اگر او نمی دوید کارت امتیاز امنیتیالکس یامپولسکی می گوید، احتمالاً در پارکی در نیویورک نشسته و شطرنج بازی می کند. نیویورک سالها خانه او بوده است، از زمانی که خانواده روسی-اوکراینی او در نوجوانی به ایالات متحده مهاجرت کردند.
حتی در دوران نوجوانی، اعجوبه شطرنج قبلاً توسط باگ امنیت سایبری گاز گرفته شده بود. سفر یامپولسکی به سمت امنیت از 12 سالگی آغاز شد، زمانی که یکی از دوستانش یک فلاپی دیسک 3.5 اینچی حاوی یک نسخه از بازی ویدیویی کلاسیک را به او داد. شاهزاده ایرانی. و یک ویروس
فکر میکنم مردم این روزها به خاطر نمیآورند که فلاپی دیسک چیست. اما وقتی آن را در کامپیوترم گذاشتم و آن را به ویروس آلوده کردم، فکر کردم باید بفهمم که این چه جهنمی است. چگونه کامپیوترها را بد رفتار می کنید؟ میخواستم به دوستم برگردم.»
و من شروع به یادگیری نحوه هک کردن، نحوه نفوذ به رایانه کردم. و آن زمان بود که من واقعاً عاشق امنیت سایبری شدم.»
زمانی که یامپولسکی در ایالات متحده بود، توانست منافع خود را دنبال کند. او به کالج رفت و بعداً دکتری گرفت رمزنگاری از دانشگاه ییل، جایی که او پنج سال را صرف تکمیل پایان نامه خود کرد، و در طول مسیر به انجام تحقیقات در مورد مفاهیمی که اکنون بخشی از بلاک چین فن آوری.
یامپولسکی میگوید: «من میخواستم به جای انتشار مقالات آکادمیک، چیزهایی خلق کنم و آنها را زنده کنم، بنابراین وارد صنعت شدم. من در شرکت هایی مانند اوراکل و گلدمن ساکس کار کردم. و سپس من افسر ارشد امنیتی شدم [CSO] در شرکتی به نام Gilt Groupe [a US-based members-only online retailer]جایی که ایده SecurityScorecard متولد شد.
در واقع، این کسب و کار در طی یک تمرین تدارکاتی در Gilt Groupe در دوران تصدی یامپولسکی به عنوان CSO متولد شد.
او توضیح می دهد: «تیم بازاریابی من برای این نرم افزار به عنوان یک سرویس ثبت نام کرد [SaaS] محصولی برای کمک به کاهش تقلب در تجارت الکترونیک – وقتی خردهفروشی هستید که کالاها را آنلاین میفروشید، مردم از کارتهای جعلی برای سرقت از شما استفاده میکنند، بنابراین ما برای این محصول ثبتنام کردیم.
او ادامه می دهد: «با این حال، برای مؤثر بودن، ما مجبور بودیم اطلاعاتی را در مورد همه مشتریان خود به اشتراک بگذاریم، که باعث ناراحتی من شد، بنابراین آنها را مجبور به صدور گواهینامه کردیم. آنها یک پرسشنامه طولانی را با قلم و کاغذ پر کردند – آنها گفتند که کار بزرگی انجام می دهند.”
من متوجه شدم که میتوانم کار بزرگی انجام دهم، میتوانم بهعنوان یک CSO سخت کار کنم و با این حال به دلیل شرایط خارج از کنترل من میتوانم شغلم را از دست بدهم. این یک افشاگری بزرگ بود.”
الکس یامپولسکی، کارت امتیاز امنیتی
سازمان که مشتاق حرکت رو به جلو بود، روی خط نقطه چین امضا کرد، اما درست زمانی که فرآیند ادغام شروع شد، به یک مانع بزرگ برخورد کرد.
او میگوید: «در کمال وحشت، ما دادههای کارت اعتباری رمزگذارینشده را در سیستمهای آنها پیدا کردیم که متعلق به سایر مشتریان بود. “این یک زنگ بیداری بزرگ برای من بود. متوجه شدم که میتوانم کار بزرگی انجام دهم، میتوانم بهعنوان یک CSO سخت کار کنم و با این حال ممکن است به دلیل شرایط خارج از کنترل من، شغلم را از دست بدهم. این یک افشاگری بزرگ بود!»
وابستگی های تعریف نشده
در تابستان 2013، یامپولسکی و شریک تجاریاش عمیقتر در مورد وابستگیهای بیشمار شخص ثالث که در شرکتهای متوسط وجود دارد، و اینکه اسناد و دادهها به طور گسترده به اشتراک گذاشته میشوند، عمیقتر فکر کردند. ، فایل های خود را در یک سرویس ذخیره سازی ابری و غیره.
یامپولسکی میگوید هر یک از این وابستگیها میتواند منجر به یک حادثه امنیت سایبری شود که سازمان شما را در صفحه اول یک روزنامه ملی قرار دهد، و با این حال از نظر تاریخی هیچ شاخص عملکرد کلیدی (KPI) در دنیای امنیت وجود نداشته است. می تواند برای ارزیابی موثر خطر شخص ثالث استفاده شود.
«تو برو دکتر، خونت را اندازه می گیرند. شما یک ماشین رانندگی می کنید، یک سرعت سنج دارید. مطمئنا هیچی نمیگیری چرا KPI نمی تواند برای اندازه گیری و کمیت ریسک وجود داشته باشد؟ این بینشی بود که ما را به شروع انکوباتور SecurityScorecard سوق داد.
چگونه کار می کند
در هسته خود، پلت فرم SecurityScorecard پایگاه داده ای از شرکت ها است که بر اساس عوامل خطر سایبری مختلف رتبه بندی شده اند و به کاربران بینشی از وضعیت امنیتی و پروفایل های ریسک هر سازمانی که با آن تجارت می کنند یا تحقیق می کنند، می دهد.
این نمرات چگونه محاسبه می شود؟ ابتدا، SecurityScorecard به سطح حمله یک سازمان از بیرون نگاه می کند. با استفاده از روش های اسکن غیر نفوذی برای جمع آوری سیگنال ها در مورد سازمان ها
همانطور که می توانید در یک محله قدم بزنید و یک پنجره شکسته یا گرافیتی روی دیوار ببینید، می توانید بدون ورود به خانه به این نتیجه برسید که شاید در داخل آن به خوبی نگهداری نشده است. به طور مشابه، برای شرکتها، صدها سیگنال وجود دارد که میتوانید بدون مزاحمت ثبت کنید.» یامپولسکی میگوید.
یک مثال ساده می تواند این باشد که شما به یک وب سایت نگاه می کنید و در پایین سایت «کپی رایت 2005» را می بینید. خوب، سال 2024 است، درست است؟ بنابراین این یک آسیب پذیری نیست، شما نمی توانید از آن سوء استفاده کنید، اما تازه متوجه شده اید که آنها وب سایت را فعالانه به روز نمی کنند [so] آنها چقدر برای مقاومت در برابر هجومی از نوع دیگر کوشا خواهند بود؟
سپس او یک مدل آماری مبتنی بر تقریباً یک دهه دادههای تاریخی را برای این اطلاعات اعمال میکند تا سازمان را با سایر گروههای همتای خود مقایسه کند و به امتیاز نهایی برسد. الگوریتمی که استفاده می کند در دسترس عموم استیامپولسکی از طرفداران بزرگ شفافیت در نحوه عملکرد سازمان است.
یامپولسکی میگوید، تلاش و منابع مورد نیاز برای ایجاد این مهم است و این یک چالش مداوم است. ما 600 نفر در شرکت داریم که حدود 35 تا 40 درصد از آنها در تحقیق و توسعه هستند. در طول نه سال گذشته، ما فناوری ساختهایم که هر روز میلیاردها سیگنال را جمعآوری میکند.
به عنوان مثال، ما یکی از بزرگترین حافظههای پنهان بدافزار در جهان را اجرا میکنیم، جایی که سیگنالهایی در مورد دستگاههایی که در سراسر جهان آلوده شدهاند را ضبط میکنیم – و باید از دقیق و قابل اعتماد بودن آن مطمئن شویم. این نیاز به تلاش مهندسی زیادی دارد. ساخت این نوع فناوری آسان نیست.
و آیا داده ها دقیق هستند؟ ظاهرا همینطور است. او میگوید: «ما نشان دادهایم – و برای مثال شرکتهایی مانند مارش مکلنان نشان دادهاند – که شرکتهایی که امتیاز ضعیفی دارند، هشت برابر بیشتر از شرکتهایی که امتیاز خوب دارند، در معرض نقض دادهها هستند.
اما خدمات به همین جا ختم نمی شود. ما فقط به شما نمره نمی دهیم و می گوییم موفق باشید. ما همچنین به شما توصیه هایی می کنیم که چگونه می توانید پایدارتر شوید، [and] یامپولسکی میگوید: ما به شما این امکان را میدهیم که ارزیابیها و بینشها را در نظر بگیرید و آنها را در جریان کار ادغام کنید.
ما نشان دادیم که شرکتهایی که امتیاز ضعیفی دارند، هشت برابر بیشتر از شرکتهایی که امتیاز خوب دارند، در معرض نقض دادهها هستند.
الکساندر یامپولسکی، کارت امتیاز امنیتی
SecurityScorecard با بیش از 100 پلتفرم دیگر ادغام می شود تا به کاربران اجازه دهد تا هر تعداد از عناصر مختلف از نمایه های ریسک خود را ایجاد و تعریف کنند – به عنوان مثال، انطباق قانونی با مقررات حفاظت از داده های عمومی (GDPR) یا مقررات مشابه در سطح ایالت ایالات متحده – و بسیار مهم است که آنها مسائل امنیتی و تناقضات بین فروشندگان خود را که باید در برنامه ریزی ریسک لحاظ شوند، درک کنند.
تهدیدات در حال رشد مداوم
زمانی که SecurityScorecard برای اولین بار تقریباً 10 سال پیش از بلوک های اولیه خارج شد، دنیای امنیت سایبری بسیار متفاوت از امروز به نظر می رسید. ما از دنیایی که امنیت تا حد زیادی حوزه کارشناسان فنی و افراد غرق در فرهنگ هکرها در نظر گرفته میشد، به دنیایی که حملات باجافزاری اخبار تلویزیون را در ساعات اولیه پخش میکنند و امنیت موضوع بحث است، نقل مکان کردهایم.
برای یامپولسکی، سه گرایش اصلی به این امر کمک می کنند. اول، سطح حمله بسیار پیچیده تر و به هم پیوسته تر شده است. دوم، انفجاری در ریسک شخص ثالث رخ داده است – آمار خود شرکت این را تأیید می کند تقریباً 30٪ از تمام نقض ها در حال حاضر از شخص ثالث سرچشمه می گیرند. سوم، عوامل تهدید به انواع پیچیدهتر و ارزانتر سلاحها دسترسی دارند، از حملات انکار سرویس توزیعشده (DDoS) که میتوانند با چند دلار تا صفر روز از هزاران دلار خریداری شوند.
ما نمی توانیم این واقعیت را تغییر دهیم که جهان پیچیده تر شده است. یامپولسکی میگوید: ما نمیتوانیم این واقعیت را تغییر دهیم که مهاجمان پیچیدهتر شدهاند.
آنچه که ما می توانیم تحت تأثیر قرار دهیم این است که بیشتر شرکت ها هنوز به جای پایداری بر قدرت تمرکز می کنند. آنها سعی می کنند از ورود دشمن جلوگیری کنند، به جای اینکه فرض را برعکس کنند و بگویند دیر یا زود، با تلاش کافی، دشمن وارد می شود. [so] چگونه آنها را تا حد امکان سخت کنم؟
این دیدگاه که پرداختن به ریسک شخص ثالث بخشی از این تغییر به سمت پایداری است یکی که بسیاری به اشتراک می گذارند. با نگاهی به آینده، یامپولسکی امیدوار است که با حرکت سازمانها به سمت یک رویه امنیتی متمرکز بر پایداری، متدولوژی مبتنی بر KPI SecurityScorecard در نهایت به آنها کمک میکند تا تصمیم خرید مناسبتری اتخاذ کنند، نه صرفاً به مشکل رسیدگی کنند.
تحولات آینده
SecurityScorecard همچنین خدماتی را افزایش می دهد که می توانند به سیستم رتبه بندی آن بپیوندند و آن را بهبود بخشند، چیزی که مشتریان از آن خواسته اند. به هر حال، کمی کردن خطر امنیتی خود و اکوسیستم شریک و فروشنده شما را به این نتیجه می رساند – و احتمالاً هنوز هم در نقطه ای مورد حمله قرار خواهید گرفت.
یامپولسکی میگوید: «من همچنین بسیار هیجانزده هستم که نه تنها امتیازات امنیتی را برای اندازهگیری به شما میدهم، بلکه به شما راهحل ارائه میدهم.
“یک تمرکز بزرگ، یک فشار بزرگ برای ما در حال حاضر این است که چگونه از رتبه بندی به راه حل ها گسترش دهیم. ما اکنون یک واحد تجاری داریم که تمرینات روی میز را انجام می دهد و در آنجا وارد می شویم و تیم اجرایی شما را آموزش می دهیم. ما یک واحد پزشکی قانونی داریم، بنابراین اگر رایانه شما هک شده یا به باج افزار آلوده شده است، می توانیم کمک کنیم.
Yampolskiy به ویژه به کمک به پل زدن شکاف ارتباطی شناخته شده بین تیم های امنیتی و رهبران سطح هیئت مدیره آنها علاقه دارد.
“هیئت مدیره ها و CISO ها زبان مشترکی ندارند. اعضای هیئت مدیره از مریخ و CISO از زهره هستند.
الکساندر یامپولسکی، کارت امتیاز امنیتی
«هیئتها و سازمانهای دولتی زبان مشترکی ندارند. اعضای هیئت مدیره از مریخ و CISO ها از ونوس هستند.
CISO اغلب به زبان فنی و اصطلاحات فنی صحبت میکند، بنابراین میتواند بگوید: «من Akamai Prolexic را در 124.1.1.3/24 برای کاهش حملات نقطه پایانی مستقر کردهام» و عضو هیئتمدیره نمیداند CISO چه گفته است. CISO باید می گفت: «من پیشگیری از انکار خدمات را اجرا کردم. این برای من 200000 دلار هزینه داشت و 3 میلیون دلار در قطعی برق برای ما صرفه جویی خواهد کرد.
«اعضای هیئت مدیره همچنین مسئولیت دارند در مورد امنیت سایبری بیشتر بیاموزند. اگر عضو هیئت مدیره باشید و در جلسه ای بپرسید «حاشیه ناخالص چیست؟» حاشیه. اما اگر یکی از اعضای هیئت مدیره بپرسد “حمله انکار سرویس چیست؟” هیچکس اهمیت نمیدهد. طبیعی است، انتظار می رود.
متأسفانه، اعضای هیئت مدیره کاملاً سواد فناوری ندارند و این باید تغییر کند – در حال حاضر در حال تغییر است. بنابراین ما شاهد تابلوهای درگیرتر هستیم، تابلوهایی را میبینیم که اندازهگیری و گزارشدهی ریسک را استاندارد میکنند، و میبینیم که تابلوهایی مانند ما رتبهبندیهای امنیتی را اتخاذ میکنند تا بررسی کنند که چه کاری انجام میدهند. جهان از نظر امنیت سایبری به سمت بهتر شدن تغییر می کند.
