AJ Debole, Oracle’da Field Ciso’dur, ancak yolculuğu kurumsal yönetim kurulu odasından çok başladı.
Hukuk ve hükümete başladıktan sonra, fidye yazılımı krizleri aracılığıyla takımlara liderlik ettiği sağlık ve siber savunmaya geçti.
Bu spot ışığında, bir sonraki zorluk dalgasını araştırıyor – güvenliği iş teşvikleri ile hizalamak, AI yayılımı evcilleştirme ve hepsini bağlayan API’leri güvence altına almak.
Kariyerinin başlarında, Siber’da çalışmadan önce AJ, blockchain teknolojisine daldı, Ethereum’u buldu ve programlanabilir para ve akıllı sözleşmeler fikrine çekildi. Bu tutku, Massachusetts Ordusu Ulusal Muhafızlarında yeni oluşturulan siber ünitede rolüne yardımcı olan bir akıl hocasının dikkatini çekti. Ancak kurumsal küreye girmek kolay bir başarı değildi.
“Özgeçmişimi püskürtüyor ve dua ediyordum. Herkesin özgeçmişimi okumasını ve benimle konuşmasını sağlamak için umutsuzdum çünkü iyi bir röportajcı gibi hissettim” dedi.
Sorunun bir kısmı, rol için işe alan insanların nadiren iş tanımları yazan ve özgeçmişlerle sürünen insanlar olduğuna inanıyor.
“Orada bir boşluk var,” dedi. “İşe alırken özgeçmişlere bakmak istedim. Ve ne aradığımı bilmiyordum, ama biri ilginç görünüyorsa, kağıt üzerinde mükemmel olmasalar ve doğru eğitim veya terim kelimeleri olmasalar bile onlarla röportaj yapmak istedim.”
İleriye baktığımızda AJ, CISO rolünün daha fazla “MBA türü” ile “daha fazla iş” olmasını bekliyor. Bu yörüngenin arkasındaki mantığı anlıyor: iş hedeflerini tercüme etmek ve güvenlik programlarının onlarla uyumlu olmasını sağlamak daha önemli hale geliyor.
Bununla birlikte, bu odağın insanları önemli güvenlikten daha fazla iş ve uyumluluk konusunda önemsediğinden endişe duyuyor – ve kuruluşlar bunun için acı çekecek.
“Sorun şu ki, önemli güvenliğin daha fazla teknoloji deneyimi, daha fazla nüans ve daha da önemlisi, bu teknoloji hakkında bunu gerçekten bilmek ve önemsemek için yeterli merak” dedi.
Bununla birlikte, ihtiyaçların ekipler ve kuruluşlar arasında farklılık gösterdiğini kabul ediyor. Bazı kuruluşların teknik bir CISO’ya ihtiyacı var, bazıları istemiyor; Ancak hepsinin hiyerarşinin bir düzeyinde teknik uzmanlığa ihtiyacı var.
“Devlet için çalışırken, CISO’m için teknik bir milletvekili olarak kabul edildim, çünkü benden daha az teknikti” dedi. “Ama sonra bir CISO olduğumda, teknik yeteneğim hakkında güvensizdim, bu yüzden milletvekilim olarak derin bir teknik geçmişe sahip birini bulmayı başardım.”
Nihayetinde AJ, en iyi CISO’lardan bazılarının kuruluşlarının hem iş hem de teknik yönlerini bilenler olduğuna inanıyor. Onun için bu insanlar liderlik ile nasıl iletişim kuracaklarını, gereksinimleri çevireceklerini ve onlara rapor veren kişilerin çabalarını maksimum etki için yönlendirebilmelerini, tükenmişlikten kaçınabilmelerini ve net bir göreve bağlı kalmasını sağlayabilmelerini biliyorlar.
Liderlik ile iletişim kurma konusunda AJ, özel bir yaklaşımın her zaman en etkili olacağına inanmaktadır. Her yönetim kurulu ve her yönetim kurulu üyesi farklıdır ve CISOS stillerini buna göre ayarlamalıdır.
“Fark ettiğim bir şey, tahtalarla etkileşime girme konusundaki konuşmaların, sanki bir yaklaşım her yerde çalışıyormuş gibi, sanki tüm panolar aynı gibi çerçevelenmiş olmasıdır.” Dedi.
AJ’ye göre, “her yönetim kurulu üyesinin farklı deneyimleri olduğunu, farklı şeylerle yakıldıklarını, farklı başarılardan ödüllendirildiklerini” hatırlamak önemlidir.
Bu perspektifleri anlamak, mesajlaşmayı ve alımını güvenli bir şekilde uyarlamaya yardımcı olur. “Yönetim kurulu üyeleriyle bağlantı kurabiliyorsanız,” diyor AJ, “ister kaynaklar ister belirli bir program türü olsun, ihtiyacınız olanı etkili bir şekilde savunabilirsiniz. Onlarınkini anlamıyorsanız birisini perspektifinizi göremezsiniz.”
Güvenlik girişimlerini hizalamak, liderlerle iletişim kurmanın en önemli yönlerinden biridir. Ve AJ için her şey teşviklerle başlar.
“Günün sonunda, her şey paraya iniyor. İnsanlar belirli şeylerden anlaşılıyor. Kuruluşlar belirli davranışları teşvik ediyor. Sorun şu ki, birçok kuruluşun bonus yapılarının elde etmeye çalıştıkları şeyle yanlış hizalanması ve güvenlik bunu düzeltemiyor” dedi.
Ancak teşvikler ve hedefler hizalandığında, güvenlik öncelikleri daha açıktır.
AJ, “İş hedefleri etrafında bilinçli olarak finansal teşvikler inşa eden bir kuruluşta olacak kadar şanslıysanız, insanların neye önem verdiğini anlamak ve buna odaklanmak kolay olmalı” dedi.
Tarihsel olarak, güvenlik kritik varlıklara odaklandı ve önce yüksek değerli uygulamaları korudu. Ancak AJ’nin işaret ettiği gibi, saldırganlar mimarilerini anlamak için uygulamalara daldılar. Gölge API’lerini bu şekilde bulurlar veya kırık nesne seviyesi kimlik doğrulamasını bu şekilde bulurlar.
AJ’ye göre çözüm perspektifi kaydırmaktır.
“Bu sadece varlıklara değer atamakla ilgili olmamalı” dedi. “Saldırı zincirlerini anlamak, mimarinize nasıl uygulandıklarını ve başladıktan sonra bunları nasıl algılayabileceğiniz ve içerebileceğiniz hakkında daha fazla olmalı.”
Başarı, mühendislik ekipleriyle ortaklık kurmayı ve bir iş mantığı lensi aracılığıyla uygulamalara bakmayı gerektirdiğini savundu. “Bu şekilde daha güçlü savunmalar inşa ediyorsunuz.”
Dünyanın en iyi CISO’su bile bir veri ihlali ile karşılaşacak. Ne kadar hazırlıklı oldukları, buğdayı samandan ayıran şeydir.
AJ, hafızasına yapışan özellikle “gnarly” fidye yazılımı saldırısını hatırladı:
“Sağlık hizmetiydi, Covid’di, ilk CISO rolümdü. Milyonlarca insanı desteklemek için uygulamaları da döndürürken uzaktan çalışmaya geçmenin stresini hayal edebilirsiniz.”
Neyse ki, AJ hazırlanmak için askeri deneyimine yaslanmıştı.
“Mavi takımlar ve kırmızı takımlarla büyük egzersizler yapacağız. Günün sonunda herkes bir araya gelecekti – savunucular ne aradıklarını açıklayacaklardı, saldırganlar her iki tarafı da görmek, savunucular olarak işe yarayanları, neyi tanımlamaya ve saldırıları daha yetkin bir şekilde tanımlayabileceğimize ve bozabileceğimize nasıl yardımcı olabileceğimize yardımcı olur.
Fidye yazılımı olayı vurulduğunda, bu hazırlık ekibinin saldırıyı kesintiye uğratabileceği ve sonuçta büyük haber başlıkları yapmaktan kaçınabileceği anlamına geliyordu.
“Onsuz, gerçekten kötü bir zaman geçirirdik” dedi.
Bununla birlikte, AJ herkesin askeri deneyimden yararlanamayacağını kabul eder, bu nedenle mor takımlara pratik bir alternatif olarak işaret eder.
AJ, “Herkes yıllık kalem testini yapıyor, ancak bunlardan birkaçından sonra neredeyse hareketlerden geçmek gibi geliyor. Bir sonraki seviyeye atmalı ve ‘Bu kalem testi yapılırken savunma ekibim bunu görebilir mi?’ Demelisiniz. Savunucularınızı araçlarınızı ve süreçlerinizi kullanarak ortamınızda anlamlı bir pratik yapabilecekleri bir konuma getirin.
Bu yaklaşımın faydaları iki yönlüdür: kuruluşlar gerçekçi koşullar altında araçları test eder ve insanları şüpheli faaliyet ve normal iş operasyonları arasındaki farkı anlatmaları için eğitir.
Aslında, AJ bu yaklaşıma o kadar güveniyor ki, uyumluluk standartlarının bunu dahil etmesi gerektiğini savunuyor.
“Birkaç yılda bir kuruluşların kırmızı bir takım mavisi takım egzersizi yapmaları gerektiğinde güzel olurdu. Saldırıları bozma ve korumak için ücretlendirdiğimiz işletmeleri koruma şansımız varsa, bu kilit bileşendir” dedi.
AJ, AI araçlarının ve yeteneklerinin, büyümek için işletmeler tarafından nasıl düşünceli bir şekilde kaldırılabileceğini görmekten heyecan duyuyor, ancak çeşitli araçların nasıl uygulandığına, belgelendiğine ve izlendiğine bağlı olarak güvenlik riskleri hakkında endişe duyduğunu ifade ediyor.
“Birçok işletmenin sadece AI kullanmak istediğini söyleyebilirim çünkü AI kullandıklarını söylemek istiyorlar ve bu hissedarlarını mutlu edecekler, ancak ne yaptıklarını ya da nasıl yaptıklarını umursamıyorlar. Ve bence bu çok tehlikeli” dedi.
AI’yı ne olduğunu görüyor: Araç kutusunda, işleri hızlandırabilecek, maliyetleri azaltmaya ve geliri artırabilen başka bir araç. Ama aynı zamanda düşüncesizce uygulanmanın dağınık, disiplinsiz ve başka bir şey gibi, anlaşılması, kontrol edilmesi ve savunulması zor olabileceğini savunuyor.
AJ için AI girişimlerini iş hedefleri ve güvenlik stratejileri ile hizalamak çok önemlidir.
“AI girişimleriniz iş hedefleriyle uyumlu değilse, iş stratejisine veya ondan takip etmesi gereken güvenlik stratejisine entegre olmazlar. Bunun yerine, verilerin ve bu ajanların etkileşime girdiği sistemleri anlamak için bağlamdan yoksun ayrı bir konu haline gelirler” dedi.
Bununla birlikte, AJ yararlı AI uygulamaları gördü.
“Bazı kuruluşlar, saldırı modellerini tanımlamak, onları 2. veya 3 analiste götürmek için derin öğrenme ve veri madenciliği kullanan AI güdümlü SOC’ler inşa ediyor ve daha sonra olası yanıt seçenekleriyle birlikte neler olduğunu açıklamak için bir LLM’den yararlanıyor. Oradan bu eylemleri gerçekleştirebilir. Bunu gerçekten harika görüyorum” dedi. Birçok teknoloji uzmanı da rapor ve belgeler yazma ile mücadele ediyor. Bu, LLMS’nin güvenlik ekiplerimizdeki yükü hafifletebileceği ve daha yüksek etkili faaliyetlere odaklanmaları için zaman verebileceği başka bir alandır.
AJ, API güvenliğinin muazzam önemi üzerinde açıktır-özellikle AI uygulamalarıyla ilgili olduğu için.
“API’ler ve AI ajanları, işin daha hızlı ve daha verimli çalışması için süreci iletişim kurmasına, otomatikleştirmesine ve standartlaştırmasına olanak tanıyan bağ dokusudur. Sorun, bazen çok sayıda ve çoğu zaman otomatik olarak diğer programlar tarafından döndürülmeleri çok kolaydır” dedi.
AJ, özellikle mimariler daha karmaşık ve iç içe geçtikçe, bu tür yayılmanın anlaşılması ve izlenmesi zor olabileceğini savundu.
Zincirde bir şeyler ters giderse, bu mimarinin ve beklenmedik bağımlılıkların diğer yönlerini etkileyebilir, gizlilik, dürüstlük ve kullanılabilirlik tehditleri yaratabilir.
Peki, AJ kuruluşların API’lerini güvence altına almak için ne yaptığını öne sürüyor? Onun için en çok iki şey önemlidir:
- Görünürlük: Onu savunmak için neye sahip olduğunuzu bilmelisiniz.
- API Yaşam Döngüsü: API’lerin ne zaman ve neden oluşturulduğunu, nasıl inşa edildiğini, artık ihtiyaç duymadığınızı ve nasıl uygun şekilde emekli olduklarından nasıl emin olduklarını tanımlayın.
Bu disiplin olmadan AJ uyardı, eski bağlantılar saldırganların onları keşfetmesi için yeterince uzun süre kalabilir.
Wallarm’ın yaklaşımının AJ’nin API güvenliği vizyonuyla nasıl uyumlu olduğu hakkında daha fazla bilgi edinmek ister misiniz?