Nabil Hannan er Field CISO (Chief Information Security Officer) hos NetSPI. Han leder selskapets rådgivningspraksis, med fokus på å hjelpe kunder med å løse sine cybersikkerhetsbehov for vurdering, trusselhåndtering og sårbarhetshåndtering. Hans bakgrunn ligger i oppbygging og forbedring av effektive programvaresikkerhetsinitiativer, med dyp ekspertise innen finanssektoren.
NetSPI er en proaktiv sikkerhetsløsning utformet for å oppdage, prioritere og utbedre de mest kritiske sikkerhetsrisikoene. Den hjelper organisasjoner med å beskytte det som er viktigst for deres virksomhet ved å muliggjøre en proaktiv tilnærming til cybersikkerhet med større klarhet, hastighet og skala enn noen gang før.
Kan du dele litt om din reise innen cybersikkerhet og hva som førte deg til å slutte deg til NetSPI?
Jeg har programmert siden jeg var syv år gammel. Teknologi har alltid fascinert meg fordi jeg ønsket å vite hvordan ting fungerte, noe som førte til at jeg demonterte mye for å lære hvordan de kunne settes sammen igjen i ung alder.
Mens jeg studerte informatikk ved universitetet, begynte jeg min karriere hos Blackberry, hvor jeg jobbet som produktleder for Blackberry Messenger-plattformen og ble interessert i maskinvareutvikling. Derfra ble jeg rekruttert til å bli med i et lite selskap innen applikasjonssikkerhet – jeg var så lidenskapelig opptatt av det at jeg var villig til å flytte til et nytt land for å få jobben.
Når jeg ser tilbake på min reise innen cybersikkerhet, startet den fra bunnen av. Jeg begynte som assosiert konsulent med penetrasjonstesting, kodegjennomgang, trusselmodellering, maskinvaretesting og hva enn sjefene mine ga meg. Til slutt jobbet jeg meg opp til å bygge en penetrasjonstesttjeneste for Cigital, som senere ble kjøpt opp av Synopsys. Alt dette tok meg til NetSPI for å støtte deres vekst innen den proaktive sikkerhetssektoren.
Hvordan har din erfaring i finanssektoren formet din tilnærming til cybersikkerhet?
Mens jeg jobbet hos Synopsys, hjalp jeg med å utvikle strategien for å selge sikkerhetstjenester og produkter til finansindustrien. Så mens jeg ikke direkte jobbet i finanssektoren, var jeg ansvarlig for å bygge strategier for denne sektoren, noe som krevde en dyp fordypning i denne vertikalen for å forstå dens drivere og smertepunkter.
Å vokse opp i teknologisektoren, tilbrakte jeg en del tid med store finansinstitusjoner rundt om i verden. Med den bakgrunnen fokuserte jeg tid og ferdigheter på å utvikle en strategi for å målrette og bygge tjenester skreddersydd til finansindustrien som helhet.
Det største jeg har lært fra finanssektoren er at hackere går der pengene er. Hackere er ikke i dette for moro skyld; det er deres inntektskilde. De går der hvor den største økonomiske påvirkningen er – det være seg å faktisk stjele penger i en eller annen form eller forårsake økonomisk skade på en organisasjon. Den mentaliteten har hjulpet meg med å forstå cybersikkerhet og vært en suksessfaktor i min nåværende rolle som Field CISO.
Med raskt utviklende cybertrusler, hva ser du som de største cybersikkerhetsutfordringene for organisasjoner i dag?
Den største utfordringen i dag er hastigheten som enhver organisasjon må operere i for å bekjempe utviklende trusler og holde tritt med ny teknologi, som AI. Historisk sett var det en fossefallsmetodikk for å bygge programvare, som ikke nødvendigvis var en rask prosess sammenlignet med hvor raskt programvare distribueres i dag. Nå har vi en mye mer smidig metodikk, hvor organisasjoner prøver å bygge programvare og slippe den til produksjon så raskt som mulig og gjøre flere oppdelte implementeringer.
De siste 10 årene har vist raske endringer og akselerasjon i sikkerhetsøkosystemet. Dette skaper mange problemer for store organisasjoner, som skyggesikkerhet, noe som gjør det vanskeligere å få innsikt i deres angrepsoverflate og eiendeler. Du kan ikke beskytte det du ikke kan se.
Skyadopsjon legger til dette problemet – jo flere mennesker som tilpasser, adopterer og migrerer til skyen, jo mer elastiske blir programvaresystemene og eiendelene. Evnen til å skalere programvare og maskinvare opp og ned på en elastisk måte gjør det enda vanskeligere å håndtere endringer. Etter hvert som systemene bygges med elastisk potensiale, skaper det utfordringer hvor eiendeler endrer eierskap oftere og skaper muligheter for ondsinnede aktører til å finne veier inn i en organisasjon.
Hvordan tror du cybersikkerhetslandskapet vil endre seg i løpet av de neste fem årene?
Behovet for større synlighet i både eksterne og interne eiendeler vil fortsette å være viktig de neste fem årene og endre hvordan kunder jobber med leverandører. Det er allerede et område vi har stort fokus på hos NetSPI. I juni kjøpte vi en løsninger for cyberaktiv angrepsoverflatehåndtering (CAASM) og cybersikkerhetsposturhåndtering fra Hubble Technology. Ved å legge til CAASM til våre etablerte eksterne angrepsoverflatehåndteringskapasiteter (EASM) kan kundene våre kontinuerlig identifisere nye eiendeler og risikoer, rette sikkerhetskontrollblinde flekker, og få en helhetlig oversikt over deres sikkerhetspostur ved å tilveiebringe en nøyaktig beholdning av cyberaktiva, både eksterne og interne – noe som manglet i bransjen frem til dette punktet.
Ved å slå sammen våre EASM- og CAASM-kapasiteter inn i NetSPI-plattformen kan vi gi kundene verktøyene de trenger for å adressere pågående synlighetsutfordringer. Dette forbedrer også evnen til å nøyaktig prioritere risikoer knyttet til eiendeler og sårbarheter. I tillegg hjelper det sikkerhetsledere med å vurdere eksponeringen av deres viktigste eiendeler i forhold til disse risikoene.
Hvordan skiller NetSPI’s tilnærming til sårbarhetshåndtering seg fra andre selskaper i bransjen?
Nylig avduket vi en ny samlet proaktiv sikkerhetsplattform, som kombinerer våre Penetration Testing as a Service (PTaaS), External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), og Breach and Attack Simulation (BAS) teknologier i en enkelt løsning. Med NetSPI-plattformen kan kundene ta en proaktiv tilnærming til cybersikkerhet med større klarhet, hastighet og skala enn noen gang før. Denne nye proaktive tilnærmingen speiler trender vi ser i bransjen, og skiftet bort fra separate punktsløsninger, og mot den raskt voksende adopsjonen av mer helhetlige, ende-til-ende plattformtjenester.
Hvordan brukes AI for å forbedre cybersikkerhetstiltakene hos NetSPI?
Som enhver leder innen cybersikkerhet vil fortelle deg, har AI potensiale til å katalysere forretningssuksess, men den har også potensiale til å forsterke motstandsangrep. Hos NetSPI prøver vi å hjelpe kundene våre med å holde seg et steg foran ved å implementere AI/ML penetrasjonstestmodeller, som sikrer at sikkerhet vurderes fra idé til implementering ved å identifisere, analysere, og redusere risikoene knyttet til motstandsangrep på ML-systemer, med vekt på store språkmodeller (LLMer). Innen cybersikkerhet har AI-kapasiteter forbedret og adoptert vår evne til å overvåke og utbedre trusler i sanntid.
Hva er de potensielle risikoene forbundet med AI i cybersikkerhet, og hvordan kan de dempes?
Basert på samtaler jeg har hatt med andre ledere innen cybersikkerhet, er den største trusselen ved AI organisasjoners mangel på grunnleggende data- og cybersikkerhetshygiene. Som vi vet, er AI-løsninger bare så effektive som dataene modellene trenes på. Hvis organisasjoner ikke har et fast grep om datainventar og klassifisering, er det en risiko for at modellene deres vil lide og være tilbøyelige til sikkerhetshull.
Når folk ser ordet “intelligens” i AI, forveksler de det med å være “inneboende intelligent” eller til og med ha en form for selvbevissthet. Men det er ikke tilfelle. Sikkerhetsutøvere må fortsatt programmere AI-modeller for å få dem til å forstå hvilke eiendeler som er personlige, private, offentlige, og så videre. Uten disse mekanismene kan AI falle inn i kaos. Det, etter min mening, er den største bekymringen blant sikkerhetssjefer (CISOer) akkurat nå.
Kan du utdype hvordan NetSPI’s Penetration Testing as a Service (PTaaS) hjelper organisasjoner med å opprettholde robust sikkerhet?
Penetrasjonstesting er kritisk for en organisasjons samlede cybersikkerhetspostur fordi det gir teamene større kontekst om sårbarheter spesifikke for deres virksomhet.
Penetrasjonstesting er også en flott kvalitetskontroll for å se hvor effektive andre sikkerhetskontroller, som kodegjennomgang, trusselmodellering, statisk applikasjonssikkerhetstesting (SAST), dynamisk applikasjonssikkerhetstesting (DAST), interaktiv applikasjonssikkerhetstesting (IAST) og andre som du kanskje har implementert tidligere, er.
Regelmessig penetrasjonstesting fremmer sanntidssamarbeid med sikkerhetseksperter som kan gi et annet perspektiv som legger mer dybde til data. Etter en vellykket penetrasjonstest, vil organisasjoner ha bedre innsikt i hvilke deler av IT-miljøet deres som er mer utsatt for brudd. Når en penetrasjonstest oppdager sårbarheter, fremhever de ofte mangler i kontroller tidligere i livssyklusen eller kontroller som mangler helt. De vil også forstå hvordan man oppnår samsvar, hvor man bør fokusere utbedringsinnsats, og hvordan IT- og sikkerhetsteam kan samarbeide for å holde seg på toppen av potensielle forretningsimplikasjoner.
Ved å samarbeide med leverandører som spesialiserer seg på PTaaS for å supplere en robust sikkerhetspostur, kan organisasjoner være bedre forberedt til å proaktivt forhindre sikkerhetshendelser.
Hvordan integrerer dere både teknologi og menneskelig ekspertise for å tilby omfattende sikkerhetsløsninger?
NetSPI mener at man trenger både teknologi og mennesker for å tilby en solid strategi for å holde seg foran kjente og ukjente trusler. Mennesker må være i loopen for å validere, prioritere og kontekstualisere resultatene som verktøyene genererer. Vi er ikke i bransjen for å gi folk falske positiver eller generere støy, noe som fører til at de bruker mer tid på å finne ut hva som virkelig betyr noe. Med andre ord, du kan ha flott teknologi, men du trenger noen til faktisk å bruke den og tolke den for å lykkes.
Det er mange rutineoppgaver som AI kan gjøre raskere og mer nøyaktig enn mennesker. Hvis teknologi kan bygges på en pålitelig måte, vil det tillate oss å automatisere visse oppgaver og frigjøre tid for sikkerhetsteamene til å rette oppmerksomheten mot mer kreativ tenkning og kritisk problemløsning som AI rett og slett ikke kan erstatte.
Hvilke strategiske råd gir du vanligvis til kunder for å styrke deres cybersikkerhetsstilling?
En vanlig felle folk faller i er å investere i ting de forstår. For eksempel, kan et selskap ansette en leder med bakgrunn i skysikkerhet. Naturlig nok, da vil de fokusere på å bygge ut et skysikkerhetsteam i stedet for, for eksempel, samsvar, nettverkssikkerhet, applikasjonssikkerhet, og så videre, der organisasjonen kanskje faktisk trenger støtten.
Det er bedre å ha et mer avrundet program som fokuserer på alt helhetlig. Deretter begynner du å bygge forsvar i dybden og har kontroller som reduserer andre feil du måtte ha i forskjellige deler av organisasjonen. Å bygge et velbalansert program er bedre enn å investere mer tid, innsats og verktøy i en bestemt sektor.
Takk for et flott intervju. Lesere som ønsker å lære mer kan besøke NetSPI.
Artikkelen “Nabil Hannan, Field CISO at NetSPI – Interview Series” ble først publisert på Unite.AI.