany bezpieczeństwa i profile ryzyka każdej organizacji, z którą prowadzą interesy lub chcą przeprowadzić wyszukiwanie.

Jak obliczane są te wyniki? Po pierwsze, SecurityScorecard przygląda się powierzchni ataku organizacji z zewnątrz, przy użyciu nieinwazyjnych metod skanowania zbierać sygnały na temat organizacji.

„Tak jak spacerując po okolicy i widząc wybite okno lub graffiti na ścianie, tak samo bez wchodzenia do domu można wywnioskować, że być może nie był on dobrze utrzymany w środku. Podobnie w przypadku firm istnieją setki sygnałów, które można wychwycić w sposób nieinwazyjny” – mówi Yampolskiy.

„Prostym przykładem może być to, że patrzysz na witrynę internetową i widzisz na dole witryny informację „prawa autorskie 2005”. Cóż, mamy rok 2024, prawda? Zatem nie jest to luka w zabezpieczeniach, nie można jej wykorzystać, ale właśnie ustaliłeś, że nie aktualizują witryny proaktywnie [so] jak pilnie zamierzają odeprzeć atak innego rodzaju?”

Do tych informacji następnie stosuje model statystyczny oparty na danych historycznych z prawie dziesięciu lat, aby porównać organizację z innymi podmiotami w grupie porównawczej i uzyskać ostateczny wynik. Algorytm, którego używa, jest publikowany publicznieYampolskiy jest wielkim zwolennikiem przejrzystości działania organizacji.

Wysiłek i zasoby potrzebne do jego zbudowania były znaczne i stanowi to ciągłe wyzwanie, mówi Yampolskiy. „W firmie zatrudniamy 600 osób, a około 35% do 40% z nich zajmuje się badaniami i rozwojem. W ciągu ostatnich dziewięciu lat opracowaliśmy technologię, która codziennie zbiera miliardy sygnałów.

„Na przykład prowadzimy jeden z największych na świecie luk w złośliwym oprogramowaniu, gdzie przechwytujemy sygnały o tym, które maszyny są zainfekowane na całym świecie – i musimy mieć pewność, że jest on dokładny i godny zaufania. Wymaga to dużego wysiłku inżynieryjnego. Zbudowanie tego typu technologii nie jest łatwe.”

Czy dane są dokładne? Najwyraźniej tak. „Wykazaliśmy – i udowodniły to na przykład firmy takie jak Marsh McLennan – że firmy ze złym wynikiem są osiem razy bardziej narażone na naruszenie bezpieczeństwa danych niż te z dobrym wynikiem” – mówi.

Ale na tym nie kończy się obsługa. „Nie tylko oceniamy i życzymy powodzenia. Dajemy Ci również zalecenia, w jaki sposób możesz stać się bardziej odporny, [and] umożliwiamy Ci zbieranie wyników i spostrzeżeń oraz integrowanie ich z przepływami pracy” – mówi Yampolskiy.

„Wykazaliśmy, że firmy ze złym wynikiem są osiem razy bardziej narażone na naruszenie bezpieczeństwa danych niż te z dobrym wynikiem”

Aleksandr Yampolskiy, SecurityScorecard

SecurityScorecard integruje się z ponad 100 innymi platformami, aby umożliwić użytkownikom ustalanie i definiowanie wszelkiego rodzaju różnych elementów ich profili ryzyka – na przykład zgodności z przepisami Ogólnego rozporządzenia o ochronie danych (RODO) lub równoważnych przepisów na poziomie stanowym w USA – oraz co najważniejsze, rozumieć kwestie bezpieczeństwa i rozbieżności między dostawcami, które należy uwzględnić w planowaniu ryzyka.

Coraz większe zagrożenia

Kiedy prawie 10 lat temu SecurityScorecard po raz pierwszy wystartował, świat cyberbezpieczeństwa wyglądał zupełnie inaczej niż dzisiaj. Przenieśliśmy się ze świata, w którym bezpieczeństwo było w dużej mierze uważane za domenę ekspertów technicznych i osób zaznajomionych z kulturą hakerską, do świata, w którym ataki ransomware pojawiają się w wiadomościach telewizyjnych w godzinach największej oglądalności, a bezpieczeństwo jest tematem rozmów przy kolacji.

Zdaniem Yampolskiy przyczyniają się do tego trzy główne trendy. Po pierwsze, powierzchnia ataku stała się znacznie bardziej złożona i połączona ze sobą. Po drugie, doszło do eksplozji ryzyka stron trzecich – pokazują to statystyki firmy prawie 30% wszystkich naruszeń ma obecnie swoje źródło za pośrednictwem strony trzeciej. Po trzecie, ugrupowania zagrażające mają dostęp do bardziej wyrafinowanej i tańszej broni, od rozproszonych ataków typu „odmowa usługi” (DDoS) możliwych do zrealizowania za kilka dolarów, po ataki typu „zero dni” liczone w tysiącach.

„Nie możemy zmienić faktu, że świat stał się bardziej złożony. Nie możemy zmienić faktu, że napastnicy stali się bardziej wyrafinowani” – mówi Yampolskiy.

„Możemy wpłynąć na to, że większość firm nadal koncentruje się na solidności, a nie na odporności. Próbują zapobiec włamaniu się przeciwnika, zamiast odwrócić założenie i powiedzieć, że prędzej czy później, przy wystarczającym wysiłku, przeciwnik się włamie, [so] Jak mogę im to maksymalnie utrudnić?”

Pogląd, że zajęcie się ryzykiem stron trzecich stanowi część zmiany w kierunku odporności, jest następujący: taki, który wielu podziela. Patrząc w przyszłość, Yampolskiy ma nadzieję, że w miarę jak organizacje będą zmierzać w kierunku praktyki bezpieczeństwa skoncentrowanej na odporności, metodologia SecurityScorecard oparta na wskaźnikach KPI ostatecznie pomoże im podjąć bardziej odpowiednią decyzję o zakupie, zamiast po prostu skupiać się na problemie.

Przyszły rozwój

SecurityScorecard rozwija także usługi, które mogą towarzyszyć i udoskonalać system ocen, o co prosili klienci. W końcu ilościowe określenie ryzyka bezpieczeństwa Twojego oraz ekosystemu Twojego partnera i dostawcy nie zaprowadzi Cię daleko – a prawdopodobnie w pewnym momencie nadal będziesz atakowany.

„Jestem bardzo podekscytowany możliwością nie tylko udostępnienia wam ocen bezpieczeństwa, ale także zaproponowania rozwiązań” – mówi Yampolskiy.

„Obecnie dużym naciskiem i dużym naciskiem skupiamy się na tym, jak przejść od ocen do rozwiązań. Mamy teraz jednostkę biznesową, która wykonuje ćwiczenia na stole, do której przychodzimy i szkolimy Twój zespół kierowniczy. Mamy jednostkę zajmującą się kryminalistyką, więc jeśli Twój komputer zostanie zhakowany lub zostaniesz zainfekowany oprogramowaniem ransomware, możemy Ci pomóc.

Yampolskiy jest szczególnie zainteresowany pomaganiem w wypełnianiu dawno uznanej luki komunikacyjnej między zespołami ds. bezpieczeństwa a ich przywódcami na szczeblu zarządu.

„Zarządom i CISO brakuje wspólnego języka. Członkowie zarządu są z Marsa, a CISO z Wenus”

Aleksandr Yampolskiy, SecurityScorecard

„Zarządom i CISO brakuje wspólnego języka. Członkowie zarządu pochodzą z Marsa, a CISO z Wenus” – mówi.

„CISO często posługuje się technicznym językiem, technicznym żargonem, więc może powiedzieć: „Wdrożyłem Akamai Prolexic w wersji 124.1.1.3/24, aby ograniczyć ataki na punkty końcowe”, a członek zarządu nie ma pojęcia, co właśnie powiedział CISO. CISO powinien był powiedzieć: „Wdrożyłem funkcję zapobiegania atakom typu „odmowa usługi”. Kosztowało mnie to 200 000 dolarów i pozwoliło nam zaoszczędzić 3 miliony dolarów na przestojach.

„Na członkach zarządu spoczywa również obowiązek zdobywania większej wiedzy na temat bezpieczeństwa cybernetycznego. Jeśli jesteś członkiem zarządu i podczas spotkania zapytasz: „Jaka jest marża brutto?”, usłyszysz klepnięcie w ramię i przerwę, podczas której ludzie powiedzą: „Naprawdę musisz dowiedzieć się więcej jeśli chodzi o finanse, musisz wiedzieć, jaka jest marża brutto. Ale jeśli członek zarządu zapyta: „Co to jest atak typu „odmowa usługi”? nikogo to nie obchodzi. To normalne. To jest oczekiwane.

„Niestety członkowie zarządu nie posiadają pełnej wiedzy technicznej i to musi się zmienić – to już się zmienia. Widzimy więc coraz więcej zaangażowanych zarządów, widzimy, że zarządy standaryzują pomiar i raportowanie ryzyka oraz widzimy, że zarządy przyjmują oceny bezpieczeństwa takie jak nasze, aby zweryfikować to, co robią. Świat zmienia się w pozytywnym kierunku w zakresie cyberbezpieczeństwa.”



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Linia Razer Huntsman V3 Pro z analogowymi przełącznikami optycznymi Gen-2 uwalnia precyzję

W konkurencyjnym świecie gier, gdzie liczy się każda milisekunda, narzędzia, którymi posługujesz się, mogą zadecydować o porażce lub zwycięstwie. Każde naciśnięcie klawisza...

Jak Bitcoin może wspomóc wzrost w rozwijających się gospodarkach

Wiele krajów rozwijających się niewątpliwie doświadczyło swoich problemów gospodarczych. Niektóre z tych krajów mają niestabilne i niezaufane waluty fiducjarne. W związku z tym przyjmują...

Nowe narzędzie do projektowania WaveForming firmy Trinnov zaleca układ pomieszczenia w celu optymalizacji wydajności dźwięku

Trinnov Audio, francuski producent zaawansowanych procesorów audio dla kina domowego, high-end audio i kin komercyjnych, ogłosił wprowadzenie na rynek narzędzia do projektowania dla...
Advertisment