يمكن للأمن السيبراني حماية البيانات. ماذا عن المصاعد؟



بمشاركة Cortex Xpanse بواسطة Palo Alto Networks

تعد إمكانات الأمن السيبراني المتقدمة ضرورية لحماية البرامج والأنظمة والبيانات في عصر جديد من السحابة وإنترنت الأشياء والتقنيات الذكية الأخرى. في صناعة العقارات ، على سبيل المثال ، تشعر الشركات بالقلق إزاء إمكانية اختطاف المصاعد ، فضلاً عن إدارة المباني المعرضة للخطر وأنظمة التدفئة والتبريد.

وفقًا لجريج بيلانجر ، نائب رئيس تقنيات الأمان في CBRE ، أكبر شركة استثمار وخدمات عقارية تجارية في العالم ، فقد أصبح تأمين المؤسسة أكثر تعقيدًا - يجب أن تكون فرق الأمان على دراية بالضوابط والأجهزة الموجودة على الأجهزة الجديدة ، بالإضافة إلى الإصدار من البرامج الثابتة المثبتة وما هي نقاط الضعف الموجودة. على سبيل المثال ، إذا كان نظام التدفئة والتهوية وتكييف الهواء (HVAC) متصلاً بالإنترنت ، فإنه يتساءل ، هل البرامج الثابتة التي تشغل نظام HVAC عرضة للهجوم؟ هل يمكنك العثور على طريقة لاجتياز تلك الشبكة والدخول ومهاجمة موظفي تلك الشركة؟

يقول بيلانجر إن فهم نقاط ضعف المؤسسة أمر بالغ الأهمية لحماية الأصول المادية ، لكن الاستثمار في الأدوات المناسبة يمكن أن يمثل تحديًا أيضًا. ويوضح أن الذكاء الاصطناعي والتعلم الآلي يحتاجان إلى مجموعات كبيرة من البيانات ليكونا فعالين في تقديم الأفكار. في عصر الإنترنت السحابي أولاً والإنترنت الصناعي للأشياء ، أصبح المحيط أكثر مرونة. من خلال تطبيق الذكاء الاصطناعي والتعلم الآلي على مجموعات البيانات ، كما يقول ، تبدأ في رؤية أنماط المخاطرة والسلوك المحفوف بالمخاطر تبدأ في الظهور.



هناك أولوية أخرى عند تأمين الأصول المادية وهي ترجمة الأفكار إلى مقاييس يمكن لقادة الرؤساء التنفيذيين فهمها للمساعدة في تعزيز عملية صنع القرار. يمكن للمديرين التنفيذيين وأعضاء مجالس الإدارة ، الذين أصبحوا أكثر ذكاءً من الناحية الأمنية ، الاستفادة من النتائج المجمعة لإدارة سطح الهجوم. الكل يريد أن يعرف ، خاصة بعد هجوم مثل خط الأنابيب الاستعماري ، هل يمكن أن يحدث ذلك لنا؟ ما مدى أماننا؟ يقول بيلانجر. ولكن إذا كانت مؤسستك قادرة على تخصيص مزايا للعديد من الميزات ، أو تسجيلها ، فمن الممكن قياس التحسن. يواصل بيلانجر ، قدرتنا على رؤية النتيجة ، والرد على التهديدات ، ثم الحفاظ على تحسن هذه النتيجة هي مقياس رئيسي.

هذا هو السبب في أن إدارة سطح الهجوم أمر بالغ الأهمية ، يستمر بيلانجر. نحن في الواقع نحصل على رؤية CBRE كما يفعل المهاجمون ، وفي كثير من الأحيان تكون هذه الأدوات آلية. لذلك نرى أكثر بكثير مما قد يراه أي مخترق على حدة. نحن نرى كل بيئتنا.

تم إنتاج هذه الحلقة من Business Lab بالتعاون مع Palo Alto Networks.

نسخة كاملة

لوريل روما: من MIT Technology Review ، أنا لوريل روما ، وهذا هو Business Lab ، المعرض الذي يساعد قادة الأعمال على فهم التقنيات الجديدة التي تخرج من المختبر وتنتقل إلى السوق. موضوعنا اليوم هو تأمين الأصول المادية. من الواضح أنه كان هناك الكثير من التركيز على الجزء السيبراني من الأمن السيبراني ، ولكن المؤسسات لديها أيضًا أصول مادية ، بما في ذلك البنية التحتية للنفط والغاز ، ومرافق التصنيع ، والعقارات. عندما تقوم بعمليات الاندماج والاستحواذ ، والمثيلات السحابية غير المحدودة ، وأجهزة استشعار إنترنت الأشياء ، والأجهزة في كل مكان ، يمكن أن يكون سطح هجوم الشركة واسعًا وضعيفًا وغير معروف إلى حد كبير.

ما هي الشرطة التنبؤية

كلمتين لك: مصاعد مخطوفة.



ضيفي هو جريج بيلانجر ، نائب رئيس تقنيات الأمن في CBRE. CBRE هي أكبر شركة خدمات واستثمارات عقارية تجارية في العالم ، ويعمل بها أكثر من 100،000 موظف حول العالم.

تم إنتاج هذه الحلقة من Business Lab بالتعاون مع Palo Alto Networks.

مرحبا جريج.

جريج بيلانجر: مرحبا.

لوريل: للبدء ، غالبًا ما يُقال إن كل شركة هي شركة تكنولوجيا. إذن كيف يلعب الأمن السيبراني دورًا في العقارات التجارية؟ من المحتمل أن يكون الأمان المادي أمرًا مألوفًا لمعظم الناس ، ولكن ماذا عن عندما يتعلق الأمر بالأنظمة وأجهزة الاستشعار والبيانات؟

جريج: كانت CBRE في رحلة تحول رقمي على مدار السنوات الخمس الماضية تحسبًا لتغير سوقنا. في الماضي ، لم يكن أحد يفكر في العقارات التجارية على أنها شركة برمجيات أو تكنولوجيا ، لكننا نغير ذلك. نحن نبحث في ما حدث للصناعات الأخرى مثل أوبر. ما فعله Uber بسيارات الأجرة و Airbnb بالفنادق ، نريد التأكد من أن CBRE في طليعة ذلك. لذلك قررنا تعطيل أنفسنا والتحول إلى شركة تكنولوجيا. نحن شركة عقارية تجارية مع التكنولوجيا والبيانات كمميزات. مع كل ذلك ، هناك الكثير من الابتكارات والتطبيقات والترحيل إلى السحابة وتقنيات البناء الذكية. أدركت قيادة CBRE في وقت مبكر أننا بحاجة إلى امتلاك قدرة متقدمة في مجال الأمن السيبراني لحماية عملائنا في جميع أنحاء العالم في العصر الجديد. لذا ، فإن ضمان سلامة برامجنا وحماية بياناتنا من أهم أولويات هذه الشركة على مدار العام.

لوريل: هذا مثير للاهتمام حقًا لأنك على حق. لا يفكر الناس بالضرورة في الكيفية التي يمكن أن تكون بها شركة عقارية شركة تكنولوجيا. هل كانت خمس سنوات صعبة؟ هل تعتقد أن الأمر استغرق بعض الوقت من الناس لفهم أهمية وإلحاح هذا التحول الرقمي؟

جريج: لقد مرت خمس سنوات رائعة. لقد كان تغييرًا بالنسبة لهم بالتأكيد ، ولكن كان هناك الكثير من التغيير الذي أدخله الجانب الناعم من المنزل. لذا فالتحول من شركة عقارات تجارية إلى شركة تستفيد من العقارات التجارية والبرمجيات لتشغيل تلك المباني ، للاستفادة من البيانات التي لدينا عن الأشخاص ، كان هذا تغييرًا كبيرًا أيضًا. لم يكتفوا بتغيير الأمان فحسب ، بل انتقلوا إلى ممارسات مثل تطوير البرمجيات الرشيقة وتكنولوجيا الهاتف المحمول وأشياء من هذا القبيل. كان الأمان مجرد طبقة أخرى تمت إضافتها فوق التغيير الموجود بالفعل. لهذا السبب لم يكن لدينا مدير معلومات. كان لدينا كبير مسؤولي التحول الرقمي على رأس الدفة.

لوريل: هذا إعداد مثير للاهتمام ، لأنه بعد ذلك يصبح الأمن السيبراني مدمجًا تمامًا في كل ما تفعله. لا تعتبر وظيفة إضافية منفصلة.

جريج: قطعا. لقد تم تعييني في الواقع لمنصب نائب رئيس devSecOps ، التي كانت تدمج الأمان في جميع ممارسات تطوير البرمجيات السريعة هذه. ركز الأمن على ما كنا عليه قبل خمس سنوات - عندما تكون مستعدًا للبث ، سنختبرك ونخبرك ما إذا كنت ستذهب إلى الإنتاج أم لا. الآن ، نحن نعمل عن كثب مع مطورينا كشركاء ، ونحاول الانتقال إلى أقصى اليسار قدر الإمكان. لذا ، قم بإجراء الاختبارات ومنحهم أفكار التصميم ونمذجة التهديدات وأشياء من هذا القبيل لمحاولة التأكد من أن أي برنامج يصدرونه جاهز للعمل في اليوم الأول.

لوريل : فقط لمنح الأشخاص فهمًا لما تعنيه devSecOps ، فإن devOps عبارة عن ممارسة لتطوير البرامج بشكل مستمر مع التركيز على عمليات تكنولوجيا المعلومات ، ثم تضيف المزيد من الأمان. إذن فأنت تقوم بالفعل بسحب كل هذه الفرق لبناء برامج أفضل للشركة بشكل عام وحمايتها أيضًا.

جريج: صح تماما. مفتاح ذلك هو أننا أردنا أن يكون الأمان مؤتمتًا قدر الإمكان. عندما تفكر في devOps ، فإن الأمر يتطلب الكثير من عملية إنشاء البرامج ونشر البرامج والقيام بذلك باستمرار. أردنا التأكد من أن الأمن كان في نفس الضوء. عندما كنت على استعداد لتطوير البرامج وترحيل البرامج ، كان هذا الأمان متضمنًا في خطوات رئيسية على طول الطريق.

لوريل: لقد أجريت مرة محادثة مثيرة مع مسؤول تنفيذي حول المصاعد المخطوفة. هل يمكنك إعطاء مستمعينا بعض الأمثلة على مشكلات محددة للأمن السيبراني قد تواجهها المباني والخدمات العقارية والتي تختلف بالضرورة عن أوبر ، على سبيل المثال؟

جريج: قطعا. تعتبر المصاعد المختطفة وأنظمة إدارة المباني وأنظمة التدفئة والتهوية وتكييف الهواء مصدر قلق. تسمع الكثير عن هذه الأشياء في الأخبار ، وهو شيء اختبرناه شخصيًا. نحن نتطلع إلى تطوير تطبيقات الهاتف المحمول التي يمكنك تضمينها في هاتفك ثم استخدام أشياء مثل Bluetooth Low Energy لفتح الأبواب فعليًا لمبانينا. لذلك عندما تفكر في الأمن المادي ، هناك نقطة اتصال الآن مع تكنولوجيا المعلومات والإنترنت الصناعي للأشياء. لقد قمنا بالفعل بتطوير تطبيق يسمح للموظف بالدخول واستخدام هاتفه لفتح الباب ، للوصول إلى مكان عمله.

إذا سبق لك العمل في مكان كبير جدًا لدرجة أنه يتعين عليهم إعطائك خريطة للانتقال من مكان إلى آخر في المكتب ، فقد طورنا ما نسميه تقنيات إحداثية للسماح للمستخدمين باستخدام تطبيق الهاتف المحمول هذا بالتنقل بين المكان الذي يتواجدون فيه. الجلوس ومكان غرفة الاجتماعات وإعطائهم ملاحظات على طول الطريق. كل ذلك يتم من خلال البلوتوث والتكامل في الهاتف المحمول. نحن كمتخصصين في مجال الأمن علينا حماية ذلك.

كان علينا أن ننظر إلى هذا الجهاز المحمول ، الذي كان متصلاً بجهاز استشعار ، وكان هذا المستشعر متصلاً ببوابة ، وكانت تلك البوابة متصلة بالإنترنت ، ولكن كيف عمل كل ذلك؟ كيف دخلت البيانات؟ كيف خرجت؟ التأكد من أن هذه الأجهزة موجودة على شبكات منفصلة ومجزأة. هذه كلها شواغل حاسمة بالنسبة لنا. أجرينا أيضًا اختبارات اختراق لهذه التطبيقات والأجهزة للتأكد من أنها آمنة.

نحن ننظر في جميع مخاطر هذه التقنيات الجديدة كجزء من مجموعة المهارات الحديثة لدينا ، وننظر في مطوري البرامج. إنهم يصنعون هذه التقنيات ، وفرق البنية التحتية يقفون أمامهم ، بينما نحاول تأمين المؤسسة.

لوريل: المزيد حول اختبار الاختراق أو اختبار القلم - هذا عندما كنت تحاول بالفعل معرفة مدى أمان شبكتك وبيئتك؟

جريج : هذا صحيح. نحن ندفع للناس مقابل محاولة الاقتحام. القرصنة ليست جريمة. نحن نحاول دفع المال للمتسللين الأخلاقيين لاقتحام أنظمتنا لإخبارنا أين الأشرار ، الأشرار الحقيقيين قد يجدون بالفعل طرقًا لتفجير أنظمتنا.

لوريل: لذلك نحن نتحدث حقًا عن شيء يتجاوز المباني الذكية. عندما ننظر إلى خروقات الأمن السيبراني الأخيرة ، على سبيل المثال ، اختراق معالجة المياه في فلوريدا ، ما نراه أن مساحة سطح مبنى أو شركة في الواقع واسعة جدًا ، وربما تظهر أماكن ليست الأكثر وضوحًا للناس أو اختبارات القلم أو المتسللين غير الأخلاقيين لاختراق مبنى أو شركة.

تخزين الطاقة على نطاق الشبكة

جريج : هذا صحيح. إنه مجال جديد نسبيًا. هناك عدد من الشركات العظيمة التي تبحث في هذه التكنولوجيا التشغيلية (أو OT) لمحاولة اختبار القلم للعثور على نقاط الضعف الموجودة. إنه نظام مختلف. يجب أن تكون على دراية ببعض عناصر التحكم أو بعض الأجهزة التي تحكم هذه البيئات ، ونوع البرامج الثابتة المستخدمة في تلك الأجهزة ، ثم نوع الثغرات الأمنية الموجودة بالفعل في تلك البرامج الثابتة.

إنه يختلف قليلاً عن اختبار اختراق تكنولوجيا المعلومات أو الأشياء التي نفهمها عادةً على أنها برامج تشغيل ومكتبات قد تحتوي على نقاط ضعف مضمنة فيها أيضًا. ثم أضف إلى ذلك ، هناك الآن نقاط اتصال. إذا كان لديك نظام HVAC متصل بالإنترنت ، فهل البرامج الثابتة التي تشغل نظام HVAC عرضة للهجوم؟ هل يمكنك العثور على طريقة لاجتياز تلك الشبكة والدخول ومهاجمة موظفي تلك الشركة؟ لذا فهذه بعض الاهتمامات الرئيسية بالنسبة لنا.

لوريل: يعد امتلاك الأدوات المناسبة للدفاع عن مؤسسة تحديًا أيضًا مع استمرار تطور الأمان لمواجهة التهديدات المضادة المختلفة. قد يكون بعضًا من ذلك آليًا مثل الذكاء الاصطناعي ، ولكن ما هو مهم هو فهم ضعف مؤسستك ، أليس كذلك؟ إذن ، سطح الهجوم المحتمل لشركتك بأكملها ، صحيح؟

جريج: قطعا. يحتاج الذكاء الاصطناعي والتعلم الآلي إلى مجموعات كبيرة من البيانات ليكونا فعالين في تقديم الرؤى. في عصر الإنترنت السحابي أولاً والإنترنت الصناعي للأشياء (IIoT) ، أصبح هذا المحيط الذي تحاول الحصول على معلومات عنه أكثر مرونة. تقليديا ، كان المحيط محددًا جيدًا. تم تقويته ضد الهجوم ، ولكن الآن مع المثيلات السحابية ، قد تظهر أجهزة إنترنت الأشياء على شبكتك ويمكن أن تتعرض للإنترنت دون سابق إنذار. حتى في عصر الدفاعات التقليدية ، كانت رؤية شركتك كمهاجم من الخارج إلى الداخل مهمة صعبة.

الآن ، لدينا المزيد من الأدوات الحديثة التي لا تقوم فقط بإظهار هذه الأنظمة في الوقت الفعلي ، ولكنها تنبهك إلى نقاط الضعف التي قد تؤثر على درجاتك. نرى أشياء مثل shadow IT ، وأجهزة IoT التي تمت تهيئتها بشكل خاطئ ، وأنظمة السحابة ، بالإضافة إلى المزيد من الرؤية لما يحدث في مكاتبنا في جميع أنحاء العالم. عند تطبيق التعلم الآلي للذكاء الاصطناعي على مجموعة البيانات هذه ، ستبدأ في رؤية أنماط المخاطرة والسلوك المحفوف بالمخاطر تبدأ في الظهور.

لوريل: عندما تفكر في الخارج إلى الداخل ، كيف تنظر إلى ذلك - بصفتك شخصًا خارجيًا يبحث في شركتك والمجالات التي يمكن استغلالها؟

جريج: يتمثل مفهوم بعض أدوات إدارة سطح الهجوم هذه في أنها توفر لنا نفس الرؤية التي يتمتع بها أي شخص على الإنترنت لشركتنا. من الصعب رؤية شركتنا في مجملها. عندما تفكر في شركة بحجم CBRE ، أين جميع أصولك الرقمية؟ هل تعلم حقيقة أن شخصًا ما لم يقف على موقع ويب على مزود خدمة استضافة سحابية ، على سبيل المثال ، في جنوب إفريقيا ثم استخدم شعارك واسمك ، واستخدمه لنوع من الأغراض التسويقية غير الضارة ، ولكن لا يزال ذلك ممكنًا لها تأثير على علامتك التجارية؟ لا تظهر هذه الأنواع من الأشياء دائمًا من خلال الأدوات العادية التي قمنا بفحص بيئتنا المعروفة.

لذا بالنظر إلى إدارة سطح الهجوم ، نخرج ونحدد كل هذه الأصول التي قد تكون مرتبطة بـ CBRE. ثم المهمة الأخرى بالنسبة لنا هي الدخول والنظر في هذه الأصول وربطها فعليًا بالهوية ، مساحة CBRE IP. لذلك نحن في الواقع نحصل على رؤية CBRE كما يفعل المهاجمون ، وفي كثير من الأحيان تكون هذه الأدوات آلية. لذلك نرى أكثر بكثير مما قد يراه أي متسلل بشكل فردي. نحن نرى بيئتنا بأكملها.

لوريل : هذه هي الطريقة التي تقيس بها سطح الهجوم.

جريج: بالضبط.

لوريل: تحاول أن تجد كل ما تستطيع. تستخدم بعض المؤسسات هذا المخزون كمقياس ، مثل السرعة التي يستغرقها قياس جميع الأصول الخاصة بك لإجراء جرد كامل للأصول ثم مقارنتها بما يراه المهاجمون؟ كما ذكرت ، قد يرى أحد المهاجمين شيئًا واحدًا فقط ، ولكن غالبًا ما يعمل المهاجمون كفريق واحد ، كما رأينا هذا مؤخرًا مع استغلال خط أنابيب المستعمرة. فكيف يعطي هذا للشركات دفعة للأمام؟

جريج: إنها رحلة. عليك أن تنظر عندما تبدأ في إدارة سطح الهجوم ، فإن النظام الأساسي الذي تختاره سيحدد الكثير من الأصول التي قد تكون مرتبطة أو لا ترتبط بشركتك. لذا فإن أول شيء ستنظر إليه هو ما هي النسبة المئوية للأصول التي حددناها بشكل إيجابي كأصول لدينا؟ المقياس الأول هو ، كم عدد الذي اكتشفته؟ كم حددنا؟ ما المتبقي ليتم إنجازه؟ من هناك ، انتقلنا شخصيًا إلى إلقاء نظرة على موضوعاتنا الخمسة الكبرى التالية. إذن ، أشياء مثل: هل كشفت أداة إدارة سطح الهجوم لدينا عن شهادات منتهية الصلاحية وحسابات سحابية ربما لم نكن على علم بها؟ هل اكتشفنا أي برامج ضارة تخرج من إحدى نقاط تواجدنا؟

سأعطيكم مثالاً: لدينا حالة اكتشفوا فيها برامج ضارة قادمة من أحد مكاتبنا في أوروبا ، ولذا بدأنا على الفور في العمل. حاولنا تحديد الأصل الذي كان. بالنسبة لحياتنا ، لم نتمكن من تحديد الأصول التي كانت. نظرنا إلى علامة الأصول. كان جهاز كمبيوتر محمول ، لكن لم يكن لدينا على شبكتنا. لم يكن مرتبطًا بمستخدم. وبسبب ذلك ، أدركنا أن شبكة ضيوفنا كانت تخرج من نفس نقطة التواجد من ذلك المكتب ، ولذا كان هذا شيئًا. لحسن الحظ لم تكن حادثة برامج ضارة حقيقية ، ولكن شخصًا ما كان ضيفًا في شبكتنا كان لديه شيء كان أحد الأصول المتأثرة.

هذه هي أنواع الأفكار التي بدأنا في استخلاصها من إدارة سطح الهجوم على مدار السنوات الثلاث الماضية. الآن ، نحن نتطلع إلى أن نكون أكثر تقدمًا وننظر في تجميع كل هذه الأشياء في مجموع النقاط ، مثل درجة الائتمان إلى حد كبير.

لوريل : هذا مذهل ، يمكنك الانطلاق إلى العمل بسرعة عندما تلاحظ شيئًا ليس صحيحًا تمامًا في شبكة عالمية من هذا القبيل. يبدو هذا عاجلاً ، أليس كذلك؟ إذن ، كيف يمكنك التعبير عن زملائك والموردين وجميع الشركاء في السلسلة والنظام البيئي بأكمله ، ما مدى أهمية التعرف على إدارة سطح الهجوم؟ أيضًا ، بالنسبة لك ، هل تجد نفسك رائدًا أو ربما قائد موكب حيث تقود الطريق لكثير من الشركات الأخرى لفهم أن هذا النوع من التكنولوجيا وطريقة التفكير في الأمان موجودة هنا ، كما لو كانت حقيقية شيء؟

جريج: بقدر ما أود أن أكون صاحب رؤية ، فأنا بالتأكيد لست صاحب رؤية ، لكن هذه مفاهيم معروفة منذ فترة. لقد بدأوا الآن للتو في الحصول على اعتماد على نطاق واسع. عندما بدأت الحديث عن إدارة سطح الهجوم ، لم يكن من السهل فهمها.

دقة عالية الجانب البعيد من القمر

بمجرد أن تشرح ما تفعله وما ستمنحه لك أدوات إدارة سطح الهجوم ، حدثت لحظة المصباح الكهربائي بسرعة كبيرة. رأى CISO على الفور القيمة في هذه الأداة ، وقال على الفور إننا بحاجة إلى التأكد تمامًا من تحديد جميع أصولنا. ما الذي يمكننا استخلاصه أكثر من هذه الأنظمة؟ كان عظيما. رأينا الظل IT. لقد رأينا حسابات سحابية لم نكن نعلم بوجودها. لقد رأينا أجهزة أو شهادات خاطئة كانت على وشك الانتهاء. لذا تتضح قيمة ذلك على الفور ، لكنه شيء يتطلب القليل من الشرح.

لوريل: لذلك عندما تحدثت عن النتيجة الإجمالية لإدارة سطح الهجوم ، فإن ذلك يبدو وكأنه شيء يمكن فهمه أكثر إلى حد ما بالنسبة لمجلس الإدارة والعديد من الرؤساء التنفيذيين والمديرين التنفيذيين الآخرين. لذا يمكنك القول إننا نتحسن ، أو أننا لا نقدم أداءً جيدًا هذا العام أو ربع السنة حيث ننظر إلى النتائج في المجموع واحدًا تلو الآخر. هل تعتقد أن هذا الفرز ، أو طريقة إحضار بطاقة الأداء إلى الأمان ، ستساعد في هذا النقاش مع الرؤساء التنفيذيين والمديرين التنفيذيين ومجالس الإدارة بشكل عام؟

جريج : قطعا. لطالما كانت صعبة. الكل يريد أن يعرف ، خاصة بعد هجوم مثل خط الأنابيب الاستعماري ، هل يمكن أن يحدث ذلك لنا؟ ما مدى أماننا؟ ما هي درجاتنا ، أو هل هناك مقياس يمكنك إعطائي إياه لتخبرني ما إذا كنت آمنًا أم لا ، أو أن برنامجنا فعال؟ في كثير من الأحيان ، سنمنحهم مجموعة متنوعة من المقاييس. إليك جميع نقاط الضعف التي لدينا. فيما يلي حالات البرامج الضارة التي اكتشفناها وقمنا بتنظيفها. إليكم جميع الحوادث الأمنية التي نراها كل يوم. لكن هؤلاء لا يترجمون بالضرورة إلى ، هل نحن بأمان؟ هل نتحسن؟ هل هناك مجالات يمكننا التركيز فيها؟ لذلك عندما ننظر إلى إعطاء مقياس واحد ، فمن المؤكد أنه يساعد في توضيح تلك الصورة. إذا كان بإمكانك شرح كيفية اشتقاق هذا المقياس ، وكيف كان مجموعة من العوامل مثل الشهادات ، أو نقاط الضعف ، أو التكوين ، وماذا عن إجمالي تطبيقك الذي يفحص اختبار أمان التطبيق؟

إذا نظرت إلى الطريقة التي قمنا بها بتقليل جميع نقاط الضعف عالية الخطورة لدينا من منظور أمان التطبيق ، فإن هذه العوامل في ذلك. لذا فإن الخروج بهذه الصيغة ، من الصعب بالتأكيد. إنه شيء يمثل تحديًا ، والناس مثلي في الأمن يزدهرون في مثل هذه الأنواع من التحديات. لكن هذا بالتأكيد هو المكان الذي أرى فيه الرؤساء التنفيذيين ومجالس الإدارة الذين أصبحوا بالتأكيد أكثر ذكاءً في مجال الأمن ، وهذا هو المكان الذي أراهم يريدون فيه هذا المقياس. إنهم يريدون أن يروا نتيجة تمنحهم إحساسًا بالراحة بأننا نقوم بعمل أفضل ، وهذا ليس شيئًا ثابتًا. إنه ليس شيئًا سيتحسن دائمًا لأن نقاط الضعف الجديدة والهجمات الجديدة تحدث طوال الوقت ، وستتغير هذه النتيجة. لكن قدرتنا على رؤية النتيجة ، والرد على التهديدات ، ثم الحفاظ على تحسن هذه النتيجة هي مقياس رئيسي بالنسبة لنا.

لوريل: هل تشعر أن مجالس الإدارة والفرق التنفيذية أصبحت أكثر دراية بالأمن؟ أعني ، من المستحيل ، أليس كذلك ، عدم رؤية عناوين الأخبار كل أسبوع تقريبًا لخرق واحد أو آخر ، لكن هل يتم التصفية؟

جريج: بلى. أنا شخصياً أعلم ، بالنسبة لنا ، أننا نحصل دائمًا على قائمة سنوية بالأولويات التي يصدرها الرئيس التنفيذي ومجلس الإدارة. منذ أن عملت في شركتي في CBRE الآن ، فقد احتلت المرتبة الأولى أو الثانية في كل عام. لذا فهي أولوية قصوى ، لأنهم يرون العناوين الرئيسية.

كما سيخبرك أي متخصص أمني ، في أي وقت يخرج فيه شيء من الضعف ، يوم صفر ، هجوم مثل خط أنابيب كولونيال ، يُطرح علينا جميعًا نفس السؤال. هل يمكن أن يحدث هذا هنا؟ هل نحن في خطر؟ لذا فإن هذه الأنواع من الأشياء تضغط تمامًا على أذهان مجلس الإدارة. الشيء المثير للاهتمام بالنسبة لي هو أن مجالس الإدارة ترغب الآن في جلب أعضاء يتمتعون بقدر أكبر من الذكاء الأمني ​​، وهم يطرحون أسئلة صعبة. ماذا تفعل حيال نقاط الضعف هذه؟ كيف يمكنك التصحيح بسرعة؟ ما هي الفترة بين الضعف والترقيع؟

هذه هي الأشياء التي تتحدث مباشرة إلى لغتنا الأمنية المهنية. بالتأكيد ، إنها وثيقة الصلة بنا ، لكنها بالتأكيد أكثر مباشرة واستثمارًا بشكل أكبر ، كما أنها تمنح مجلس الإدارة إحساسًا بالراحة من أن الشخص الذي يقف بجانبهم يتحدث لغة الأمان.

لوريل : أعني ، هذا ما تريد رؤيته ، أليس كذلك؟ من الواضح أن أولويات مجلس الإدارة واسعة ، وإحدى هذه الأولويات هي تحقيق الربح ، والأخرى هي عدم خسارة الأرباح ، وقد يؤدي هجوم الأمن السيبراني إلى الإضرار بذلك. لذلك عليك التأكد من أنك تتحدث اللغة في جميع أنحاء الشركة.

جريج : قطعا.

لوريل : لقد تحدثت قليلاً عن الكيفية التي تمنحك بها إدارة سطح الهجوم هذه البصيرة لمعرفة أن الكمبيوتر نفسه به برامج ضارة ، لكنه لم يؤثر على الشبكة بعد. إذن ، هل هناك رؤى أخرى رأيتها من برامج إدارة سطح الهجوم التي فاجأك أو جعلتك تدرك مدى أهمية امتلاك هذه القدرة؟

جريج : نعم. مثل الكثير من الشركات الكبرى ، نجري اختبار القلم السنوي. أي أننا نوظف شخصًا من خارج شركتنا لمهاجمتنا كما يفعل الأشرار. هذا يعطينا فكرة عن المدى الذي يمكن أن يقطعوه. الفرق مع الهجمات الفعلية وهذه الشركات التي نوظفها هو أننا نمنحهم مجموعة زمنية محددة. نقول ، 'أمامك ستة أسابيع للاقتحام والوصول إلى أبعد ما يمكنك في بيئتنا' ، ونمنحهم شروط المشاركة. يُسمح لك بفعل هذه الأشياء ، لكن لا يُسمح لك بفعل هذه الأشياء الأخرى.

في السنوات التي استخدمنا فيها إدارة سطح الهجوم ، كان من الرائع رؤية هذه الهجمات. يعودون ويعطونك قراءة أسبوعًا بعد أسبوع ، هذا ما نراه ، هذه هي الأشياء التي استغلناها. نحن قادرون على رؤية العديد من نفس الأشياء التي يمكنهم رؤيتها.

على سبيل المثال ، أشاروا هذا العام إلى موقع ويب مستضاف في جنوب إفريقيا. قالوا إنه يشغل إطار العمل هذا ويبدو أنه موجود على مزود الاستضافة هذا. يبدو أنه لا توجد ثغرات أمنية ، لكننا نهاجمها ونرى ما إذا كنا لا نستطيع اختراقها. هل هذا IP الخاص بك؟ نعم نعم انها هي. نحن ندرك ذلك من خلال أداة إدارة سطح الهجوم. نحن على علم بالتطبيق. لا يمكننا بالضرورة تأمينه لأننا لم نتحمله. إنه جزء من shadow IT.

ولكن نظرًا لأننا أظهرنا ذلك ، أصبح بإمكاننا الآن محاولة معرفة من كان يدير موقع الويب هذا بالضبط ، وما الذي يتعين عليهم القيام به لتأمينه ، وما إذا كانوا بحاجة إلى إدخاله إلى مجموعتنا واستضافته من خلال مقدمي خدمات استضافة تكنولوجيا المعلومات القياسيين للشركات ، تلك الأنواع من الأشياء.

لذلك كان لا يقدر بثمن من وجهة نظر النظر إليه على أنه اختبار قلم ، فنحن قادرون على رؤية العديد من الأشياء نفسها التي يراها مختبرو الاختراق من خلال إدارة سطح الهجوم. لذلك كان من المريح معرفة أن لدينا عيونًا وبصرًا في نفس الأشياء التي قد يفعلها المهاجم.

لوريل : عندما تتحدث عن ذلك ، كيف يمكن فعلاً أن يساعد فريق الأمن لديك على أن يكون أكثر نجاحًا في صد الهجمات؟ كيف تساعد ASM أو إدارة سطح الهجوم في ذلك؟

جريج : الرؤية هي اسم اللعبة من منظور أمني. أردنا أن نكون قادرين على رؤية كل شيء في بيئتنا. ثم تتخذ خطوة أبعد من ذلك وتقول ، حسنًا ، الآن بعد أن أصبح بإمكاننا رؤية كل شيء ، ما نوع السلوك الذي نراه من هذه الأصول؟ كانت تلك هي الخطوة التالية ، بالعمل مع شريكنا في إدارة سطح الهجوم ، للبدء في رؤية سلوك هذه الأصول ، سواء كانت تشير أم لا إلى احتمال وجود حل وسط أو وجود نوع من الضعف. إنه يشبه إلى حد كبير اختبار الانبعاثات. لذلك عندما تفكر في سيارتك وتأخذها لاختبار الانبعاثات ، فإنهم يربطون جهازًا بأنبوب العادم الخاص بك ويرون ما يخرج من سيارتك ويمنحونك درجة النجاح أو الفشل.

إدارة سطح الهجوم مشابهة جدا لذلك. من وجهة نظر سلوكية ، نحن قادرون على النظر في كل نقاط التواجد هذه ، كل عناوين IP للإنترنت هذه ومعرفة ما يخرج منها. هذا يعطينا بعض الأفكار عن سلوكهم. ثم نأخذ خطوة أخرى إلى الأمام الآن ، ونحن في الواقع ندمج كل ذلك في الوقت الفعلي مع بطاقة SIM الخاصة بنا ونظام إدارة الأحداث والحوادث الأمنية. تتم مراقبة ذلك على مدار الساعة طوال أيام الأسبوع من قبل مركز عمليات الأمن لدينا بحيث عندما نرى شيئًا يرتفع إلى مستوى حادث أمني ، يمكننا الرد عليه في الوقت الفعلي.

لوريل: وهو بالضبط ما تريد القيام به ، جعل الآلات تقوم بالكثير من الرفع الثقيل ، ثم جلب البشر لمعرفة ما يحدث وما يحدث بالفعل وتأمين الشركة بأكملها.

جريج: بالتأكيد نعم.

لوريل: كيف يؤثر اعتماد الخدمات السحابية في كل مكان تقريبًا على طريقة تفكيرك في الأمان وإدارة سطح الهجوم. سواء كانت حالات منسوجة أو مصعد ، فهي لا تزال سطحًا ، أليس كذلك؟

جريج: هذا صحيح ، وهو مصدر قلق رئيسي. عندما تفكر في الطبيعة المرنة لمعظم مزودي الخدمات السحابية ، يمكن إنشاء الكثير من البنية التحتية في دقائق ، وقد تكون أو لا تكون على دراية بهذه البنية التحتية ، وكيف تتصل ، وما هي نقاط الضعف التي بنيت فيها. تمنحنا إدارة سطح الهجوم نفس الرؤية التي يتمتع بها المهاجم. لذا ، عندما تتطور الأمور ، إذا تم تكوينها بشكل خاطئ ، على سبيل المثال ، وتسرب البيانات بطريقة ما ، حتى البيانات الوصفية ، حولها ، مرحبًا ، أنا هنا ، أنا خادم ويب. ها هي روايتي. هذا هو رقمي الذي يمنح المهاجم مجموعة من المعلومات التي لا نريدهم بالضرورة أن يروها. ما نوع الثغرات الأمنية الموجودة لخادم الويب المحدد والإصدار ، وما الأشياء التي يمكنني كشفها؟ هذا التعرض بحد ذاته يمنح المهاجمين موطئ قدم. يمكنهم البدء في فحص هذا الأصل المعين وإلقاء نظرة على طرق التأثير الغاشم أو طرق الباب حتى يتمكنوا بالفعل من إيجاد طريقة للدخول إلى بيئتنا.

لذا من وجهة نظرنا ، تمنحنا إدارة سطح الهجوم تلك الرؤية فيما إذا كنا ننظر إلى جميع بيئاتنا السحابية ويمكننا إخبارهم بما نستخدمه وما ندركه ، ثم يمكنهم مراقبة تلك التغييرات في وضعنا التي خرجت ، وانظر إلى ما إذا كان لدينا أصول أم لا لم نعني بالضرورة الكشف عن الإنترنت ، وما نقوله للعالم من خلال الكشف عن تلك الأصول. لذا فقد كان هذا بالتأكيد بمثابة تغيير لقواعد اللعبة بالنسبة لنا عندما نفكر في كيفية عمل بيئتنا السحابية. لقد ساعدنا ذلك في التأكد من أن بيئتنا السحابية ، باستثناء نقاط تواجد محددة للغاية ، موجودة إلى حد كبير داخل تلك الشبكة السحابية الخاصة.

لوريل : لقد كان عامًا صعبًا للغاية بالنسبة لكثير من الناس والكثير من الصناعات ، لكن تداعيات الوباء في جميع أنحاء صناعة العقارات التجارية سوف تمتد لسنوات ، إن لم يكن عقودًا. ما الذي تفكر فيه بشكل مختلف مع الأمن بسبب الوباء؟

جريج: بالتأكيد ، أول ما يتبادر إلى الذهن العام الماضي مع عمل الجميع من المنزل ، وأعتقد أن هذا سيكون صحيحًا لعدد من السنوات ، هو كيف نحمي الأشخاص الذين يعملون الآن من المنزل؟ كيف نحمي الموظفين الموجودين على شبكة منزلية مع عائلاتهم؟ قد لا تمتلك عائلاتهم نفس أدوات الأمان التي لدينا وقد تتعرض أصولنا للخطر. لذلك نظرنا إلى أشياء مثل Always On VPN ، والتي ستحمي موظفينا من كل ما يحدث على شبكتهم المنزلية الخاصة. كان هذا بالتأكيد مفيدًا. نحن نبحث أيضًا عن تقنيات جديدة مثل Secure Access Service Edge ، حتى نتمكن من محاولة تقريب جميع أدواتنا وتقنياتنا من الأشخاص الذين سيعملون من المنزل أو يعملون من أي مكان في هذا الصدد.

ثم أخيرًا ، أعتقد أنه يركز بشكل كبير على الأمن ككل. هناك الكثير من الوعي بالأشياء التي حدثت في العام الماضي أو نحو ذلك والتي دفعت حقًا إلى الحاجة إلى برنامج جيد للأمن السيبراني. لذلك كان له تأثير جعل وضعًا سيئًا بالفعل للعثور على متخصصين أمنيين جيدين وموثوقين بالفعل أكثر خطورة. من الصعب جدًا العثور عليهم وظروفهم مختلفة الآن. يعمل الكثير من المتخصصين في مجال الأمن من المنزل ، ويريدون هذه المرونة المتزايدة لمواصلة العمل من المنزل ، أو الحصول على جدول زمني مرن ، أو العمل من مكتب مختلف. لذا فإن العثور على أشخاص جيدين حقًا هو بالتأكيد أكثر صعوبة بعد الوباء.

لوريل : أعتقد أن هذه مشكلة ليس فقط لأفراد الأمن ، ولكن بشكل عام ، حيث يغير الناس الطريقة التي يعيشون بها ويريدون العمل. كان الشيء المثير للاهتمام الذي قلته هو مجرد فكرة تأمين الشبكة المنزلية ، مما يعني أن مسؤولية الشركة بدأت تمتد لتتجاوز مناطق الشركة المحددة جيدًا في العادة. لأن الحقيقة هي أنه إذا لم يكن المنزل مؤمنًا ، فإن الشبكة ليست آمنة ، ومن ثم يكون موظفك غير آمن.

جريج : هذا صحيح تمامًا. عندما تفكر في الأمر ، لدينا بعض المعرفة بمن هم الأشخاص الأكثر تعرضًا للهجوم. نحن نعرف بعض الأشخاص الذين يتم استهدافهم في كثير من الأحيان إما لأنهم مديرون تنفيذيون من نوع ما ، أو لأنهم عملوا ضمن مسؤول تنفيذي ، أو أنهم في منصب ، على سبيل المثال ، في المجال القانوني أو المالي حيث يمكن للمهاجم الاستفادة تلك المواقف لارتكاب بعض الاحتيال.

التفكير في الطريقة التي نحمي بها هؤلاء الأشخاص عندما يعملون من المنزل هو مصدر قلق رئيسي لنا. لقد كان تطبيق Always On VPN هذا تحديًا في طرحه في كل مكان ، لكننا فعلنا ذلك في وقت قصير. الآن لدينا نفس الحماية الممنوحة لجميع موظفينا ، سواء كانوا في المنزل أم لا ، سواء كانوا في المكتب أم لا ، أو في المقهى. أعتقد أن هذا بالتأكيد خفف قدرًا كبيرًا من المخاطر.

نثق في التشفير

لوريل : جريج ، شكرًا جزيلاً لك على انضمامك إلينا اليوم فيما كان محادثة رائعة في Business Lab.

جريج: شكرا لك. أنا فعلا أقدر ذلك.

كان هذا هو جريج بيلانجر ، نائب رئيس تقنيات الأمن في CBRE ، الذي تحدثت معه من كامبريدج ، ماساتشوستس ، موطن MIT و MIT Technology Review ، المطل على نهر تشارلز. هذا كل شيء في هذه الحلقة من Business Lab. أنا مضيفتك لوريل روما. أنا مدير Insights ، قسم النشر المخصص في MIT Technology Review. تم تأسيسنا عام 1899 في معهد ماساتشوستس للتكنولوجيا ، ويمكنك أن تجدنا في المطبوعات وعلى الويب وفي الأحداث التي تعقد كل عام حول العالم.

لمزيد من المعلومات عنا وعن العرض ، يرجى مراجعة موقعنا على technologyreview.com. العرض متاح أينما تحصل على البودكاست الخاص بك. إذا استمتعت بهذه الحلقة ، نأمل أن تستغرق دقيقة لتقييمنا ومراجعتنا. Business Lab هو إنتاج من MIT Technology Review. تم إنتاج هذه الحلقة بواسطة Collective Next. شكرا على الإنصات.

تم إنتاج حلقة البودكاست هذه بواسطة Insights ، ذراع المحتوى المخصص في MIT Technology Review. لم يتم إنتاجه من قبل فريق التحرير في MIT Technology Review.

يخفي

التقنيات الفعلية

فئة

غير مصنف

تكنولوجيا

التكنولوجيا الحيوية

سياسة التكنولوجيا

تغير المناخ

البشر والتكنولوجيا

وادي السيليكون

الحوسبة

مجلة Mit News

الذكاء الاصطناعي

الفراغ

المدن الذكية

بلوكشين

قصة مميزة

الملف الشخصي للخريجين

اتصال الخريجين

ميزة أخبار معهد ماساتشوستس للتكنولوجيا

1865

وجهة نظري

77 Mass Ave

قابل المؤلف

ملامح في الكرم

شوهد في الحرم الجامعي

خطابات الخريجين

أخبار

انتخابات 2020

فهرس With

تحت القبه

خرطوم الحريق

قصص لانهائية

مشروع تكنولوجيا الوباء

من الرئيس

غلاف القصه

معرض الصور

موصى به