اما زابالوس، مدیر بازاریابی محصول در CyCognito
اما زابالوس، مدیر بازاریابی محصول در CyCognito

اما زابالوس، مدیر بازاریابی محصول در CyCognito - مجموعه مصاحبه‌ها

نویسنده: آنتوان تاردایف تاریخ انتشار: 2025-03-10 00:00:00 GMT منتشر شده در: Unite.AI

اما زابالوس محقق مشتاق تهدیدات است که علاقه زیادی به درک و مبارزه با تهدیدات جرایم سایبری دارد. اما از نظارت بر بازارهای دارک وب، پروفایل‌سازی باندهای باج‌افزار و استفاده از اطلاعات برای درک جرایم سایبری لذت می‌برد.

CyCognito که توسط کهنه‌سربازان آژانس‌های اطلاعات ملی تأسیس شده، در امنیت سایبری با شناسایی بردارهای حمله بالقوه از یک دیدگاه خارجی تخصص دارد. این شرکت به سازمان‌ها بینشی در مورد چگونگی درک مهاجمان از سیستم‌های خود، برجسته کردن آسیب‌پذیری‌ها، نقاط ورود احتمالی و دارایی‌های در معرض خطر ارائه می‌دهد. CyCognito که دفتر مرکزی آن در پالو آلتو است، به شرکت‌های بزرگ و شرکت‌های Fortune 500، از جمله Colgate-Palmolive و Tesco، خدمات ارائه می‌دهد.

شما سابقه متنوعی در تحقیقات امنیت سایبری، تحلیل تهدید و بازاریابی محصول دارید. چه چیزی برای اولین بار علاقه شما را به این زمینه برانگیخت و چگونه حرفه شما به مدیریت در معرض قرار گرفتن (Exposure Management) تکامل یافت؟

بلافاصله پس از فارغ‌التحصیلی از دانشگاه، من به عنوان تحلیلگر در یک دادخواست تجارت بین‌المللی کار کردم که شامل ردیابی شبکه‌ای از بازیگران در سراسر ایالات متحده (و در سطح بین‌المللی) بود. این یک پرونده فوق‌العاده جالب بود و وقتی شروع به جستجو برای کار بعدی کردم، شغلی در یک استارت‌آپ نظارت بر دارک وب (Terbium Labs، که اکنون بخشی از Deloitte است) پیدا کردم که در آن اساساً خودم را اینطور معرفی کردم که "هی، من چیزی در مورد دارک وب یا امنیت سایبری نمی‌دانم، اما تجربه ردیابی شبکه‌ها و رفتارها را دارم و فکر می‌کنم می‌توانم بقیه را یاد بگیرم." و این جواب داد! من تا سال 2022 به عنوان یک متخصص موضوعی با تمرکز بر بازیگران تهدید به کار در امنیت سایبری ادامه دادم، زمانی که در اولین نقش بازاریابی محصول خود به CyCognito پیوستم. عالی بوده است که همچنان در امنیت سایبری کار می‌کنم، که صنعتی است که من نسبت به آن فوق‌العاده مشتاقم، در حالی که نقش جدیدی را امتحان می‌کنم. من عاشق این هستم که می‌توانم علاقه خود به داستان‌سرایی مبتنی بر داده را از طریق نوشتن محتوایی مانند گزارش سالانه CyCognito در مورد وضعیت مدیریت در معرض قرار گرفتن خارجی (State of External Exposure Management) برآورده کنم.

شما اشاره کردید که هرگز یک الکسا (Alexa) نخواهید داشت. چه چیزی بیشتر شما را در مورد دستگاه‌های هوشمند خانگی نگران می‌کند و یک فرد معمولی چه چیزی باید در مورد خطرات بداند؟

اگر کمی وقت صرف جستجو در دارک وب کنید، خواهید دید که مجرمان سایبری اشتهای زیادی به داده‌ها دارند - از جمله داده‌های مصرف‌کننده‌ای که توسط شرکت‌ها جمع‌آوری می‌شود. داده‌های شما یک منبع ارزشمند است و منبعی است که بسیاری از شرکت‌ها یا نمی‌توانند یا نمی‌خواهند به طور مناسب از آن محافظت کنند. شما به عنوان یک مصرف‌کننده گزینه‌های محدودی برای کنترل نحوه جمع‌آوری، ذخیره و مدیریت داده‌های خود دارید، اما مهم است که تا حد امکان مطلع باشید و آنچه را که می‌توانید کنترل کنید. این می‌تواند به معنای بسیار ماهر شدن در تنظیم تنظیمات در برنامه‌ها یا دستگاه‌های خود یا صرفاً چشم‌پوشی از برخی محصولات به طور کلی باشد.

به ناچار، اگر یک دستیار هوشمند در تلفن خود فعال کرده‌اید یا یک دستگاه هوشمند خانگی دارید که به یک نشانه صوتی نیاز دارد، میکروفون باید دائماً گوش دهد تا صدای شما را در هنگام درخواست چیزی بشنود. حتی اگر من اطمینان داشته باشم که شرکت از این ضبط‌ها محافظت می‌کند و آنها را حذف می‌کند، من شخصاً ایده داشتن یک میکروفون همیشه روشن در خانه خود را دوست ندارم.

قطعاً خدمات و محصولات رفاهی وجود دارد که داده‌های من را جمع‌آوری می‌کنند و من به هر حال از آنها استفاده می‌کنم، زیرا به نوعی برای من ارزش دارد. با این حال، محصولات هوشمند خانگی چیزی است که من شخصاً خطی را در آن کشیده‌ام - من مشکلی ندارم که از نظر فیزیکی به سمت آنها بروم و چراغ‌ها را تنظیم کنم یا یک لیست خرید تهیه کنم یا هر چیز دیگری، به جای اینکه به الکسا بگویم این کار را انجام دهد. اینترنت اشیا مزایای باورنکردنی برای مصرف‌کننده ارائه می‌دهد، اما همچنین نعمتی برای مجرمان سایبری بوده است.

شما در هر دو بخش فدرال و خصوصی کار کرده‌اید. چالش‌های امنیت سایبری بین این محیط‌ها چگونه متفاوت است؟

زمانی که من به عنوان پیمانکار برای وزارت بهداشت و خدمات انسانی در مرکز هماهنگی امنیت سایبری بخش بهداشت آنها کار می‌کردم، تمرکز بیشتر بر کندوکاو در الگوها و انگیزه‌های پشت اقدامات مجرمان سایبری بود - درک اینکه چرا آنها منابع بهداشتی را هدف قرار می‌دهند و چه نوع توصیه‌هایی می‌توانیم برای تقویت آن دفاع‌ها ارائه دهیم. فضای بیشتری برای ورود واقعاً عمیق به یک پروژه در بخش دولتی وجود دارد و برخی از کارمندان دولتی باورنکردنی در حال انجام کار بر روی امنیت سایبری در دولت‌های فدرال و ایالتی هستند. در هر دو نقش استارت‌آپی من، من همچنین تحقیقات واقعاً جالبی انجام داده‌ام، اما سرعت بیشتری دارد و بیشتر بر روی سؤالات با دامنه محدودتر متمرکز است. یکی از چیزهایی که من در مورد استارت‌آپ‌ها دوست دارم این است که می‌توانید کمی بیشتر از صدای خود را به تحقیق بیاورید - ارائه چیزی شبیه به سخنرانی من با عنوان "من را خریدار شخصی دارک وب خود کنید" (DerbyCon 2019) از طرف HHS سخت‌تر بود.

در مقاله اخیر خود، شما بر رشد سریع دارک وب تأکید کردید. چه عواملی این گسترش را هدایت می‌کنند و چه روندهایی را برای چند سال آینده می‌بینید؟

دارک وب همیشه مرده است، همیشه در حال مرگ است و همیشه دوباره به زندگی بازمی‌گردد. متأسفانه، یک بازار ثابت برای داده‌های دزدیده شده، بدافزار، جرایم سایبری به عنوان یک سرویس و انواع دیگر کالاهای مرتبط با دارک وب وجود دارد، که به این معنی است که حتی اگر پایه‌های دارک وب مانند Silk Road، AlphaBay و Agora از بین رفته باشند، بازارهای جدید می‌توانند برای جایگزینی آنها ظهور کنند. بی‌ثباتی سیاسی و مالی نیز مردم را به سمت جرایم سایبری سوق می‌دهد.

تبدیل به یک کلیشه شده است، اما هوش مصنوعی در اینجا یک نگرانی است - این امر باعث می‌شود که یک جنایتکار غیرحرفه‌ای مهارت‌های خود را ارتقا دهد، شاید با استفاده از ابزارهای کدنویسی مبتنی بر هوش مصنوعی یا از طریق ابزارهای هوش مصنوعی مولد که می‌توانند محتوای فیشینگ قانع‌کننده‌ای تولید کنند.

یکی دیگر از عوامل محرک رنسانس دارک وب، بازار قوی ارزهای دیجیتال است. ارز دیجیتال خون حیات جرایم سایبری است - بازار باج‌افزار مدرن اساساً به دلیل ارز دیجیتال وجود دارد - و یک دولت طرفدار ارزهای دیجیتال تحت دولت دوم ترامپ احتمالاً جرم دارک وب را تشدید می‌کند. کاهش بودجه دولت جدید برای برنامه‌های امنیت سایبری و اجرای قانون فدرال، از جمله CISA، نیز نعمتی برای مجرمان سایبری است، زیرا ایالات متحده از نظر تاریخی اقدامات اجرایی علیه بازارهای بزرگ دارک وب را رهبری کرده است.

برخی از بزرگ‌ترین تصورات غلط در مورد دارک وب که مشاغل و افراد باید از آن آگاه باشند، چیست؟

بزرگ‌ترین تصور غلطی که من می‌بینم این است که دارک وب یک نهاد عظیم و مرموز است که درک یا دفاع در برابر آن بسیار پیچیده است. در واقع، این نهاد کمتر از 0.01٪ از اینترنت را تشکیل می‌دهد - اما این اندازه کوچک تأثیر واقعی آن بر امنیت کسب‌وکار را پنهان می‌کند. یکی دیگر از افسانه‌های رایج این است که دارک وب نفوذناپذیر یا کاملاً ناشناس است. در حالی که به ابزارهای تخصصی مانند مرورگر Tor و دامنه‌های .onion نیاز دارد، ما به طور فعال این فضاها را هر روز نظارت می‌کنیم. به دلیل تبلیغات پشت سر سرنگونی بازار Silk Road، سازمان‌ها اغلب فکر می‌کنند دارک وب فقط برای فروش کالاهای غیرقانونی مانند مواد مخدر یا سلاح است و متوجه نمی‌شوند که این یک بازار عظیم و پیچیده برای دارایی‌ها و داده‌های شرکت‌ها نیز هست. واقعیت این است که دارک وب چیزی است که نه تنها برای سازمان‌ها ممکن است، بلکه ضروری است که آن را درک کنند، زیرا این پتانسیل را دارد که به طور مستقیم بر وضعیت امنیتی هر کسب‌وکاری تأثیر بگذارد.

شما اشاره کردید که سازمان‌ها باید "فرض کنند که در معرض خطر هستند". برخی از رایج‌ترین راه‌هایی که شرکت‌ها ناآگاهانه داده‌های خود را به صورت آنلاین در معرض دید قرار می‌دهند، کدامند؟

آنچه من را مجذوب می‌کند این است که هنوز چند شرکت از گستره قرار گرفتن خود و راه‌هایی که می‌توانند از طریق دارک وب در معرض دید قرار گیرند، آگاه نیستند. ما به طور منظم می‌بینیم که اعتبارنامه‌های لو رفته در بازارهای دارک وب در حال گردش هستند - نه فقط جزئیات ورود اولیه، بلکه حساب‌های ادمین و اعتبارنامه‌های VPN که می‌توانند دسترسی کامل به زیرساخت‌های حیاتی را فراهم کنند. یکی از حوزه‌هایی که به طور ویژه نادیده گرفته می‌شود، دستگاه‌های IoT است. این دستگاه‌های متصل به ظاهر بی‌گناه می‌توانند به خطر بیفتند و برای ایجاد بات‌نت یا راه‌اندازی حملات فروخته شوند. محیط‌های IT مدرن به طرز باورنکردنی پیچیده شده‌اند و چیزی را ایجاد می‌کنند که ما آن را "سطح حمله گسترده" می‌نامیم که بسیار فراتر از آنچه بیشتر سازمان‌ها تصور می‌کنند، می‌رود. ما در مورد خدمات ابری، نقاط دسترسی به شبکه و سیستم‌های یکپارچه صحبت می‌کنیم که بسیاری از شرکت‌ها حتی متوجه نمی‌شوند که در معرض دید هستند. واقعیت تلخ این است که بیشتر سازمان‌ها نقاط ورود بالقوه بسیار بیشتری از آنچه فکر می‌کنند دارند، بنابراین بهتر است فرض کنیم که یک خطر در آنجا وجود دارد تا اینکه به دفاع‌های موجود خود اعتماد کنیم که بی‌نقص باشند.

مجرمان سایبری چگونه از هوش مصنوعی برای افزایش عملیات خود در دارک وب استفاده می‌کنند و مشاغل چگونه می‌توانند در برابر تهدیدات سایبری مبتنی بر هوش مصنوعی از خود دفاع کنند؟

جرایم سایبری واقعاً انواع جدیدی از حملات را ایجاد نمی‌کند - بلکه حملاتی را که از قبل می‌دانیم تسریع می‌کند. ما شاهد استفاده مجرمان از هوش مصنوعی برای تولید صدها ایمیل فیشینگ فوق‌العاده قانع‌کننده در عرض چند دقیقه هستیم، کاری که قبلاً انجام آن به صورت دستی روزها یا هفته‌ها طول می‌کشید. آنها در حال توسعه بدافزارهای تطبیقی هستند که می‌توانند واقعاً رفتار خود را برای جلوگیری از شناسایی تغییر دهند و از ابزارهای تخصصی مانند WormGPT و FraudGPT استفاده می‌کنند که به طور خاص برای فعالیت‌های مجرمانه طراحی شده‌اند. شاید نگران‌کننده‌ترین موضوع این باشد که چگونه آنها موفق به به خطر انداختن پلتفرم‌های هوش مصنوعی قانونی می‌شوند - ما شاهد فروش اعتبارنامه‌های دزدیده شده از ارائه‌دهندگان بزرگ هوش مصنوعی بوده‌ایم و تلاش فزاینده‌ای برای "شکستن زندان" ابزارهای هوش مصنوعی جریان اصلی با حذف محدودیت‌های ایمنی آنها وجود دارد.

اما خبر خوب این است که ما بی‌دفاع نیستیم. سازمان‌های آینده‌نگر در حال استقرار سیستم‌های هوش مصنوعی هستند که شبانه‌روزی برای نظارت بر انجمن‌ها و بازارهای دارک وب کار می‌کنند. این ابزارها می‌توانند میلیون‌ها پست را در عرض چند دقیقه تجزیه و تحلیل کنند، زبان کدگذاری شده مجرمانه را درک کنند و الگوهایی را شناسایی کنند که تحلیلگران انسانی ممکن است از دست بدهند. ما از هوش مصنوعی برای اسکن اعتبارنامه‌های دزدیده شده، نظارت بر نقاط دسترسی به سیستم و ارائه هشدار زودهنگام در مورد نقض‌های احتمالی استفاده می‌کنیم. نکته کلیدی این است که هوش مصنوعی دفاعی ما می‌تواند با همان سرعت و مقیاس ابزارهای مجرمانه کار کند - این واقعاً تنها راه برای همگام شدن با تهدیدات مدرن است.

CyCognito برای شناسایی آسیب‌پذیری‌ها از "دیدگاه یک مهاجم" استفاده می‌کند. آیا می‌توانید ما را با نحوه تفاوت این رویکرد با روش‌های سنتی آزمایش امنیتی آشنا کنید؟

رویکرد ما با درک این موضوع شروع می‌شود که محیط‌های IT مدرن بسیار پیچیده‌تر از مدل‌های امنیتی سنتی هستند. ما همچنین برای اطلاع رسانی به کار خود به آنچه سازمان‌ها می‌دانند تکیه نمی‌کنیم - وقتی مهاجمان یک سازمان را هدف قرار می‌دهند، لیستی از دارایی‌ها یا زمینه‌ای از هدف خود دریافت نمی‌کنند، بنابراین ما نیز بدون هیچ گونه داده اولیه از مشتریان خود وارد می‌شویم. بر اساس این، ما نقشه‌ای از سازمان و سطح حمله آن جمع‌آوری می‌کنیم و تمام دارایی‌های آنها را در این نقشه در زمینه قرار می‌دهیم.

ما کل سطح حمله گسترده را ترسیم می‌کنیم و فراتر از دارایی‌های شناخته شده می‌رویم تا بفهمیم مهاجمان واقعاً چه چیزی می‌بینند و می‌توانند از آن سوء استفاده کنند. وقتی ما بازارهای دارک وب را نظارت می‌کنیم، فقط داده جمع‌آوری نمی‌کنیم - بلکه درک می‌کنیم که چگونه اعتبارنامه‌های لو رفته، دسترسی ممتاز و اطلاعات در معرض دید، مسیرهایی را به یک سازمان ایجاد می‌کنند. با پوشاندن این خطرات دارک وب بر روی سطح حمله موجود، ما به تیم‌های امنیتی دیدگاه واقعی مهاجم از آسیب‌پذیری‌های خود را می‌دهیم. این دیدگاه به آنها کمک می‌کند تا نه تنها بفهمند چه چیزی ممکن است آسیب‌پذیر باشد، بلکه چه چیزی واقعاً قابل سوء استفاده است.

فرآیند کشف مبتنی بر هوش مصنوعی CyCognito چگونه کار می‌کند و چه چیزی آن را مؤثرتر از راه حل‌های متعارف مدیریت سطح حمله خارجی (EASM) می‌کند؟

ما با درک اساسی این موضوع شروع می‌کنیم که سطح حمله هر سازمان به طور قابل توجهی بزرگ‌تر از آن چیزی است که ابزارهای سنتی فرض می‌کنند. فرآیند کشف مبتنی بر هوش مصنوعی ما با ترسیم چیزی شروع می‌شود که ما آن را "سطح حمله گسترده" می‌نامیم - مفهومی که بسیار فراتر از راه حل‌های EASM متعارف است که فقط به دارایی‌های شناخته شده نگاه می‌کنند.

فرآیند ما جامع و فعال است. ما به طور مداوم چهار نوع حیاتی از قرار گرفتن در معرض خطر را اسکن می‌کنیم: اعتبارنامه‌های لو رفته، از جمله رمزهای عبور هش شده که مهاجمان ممکن است رمزگشایی کنند. حساب‌ها و دسترسی ممتاز که در بازارهای دارک وب فروخته می‌شود. نشت اطلاعات مبتنی بر IP که می‌تواند آسیب‌پذیری‌های شبکه را نشان دهد. و داده‌های حساس که از طریق نقض‌های گذشته در معرض دید قرار گرفته‌اند. اما یافتن این خطرات تنها اولین قدم است.

ما سپس همه چیز را به چیزی که ما آن را نمودار سطح حمله می‌نامیم، برمی‌گردانیم. اینجاست که زمینه همه چیز می‌شود. به جای اینکه فقط لیستی از آسیب‌پذیری‌ها مانند راه حل‌های EASM متعارف به شما تحویل دهیم، ما دقیقاً به شما نشان می‌دهیم که چگونه خطرات دارک وب با زیرساخت‌های موجود شما تلاقی می‌کنند. این به تیم‌های امنیتی این امکان را می‌دهد که نه تنها ببینند داده‌های آنها به کجا ختم شده است، بلکه دقیقاً کجا باید تلاش‌های امنیتی خود را متمرکز کنند.

به آن به عنوان ساختن یک نقشه استراتژیک به جای صرفاً اجرای یک اسکن امنیتی فکر کنید. با پوشاندن خطرات دارک وب بر روی سطح حمله واقعی خود، ما به تیم‌های امنیتی یک دیدگاه واضح و عملی از مهم‌ترین شکاف‌های امنیتی خود ارائه می‌دهیم. این درک زمینه‌ای برای اولویت‌بندی مؤثر تلاش‌های اصلاحی و اطمینان از یک پاسخ سریع و هدفمند به تهدیدات نوظهور ضروری است.

اولویت‌بندی خطرات یک چالش بزرگ برای تیم‌های امنیتی است. CyCognito چگونه بین آسیب‌پذیری‌های حیاتی و غیرحیاتی تمایز قائل می‌شود؟

ما آسیب‌پذیری‌ها را با درک زمینه آنها در کل اکوسیستم امنیتی یک سازمان اولویت‌بندی می‌کنیم. کافی نیست که بدانیم یک اعتبارنامه در معرض دید قرار گرفته است یا یک نقطه دسترسی آسیب‌پذیر است - ما باید بفهمیم که این قرار گرفتن در معرض خطر از نظر تأثیر بالقوه چه معنایی دارد و این تأثیر بسته به زمینه تجاری دارایی می‌تواند متفاوت باشد. ما به طور ویژه به اعتبارنامه‌های دسترسی ممتاز، حساب‌های اداری و نقاط دسترسی VPN توجه ویژه‌ای داریم، زیرا اینها اغلب بزرگ‌ترین خطر برای حرکت جانبی در داخل سیستم‌ها را نشان می‌دهند. با ترسیم این خطرات بر روی نمودار سطح حمله خود، می‌توانیم به تیم‌های امنیتی دقیقاً نشان دهیم که کدام آسیب‌پذیری‌ها بزرگ‌ترین خطر را برای مهم‌ترین دارایی‌های آنها ایجاد می‌کنند. این به آنها کمک می‌کند تا منابع محدود خود را در جایی متمرکز کنند که بیشترین تأثیر را داشته باشند.

شما تکامل امنیت سایبری را در پنج سال آینده چگونه می‌بینید و هوش مصنوعی چه نقشی در حمله و دفاع ایفا خواهد کرد؟

ما در میانه یک تغییر اساسی در چشم‌انداز امنیت سایبری هستیم که عمدتاً ناشی از هوش مصنوعی است. در سمت تهاجمی، ما در حال حاضر شاهد تسریع مقیاس و پیچیدگی حملات به روش‌هایی هستیم که تنها چند سال پیش غیرممکن بود. ابزارهای جدید هوش مصنوعی که به طور خاص برای جرایم سایبری طراحی شده‌اند، مانند WormGPT و FraudGPT، به سرعت در حال ظهور هستند و ما حتی شاهد به خطر افتادن یا "شکستن زندان" پلتفرم‌های هوش مصنوعی قانونی برای اهداف مخرب هستیم.

در سمت دفاعی، هوش مصنوعی دیگر فقط یک مزیت نیست - بلکه به یک ضرورت تبدیل شده است. سرعت و مقیاس حملات مدرن به این معنی است که تحلیل سنتی و صرفاً انسانی به سادگی نمی‌تواند همگام شود. هوش مصنوعی برای نظارت بر تهدیدات در مقیاس، تجزیه و تحلیل فعالیت‌های دارک وب و ارائه قابلیت‌های پاسخ سریع که امنیت مدرن به آن نیاز دارد، ضروری است. اما می‌خواهم تأکید کنم که فناوری به تنهایی پاسخگو نیست. سازمان‌هایی که در پیمایش این چشم‌انداز جدید موفق‌تر خواهند بود، سازمان‌هایی هستند که قابلیت‌های پیشرفته هوش مصنوعی را با استراتژی‌های امنیتی فعال و درک عمیق از سطح حمله گسترده خود ترکیب می‌کنند. پنج سال آینده در مورد یافتن تعادل بین ابزارهای هوش مصنوعی قدرتمند و برنامه‌ریزی امنیتی هوشمندانه و استراتژیک خواهد بود.

از شما برای مصاحبه عالی سپاسگزاریم، خوانندگانی که مایل به کسب اطلاعات بیشتر هستند باید از CyCognito بازدید کنند.

https://www.unite.ai/emma-zaballos-product-marketing-manager-at-cycognito-interview-series/