Mike Wilkes, birçok siber güvenlik profesyonelinin sadece hayal edebileceği bir kariyeri oldu. Yardımcı bir profesör, Marvel ve MLS eski Ciso, Dünya Ekonomik Forumu üyesi, davulcu ve Harlem’deki Ulusal Caz Müzesi’nde yönetim kurulu üyesi, ilgi alanları ve başarıları etkileyici oldukları kadar eklektik.
Ciso Spotlight’ın ilk baskısında, dikkat çekici kariyerini tanımlayan becerileri, stratejileri ve hikayeleri keşfetmek için Mike ile oturduk ve modern siber güvenlik endüstrisini tanımlayan en son trendleri ele aldık.
Felsefeden güvenlik duvarlarına kadar
Muhtemelen toplandığınız gibi, Mike Wilkes’in tipik bir kariyer yolu yoktu. Felsefe ve Stanford’dan eğitim felsefesinde bir yüksek lisans ile kariyerine Kaliforniya K-12 Eğitim Düşünce Tankında çalışmaya başladı. Ancak, yeteneklerini teknoloji dünyasında daha iyi kullanmaya koyabileceğini fark etmesi uzun sürmedi.
“Palo Alto’nun çöplüklerinde sınıflardan daha fazla bilgisayar vardı” dedi. “O zaman teknolojinin gerçek bir fark yaratabileceğim yer olduğunu biliyordum.” Bu farkındalık, Starbucks, PlayStation ve Macy’s için dijital platformların başlatılmasına yardımcı olduğu Dot-Com Boom sırasında Webops’ta erken rollere yol açtı.
Ama Mike asla sadece bir web adamı değildi. “Altyapı çalıştırdım,” dedi. “DevOps DevOps olmadan önce Webops olarak adlandırdık. Güvenlik o zamanlar bir departman değildi – yaptığınız bir şeydi, böylece sunucularınız saat 2’de çökmedi”
Sektörleri kapsayan bir CISO kariyer yolu
Mike, yıllar içinde CISO rollerini çok çeşitli sektörlerde yaptı – finans, eğlence, teknoloji, spor ve daha fazlası. “Demir Adam’ı güvende tuttuğumu söylemeyi seviyorum,” diye şaka yaptı, zamanını Marvel’de Ciso olarak atıfta bulundu. Amerikan Besteciler, Yazarlar ve Yayıncılar Derneği’nde (ASCAP), kimliğinin iki tarafı – siber güvenlik lideri ve caz davulcusu – uyum içinde bir araya geldi. “Müzik ve güvenliği aynı işte birleştirebilmek mi? Bu harikaydı.”
Mike ayrıca Dünya Ekonomik Forumu ile çalıştı ve kuantum güvenliği üzerine yazılmış makaleler. “Makine öğrenimi alıp kuantumla birleştirirseniz, Reese’in fıstık ezmesi bardağını aldatırsınız,” diye güldü. “Ama asıl soru şu: Verileri korumak için bu teknolojileri nasıl kullanıyorsunuz?”
Cisos’un bugün ihtiyaç duyduğu iki tür cisos ve gerçek beceriler
Kapsamlı ve çeşitli CISO deneyimi göz önüne alındığında, az sayıda insan rol hakkında fikir vermek için Mike’dan daha iyi yerleştirilir – ve birçok CISO’nun görüşü oldukça zarar vericidir.
“İki tür cisos var: oyuncu koçu ve saf koç” dedi. “Oyuncu koçları zor becerilere sahiptir-nasıl giriş yapacağını, günlükleri okuyacağını ve tehdit bulacağını biliyorlar. Saf koçlar sadece etki ve ilişkilere güveniyor.”
Bununla birlikte, Mike teknik derinliğe değer verirken, modern CISO’lar da iş hizalamasına hakim olmalıdır. “Bir güvenlik konferansından biri bir zamanlar ‘Sadece çalışanlar için güvenlik farkındalığı eğitimine ihtiyacımız yok – CISOS için iş farkındalık eğitimine ihtiyacımız var’ dedi. Ve o zamandan beri bana yapıştı.
Güvenlik, “Hayır Dairesi” olmaması gerektiğini söylüyor. Cisos’u “Henüz değil, bu şekilde deneyelim” demeye çağırdı, sadece “Hayır, bunu yapamazsın” demek yerine. Hatta Cisos şirketlerinin nasıl para kazandığını anlamıyorsa, işi güvence altına almadıklarını söyleyecek kadar ileri gitti – sadece yavaşlatıyorlar.
CISOS için Tavsiye: Jedi Zihin Hileleri
Mike’ın CISOS için tavsiyesi, rolüne sağlıklı bir pragmatizm ve subterfuge ile yaklaşmaktır. “Jedi zihin hilelerini kullanmalısın” diyor. “CEO’unuzun onların fikri olduğunu düşündür. Üç seçenek sunun – sürdürün veya yükseltme – ve ne seçeceklerini tahmin edin.”
Bununla birlikte, Mike için, bir CISO olarak başarılı olmak sadece akıllıca öneri kullanımı ile ilgili değil – aynı zamanda CEO’lar ve yönetim kurulu üyeleriyle anladıkları somut terimlerle konuşmakla da ilgilidir. “’Bu API bir veri ihlaline yol açabilir’ derseniz, bu soyut. ‘Bu ihlal 10 milyon dolara mal olabilir ve sistemlerimizi üç gün boyunca düşürebilir’ derseniz, bu gerçek.
İhlal olasılığı üzerinden ihlal kadansı
Kilit karar vericiler için sağlam siber güvenliğin önemini daha da vurgulamak için Mike, anlatıyı değiştirmenizi önerir: Bir kuruluşun ihlal edip etmeyeceği ile ilgili değildir; Hakkında Ne zaman.
“Herhangi bir şirket ihlal edilebilir,” dedi, “sadece saldırganlara yeterince zaman ve motivasyon verin. Bu yüzden Cisos’un olasılık hakkında konuşmayı bırakması gerekiyor. Kadans hakkında konuş.” Bu noktayı göstermek için iki şirketi karşılaştırıyor. “Belki T-Mobile birkaç ayda bir ihlal edilir. FireEye bir ihlalden beş yıl önce gitti. CEO’nuza sorun: Beş yıllık barış için ne ödersiniz?”
Çoğu şirketin çok geç öğrendiği zor ders
Siber güvenliğin en önemli sorunlarından biri olan Mike, çok sık, bir organizasyonu savunmalarını iyileştirmek için ihtiyaç duyduklarına ikna etmek için büyük bir ihlal gerektirdiğini savunuyor. “Çoğu kuruluş, bir ihlalde 5-10 milyon dolar kaybedene kadar 500.000 dolar harcamayacak. Çocuklar ve sıcak sobalar gibi-onlara sıcak olduğunu söylüyorsunuz, ancak parmaklarını yakana kadar öğrenmiyorlar.”
Mike, siber güvenlik için bu reaktif yaklaşımın, korkunç sonuçlarla saldırganlara öncelik vermeyi dış kaynak kullanımı ile eşdeğer olduğuna inanıyor. “Tehdit aktörlerinin neyin önemli olduğunu belirlemesine izin veriyoruz,” dedi, “kendimize dayanıklılık oluşturmak yerine.”
API güvenliğinin önemi
API Security, Mike’ın özel ilgiyi hak ettiğine inandığı bir alandır. “Tüm İnternet trafiğinin% 85’i makineden makineye-başka bir deyişle API’lar” diyor. “Ancak çoğu şirket kaç API’si olduğunu bile bilmiyor.”
Devam ediyor: “Düşük kod/kod adı verilen bu şey var. İnsanlar herhangi bir inceleme yapmadan API anahtarlarını Slack veya Salesforce’a yapıştırıyor. Bu, veri merkezinize bir arka kapıyı kanallamak gibi.”
Peki, ilk adım nedir? “Görünürlük. Sahip olduğunuzu bilmediğiniz şeyi koruyamazsınız. Ancak görünürlük yeterli değildir. Veri akışları etrafında kontrol, belgeler, izleme ve bağlama ihtiyacınız var.”
Yapay zeka siber suçları nasıl demokratikleştiriyor
AI konusuna geçerek Mike, hem risk hem de fırsatlar olduğunu kabul etti. “AI, Junior Varsity’nin üniversite düzeyinde oynamasına izin verdi” dedi. “Ulus devletleri hakkında endişeleniyorduk. Şimdi AI araçları olan sıkılmış gençler için endişeliyiz.”
Ancak savunma tarafında Mike daha iyimser. “Her CISO’nun, anormallikleri tespit edebilen ve kararları düzene koyabilen şirket politikası konusunda eğitilmiş bir AI yardımcısı olmalıdır. Ancak sadece kendi iyiliği için değil, sorumlu bir şekilde dağıtmaları gerekir.”
Önce insanlar her zaman
Şimdi NYU ve Columbia’da öğretmenlik yapan Mike, mentorluğunu misyonunun bir uzantısı olarak görüyor. “Öğretiyorum çünkü gelecek nesillere ilham vermek istiyorum. Bu çalışmanın önemli olduğunu bilmelerini istiyorum.”
Mentorluğu, siber güvenlik konusundaki daha geniş görüşünün bir uzantısıdır: “Siber güvenliğin ürünü zarardan kaçınmaktır. Ve bunu insanlar, süreçler ve araçlar aracılığıyla yapıyoruz – bu sırayla. Araçlar yararlı olsa da son olarak gelir.”
Rüya tatili hakkında sorulan Mike, “İzlanda. Volkanlar, buzullar, çiğ doğa. Ayrıca Japonya, yaşlılara saygı kültürü için. Şimdi ben Ben Bir yaşlı, kulağa hoş geliyor. “
Ve bir siber güvenlik teması şarkısına gelince? Wilkes’in bir tane yazması vardı: Ayna, ayna, duvarda. Burada dinleyebilirsiniz.