Nabil Hannan é o Discipline CISO (Chief Data Safety Officer) na NetSPI. Ele lidera a prática de consultoria consultiva da empresa, com foco em ajudar clientes a resolver suas necessidades de avaliação de segurança cibernética e gerenciamento de ameaças e vulnerabilidades. Sua experiência é na construção e melhoria de iniciativas eficazes de segurança de software program, com profunda experiência no setor de serviços financeiros.
NetSPI é uma solução de segurança proativa projetada para descobrir, priorizar e remediar as vulnerabilidades de segurança mais críticas. Ela ajuda as organizações a proteger o que mais importa para seus negócios, permitindo uma abordagem proativa à segurança cibernética com maior clareza, velocidade e escala do que nunca.
Você pode compartilhar um pouco sobre sua jornada em segurança cibernética e o que o levou a ingressar na NetSPI?
Eu programo desde os meus sete anos de idade. A tecnologia sempre me entusiasmou porque eu queria saber como as coisas funcionavam, o que consequentemente me levou a desmontar muitas coisas e aprender a montá-las novamente quando period jovem.
Enquanto estudava ciência da computação na faculdade, comecei minha carreira na Blackberry, onde trabalhei como gerente de produto para a Blackberry Messenger Platform e me interessei por design de {hardware}. De lá, fui recrutado para ingressar em uma pequena empresa no domínio de segurança de aplicativos – eu period tão apaixonado por isso que estava disposto a me mudar para um novo país para conseguir o emprego.
Quando penso na minha jornada em segurança cibernética, ela começou de baixo para cima. Comecei como consultor associado fazendo testes de penetração, revisão de código, modelagem de ameaças, testes de {hardware} e tudo o mais que meus chefes jogavam no meu caminho. Eventualmente, trabalhei meu caminho até construir um serviço de testes de penetração para a Cigital, que mais tarde foi adquirida pela Synopsys. Tudo isso me levou à NetSPI para ajudar a dar suporte à sua trajetória de crescimento no espaço de segurança proativa.
Como sua experiência no setor de serviços financeiros moldou sua abordagem à segurança cibernética?
Enquanto trabalhava na Synopsys, ajudei a construir a estratégia para vender serviços e produtos de segurança para o setor de serviços financeiros. Então, embora eu não estivesse trabalhando diretamente em serviços financeiros, eu period responsável por construir estratégias para esse setor, o que exigia um mergulho profundo nessa vertical para entender seus drivers e pontos problemáticos.
Crescendo no espaço da tecnologia, passei bastante tempo trabalhando com grandes organizações de serviços financeiros ao redor do mundo. Com esse histórico, concentrei meu tempo e habilidades no desenvolvimento de uma estratégia para direcionar e construir serviços sob medida para o setor de serviços financeiros como um todo.
A maior coisa que aprendi com a exposição ao setor de serviços financeiros é que os hackers vão onde o dinheiro está. Os hackers não estão nisso apenas por diversão; é sua fonte de renda. Eles vão onde há o maior impacto financeiro – seja roubando dinheiro de alguma forma ou causando danos financeiros a uma organização. Essa mentalidade ajudou a moldar minha compreensão da segurança cibernética e me levou a ter sucesso em minha função atual como CISO de campo.
Com as ameaças cibernéticas evoluindo rapidamente, quais você vê como os maiores desafios de segurança cibernética que as organizações enfrentam hoje?
O maior desafio hoje é a velocidade com que cada organização precisa operar para combater ameaças em evolução e acompanhar o ritmo da tecnologia emergente, como a IA. Historicamente, havia uma metodologia em cascata para construir software program, o que não period necessariamente um processo rápido comparado à rapidez com que o software program é implantado hoje. Agora, temos uma metodologia muito mais ágil, onde as organizações estão tentando construir software program e lançá-lo para produção o mais rápido possível e fazer implementações mais curtas.
Os últimos 10 anos mostraram rápida mudança e aceleração no ecossistema de segurança. Isso está causando muitos problemas para grandes organizações, como shadow IT, tornando mais difícil obter insights sobre sua superfície de ataque e ativos. Você não pode proteger o que não pode ver.
A adoção da nuvem aumenta esse fogo – quanto mais as pessoas se adaptam, adotam e migram para a nuvem, mais elásticos os sistemas de software program e ativos se tornam. A capacidade de escalar software program e {hardware} para cima e para baixo de forma elástica torna a mudança ainda mais difícil de gerenciar. Como os sistemas são construídos com potencial elástico, você causa desafios em que os ativos mudam de propriedade com mais frequência e cria oportunidades para que atores mal-intencionados encontrem maneiras de entrar em uma organização.
Como você acha que o cenário da segurança cibernética mudará nos próximos cinco anos?
A necessidade de maior visibilidade em ativos externos e internos continuará sendo importante nos próximos cinco anos e mudará a forma como os clientes trabalham com fornecedores. Já é uma área em que estamos muito focados na NetSPI. Em junho, adquirimos uma solução de gerenciamento de superfície de ataque de ativos cibernéticos (CAASM) e gerenciamento de postura de segurança cibernética chamada Hubble Know-how. Adicionar CAASM aos nossos recursos estabelecidos de gerenciamento de superfície de ataque externo (EASM) permite que nossos clientes identifiquem continuamente novos ativos e riscos, remediem pontos cegos de controle de segurança e obtenham uma visão holística de sua postura de segurança, fornecendo um inventário preciso de ativos cibernéticos, tanto externos quanto internos — algo que estava faltando no setor até este ponto.
A fusão de nossos recursos EASM e CAASM na The NetSPI Platform nos permite fornecer aos clientes as ferramentas de que precisam para lidar com os desafios contínuos de visibilidade. Isso também aprimora a capacidade de priorizar com precisão os riscos associados a ativos e vulnerabilidades. Além disso, ajuda os líderes de segurança a avaliar a exposição de seus ativos mais importantes em relação a esses riscos.
Como a abordagem da NetSPI para gerenciamento de vulnerabilidades difere de outras empresas do setor?
Recentemente, revelamos uma nova plataforma de segurança proativa unificada, que une nossas tecnologias de Teste de Penetração como Serviço (PTaaS), Gerenciamento de Superfície de Ataque Externo (EASM), Gerenciamento de Superfície de Ataque de Ativos Cibernéticos (CAASM) e Simulação de Violação e Ataque (BAS) em uma única solução. Com a Plataforma NetSPI, os clientes podem adotar uma abordagem proativa à segurança cibernética com mais clareza, velocidade e escala do que nunca. Essa nova abordagem proativa reflete as tendências que estamos vendo no setor e a mudança de soluções pontuais díspares para a rápida adoção de serviços de plataforma mais holísticos e de ponta a ponta.
Como a IA está sendo usada para aprimorar as medidas de segurança cibernética na NetSPI?
Como qualquer líder de segurança cibernética lhe dirá, a IA tem o potencial de catalisar o sucesso empresarial, mas também tem o potencial de alimentar ataques adversários. Na NetSPI, estamos tentando ajudar nossos clientes a se manterem à frente da curva implementando modelos de teste de penetração de IA/ML, o que garante que a segurança seja considerada da ideação à implementação, identificando, analisando e mitigando os riscos associados a ataques adversários em sistemas de ML, com ênfase em LLMs. Na segurança cibernética, os recursos de IA aprimoraram e adotaram nossa capacidade de monitorar e remediar ameaças em tempo actual.
Quais são os riscos potenciais associados à IA na segurança cibernética e como eles podem ser mitigados?
Com base em conversas que estou tendo com outros líderes de segurança cibernética, o maior risco de IA é a falta de dados básicos e higiene de segurança cibernética das organizações. Como sabemos, as soluções de IA são tão eficazes quanto os dados nos quais os modelos são treinados. Se as organizações não tiverem um domínio firme sobre inventário e classificação de dados, então há um risco de que seus modelos sofram e sejam propensos a lacunas de segurança.
Quando as pessoas veem a palavra “inteligência” em IA, elas confundem isso com ser “inerentemente inteligente” ou mesmo ter algum tipo de senciência. Mas esse não é o caso. Os profissionais de segurança ainda precisam programar modelos de IA para fazê-los entender quais ativos são pessoais, privados, públicos e assim por diante. Sem esses mecanismos, a IA pode cair no caos. Essa, na minha opinião, é a maior preocupação entre os CISOs agora.
Você pode explicar melhor como o Teste de Penetração como Serviço (PTaaS) da NetSPI ajuda as organizações a manter uma segurança robusta?
Os testes de penetração são essenciais para a postura geral de segurança cibernética de uma organização porque fornecem às equipes maior contexto sobre vulnerabilidades específicas de seus negócios.
O teste de penetração também é um ótimo teste decisivo para ver a eficácia de outros controles de segurança, como revisão de código, modelagem de ameaças, teste de segurança de aplicativos estáticos (SAST), teste de segurança de aplicativos dinâmicos (DAST), teste de segurança de aplicativos interativos (IAST) e outros que você pode ter implementado anteriormente.
Testes de penetração regulares promovem colaboração em tempo actual com especialistas em segurança, o que pode trazer outra perspectiva que adiciona mais profundidade aos dados. No ultimate de um pentest bem-sucedido, as organizações terão melhor percepção de quais partes do seu ambiente de TI são mais suscetíveis a violações. Quando um pentest detecta vulnerabilidades, eles geralmente destacam lacunas nos controles no início do ciclo de vida ou controles que estão completamente ausentes. Eles também entenderão como obter conformidade, onde concentrar os esforços de remediação e como as equipes de TI e segurança podem trabalhar juntas para ficar por dentro das potenciais implicações comerciais.
Ao trabalhar com fornecedores especializados em PTaaS para complementar uma postura de segurança robusta, as organizações podem estar mais preparadas para prevenir incidentes de segurança de forma proativa.
Como você integra tecnologia e conhecimento humano para fornecer soluções de segurança abrangentes?
A NetSPI acredita que você precisa de tecnologia e humanos para fornecer uma estratégia sólida para ficar à frente de ameaças conhecidas e desconhecidas. Os humanos devem estar no circuito para validar, priorizar e contextualizar os resultados que as ferramentas geram. Não estamos no negócio de dar às pessoas falsos positivos ou gerar ruído, levando-as a gastar mais tempo descobrindo o que realmente importa. Em outras palavras, você pode ter uma ótima tecnologia, mas precisa de alguém para realmente usá-la e interrompê-la para ter sucesso.
Há muitas tarefas mundanas que a IA pode fazer mais rápido e com mais precisão do que os humanos. Se a tecnologia puder ser construída de forma confiável, isso nos permitirá automatizar certas tarefas e liberar tempo para que as equipes de segurança voltem sua atenção para um pensamento mais criativo e resolução de problemas críticos que a IA simplesmente não pode substituir.
Que conselho estratégico você normalmente oferece aos clientes para fortalecer sua postura de segurança cibernética?
Uma armadilha comum em que as pessoas caem é investir em coisas que elas entendem. Por exemplo, uma empresa pode trazer um líder com experiência em segurança de nuvem. Naturalmente, eles então se concentram em construir uma equipe de segurança de nuvem, em vez de, digamos, conformidade, segurança de rede, segurança de aplicativos e assim por diante, onde a organização pode realmente precisar do suporte.
É melhor ter um programa mais completo que se concentre em tudo holisticamente. Então, você começa a construir defesa em profundidade e tem controles que mitigam outras falhas que você pode ter em diferentes partes da organização. Construir um programa completo é melhor do que investir mais tempo, esforço e ferramentas em um setor específico.
Obrigado pela ótima entrevista. Os leitores que desejarem saber mais devem visitar o NetSPI.
