Nabil Hannan 是 NetSPI 的现场 CISO(首席信息安全官)。他领导公司的咨询业务,专注于帮助客户解决网络安全评估以及威胁和漏洞管理需求。他擅长构建和改进有效的软件安全计划,在金融服务领域拥有深厚的专业知识。
NetSPI是一种主动安全解决方案,旨在发现、优先处理和修复最关键的安全漏洞。它通过以前所未有的清晰度、速度和规模实现主动的网络安全方法,帮助组织保护对其业务最重要的事物。
您能否分享一下您在网络安全领域的历程以及您加入 NetSPI 的原因?
我从七岁起就开始编程。科技总是让我兴奋不已,因为我想知道事物是如何运作的,因此,我从小就拆开了很多东西,然后学习如何将它们重新组装起来。
我在大学学习计算机科学期间,在黑莓公司开始了我的职业生涯,当时我担任黑莓 Messenger 平台的产品经理,并对硬件设计产生了兴趣。从那时起,我被一家应用安全领域的小公司招募——我对这份工作充满热情,甚至愿意搬到一个新的国家来获得这份工作。
当我回顾我在网络安全领域的历程时,它是从底层开始的。我一开始是一名助理顾问,负责渗透测试、代码审查、威胁建模、硬件测试以及老板交给我的其他一切。最后,我努力为 Cigital 建立渗透测试服务,后来 Cigital 被 Synopsys 收购。所有这些让我加入了 NetSPI,帮助支持其在主动安全领域的增长轨迹。
您在金融服务领域的经验如何影响您的网络安全方法?
在 Synopsys 工作期间,我帮助制定了向金融服务行业销售安全服务和产品的战略。因此,虽然我并不直接从事金融服务工作,但我负责制定该行业的战略,这需要深入研究该垂直行业,了解其驱动因素和痛点。
我在技术领域长大,花了很多时间与全球大型金融服务机构合作。凭借这样的背景,我将时间和技能集中在制定战略上,以针对整个金融服务行业制定个性化服务。
我从金融服务行业中学到的最重要的事情是,哪里有钱,黑客就会去哪里。黑客做这件事不只是为了好玩;这是他们的收入来源。他们去的是经济影响最大的地方——无论是以某种形式窃取金钱还是给组织造成经济损失。这种心态帮助我形成了对网络安全的理解,并让我在目前的现场 CISO 职位上取得了成功。
随着网络威胁的迅速发展,您认为当今组织面临的最大网络安全挑战是什么?
当今最大的挑战是每个组织需要以更快的速度应对不断变化的威胁,并跟上人工智能等新兴技术的步伐。从历史上看,软件构建采用瀑布式方法,与当今软件部署的速度相比,这种方法并不一定很快。现在,我们拥有一种更加敏捷的方法,组织正在尝试构建软件并尽快将其发布到生产中,并进行更多小规模的实施。
过去 10 年,安全生态系统发生了快速变化,发展速度加快。这给大型组织带来了许多问题,例如影子 IT,使得他们更难洞察攻击面和资产。你无法保护你看不到的东西。
云采用加剧了这一问题——适应、采用和迁移到云的人越多,软件系统和资产的弹性就越大。以弹性方式扩展和缩减软件和硬件的能力使变更更加难以管理。由于系统具有弹性潜力,因此资产所有权更频繁地变更会给组织带来挑战,并为不良行为者创造进入组织的机会。
您认为未来五年网络安全格局将如何变化?
在未来五年内,对外部和内部资产的更高可视性的需求将继续很重要,并会改变客户与供应商的合作方式。这已经是 NetSPI 重点关注的领域。今年 6 月,我们收购了名为 Hubble Technology 的网络资产攻击面管理 (CAASM) 和网络安全态势管理解决方案。将 CAASM 添加到我们现有的外部攻击面管理 (EASM) 功能中,使我们的客户能够不断识别新资产和风险,修复安全控制盲点,并通过提供准确的网络资产清单(包括外部和内部)来全面了解他们的安全态势——这是迄今为止行业所缺乏的。
将我们的 EASM 和 CAASM 功能整合到 NetSPI 平台中,使我们能够为客户提供应对持续可见性挑战所需的工具。这还增强了准确确定与资产和漏洞相关的风险优先级的能力。此外,它还有助于安全主管评估其最重要资产与这些风险的暴露程度。
NetSPI 的漏洞管理方法与业内其他公司有何不同?
最近,我们推出了一个全新的统一主动安全平台,该平台将我们的渗透测试即服务 (PTaaS)、外部攻击面管理 (EASM)、网络资产攻击面管理 (CAASM) 和入侵与攻击模拟 (BAS) 技术整合到一个解决方案中。借助 NetSPI 平台,客户可以比以往任何时候都更清晰、更快速、更大规模地采取主动的网络安全方法。这种新的主动方法反映了我们在行业中看到的趋势,以及从分散的点解决方案转向快速采用更全面的端到端平台服务的趋势。
如何使用人工智能来增强 NetSPI 的网络安全措施?
就像任何网络安全领导者都会告诉你的那样,人工智能有可能促进业务成功,但也有可能助长对抗性攻击。在 NetSPI,我们正试图通过实施人工智能/机器学习渗透测试模型来帮助我们的客户保持领先地位,该模型通过识别、分析和减轻与机器学习系统对抗性攻击相关的风险,确保从构思到实施都考虑到安全性,重点是 LLM。在网络安全方面,人工智能功能增强并采用了我们实时监控和补救威胁的能力。
人工智能在网络安全中存在哪些潜在风险?如何降低这些风险?
根据我与其他网络安全领导者的对话,最大的人工智能风险是组织缺乏基本数据和网络安全卫生。众所周知,人工智能解决方案的有效性取决于模型所用的数据。如果组织对数据清单和分类没有牢固掌握,那么他们的模型就有可能受到影响并容易出现安全漏洞。
当人们看到人工智能中的“智能”一词时,他们会误以为它是“天生智能”或甚至具有某种感知能力。但事实并非如此。安全从业者仍然需要编写人工智能模型,让它们了解哪些资产是个人资产、私人资产、公共资产等等。如果没有这些机制,人工智能就会陷入混乱。在我看来,这是 CISO 目前最大的担忧。
您能详细说明 NetSPI 的渗透测试即服务 (PTaaS) 如何帮助组织维护强大的安全性吗?
渗透测试对于组织的整体网络安全态势至关重要,因为它可以让团队更好地了解其业务中特有的漏洞。
渗透测试也是一个很好的试金石,可以检验其他安全控制的有效性,例如代码审查、威胁建模、静态应用程序安全测试 (SAST)、动态应用程序安全测试 (DAST)、交互式应用程序安全测试 (IAST) 以及您之前可能实施过的其他控制。
定期渗透测试促进了与安全专家的实时协作,从而为数据提供了另一种视角,增加了数据的深度。在成功的渗透测试结束时,组织将更好地了解其 IT 环境中哪些部分更容易受到攻击。当渗透测试检测到漏洞时,它们通常会突出显示生命周期早期的控制漏洞或完全缺失的控制。他们还将了解如何实现合规性、将补救措施重点放在何处,以及 IT 和安全团队如何合作以掌握潜在的业务影响。
通过与专门从事 PTaaS 的供应商合作来补充强大的安全态势,组织可以更好地准备主动预防安全事件。
如何整合技术和人力专业知识来提供全面的安全解决方案?
NetSPI 认为,您需要技术和人力来制定合理的策略,以领先于已知和未知的威胁。人类必须参与其中,以验证、优先化和情境化工具生成的输出。我们的业务不是向人们提供误报或产生噪音,导致他们花更多时间弄清楚真正重要的事情。换句话说,您可以拥有出色的技术,但您需要有人真正使用它并中断它才能取得成功。
人工智能可以比人类更快、更准确地完成许多日常任务。如果能够以值得信赖的方式构建技术,那么我们将能够自动执行某些任务,并让安全团队腾出时间专注于更具创造性的思维和关键问题解决,而这是人工智能无法取代的。
您通常会向客户提供哪些战略建议来加强他们的网络安全态势?
人们常陷入的一个陷阱是投资他们了解的事物。例如,一家公司可能会聘请一位具有云安全背景的领导者。自然而然地,他们会专注于组建云安全团队,而不是合规性、网络安全、应用程序安全等,而组织实际上可能需要这些方面的支持。
最好有一个更全面的计划,全面关注所有事情。然后,您开始建立纵深防御,并制定控制措施来减轻组织不同部门可能出现的其他故障。建立一个全面的计划比在一个特定领域投入更多时间、精力和工具要好。
原创文章,作者:点点,如若转载,请注明出处:https://www.dian8dian.com/nabil-hannan-netspi-xian-chang-ciso-fang-tan-xi-lie