از بین تمام افرادی که Tech Monitor تاکنون برای این بخش با آنها مصاحبه کرده است، هیچکدام بیشتر از ایشپریت سینگ، مناسب عنوان «تکاندهنده و پیشرو» نیستند. رزومه سینگ، اساساً لیستی از دورههای فعالیت در پویاترین شرکتهای امنیت سایبری است و شامل موقعیتهای ارشد در Splunk، Imperva و Qualys، و همچنین یک کرسی ارزشمند در شورای فناوری اجرایی معتبر CNBC است. این کهنهکار امنیت سایبری که اخیراً به عنوان مدیر ارشد اطلاعات بلک داک منصوب شده است، مشتاق است تا در این شرکت احیا شده و دوباره راهاندازی شده، که اکنون به طور کامل از صاحب قبلی خود، Synopsys جدا شده است، دوباره اثری از خود به جای بگذارد.
سینگ به Tech Monitor گفت: «به عنوان یک شرکت مستقل، فرصتهای زیادی برای ما وجود دارد تا با چالشهای نوظهور امنیت سایبری روبرو شویم. برای مثال، چالشهای امنیتی در آسیبپذیریهای ناشی از نرمافزار، تنها در حال افزایش است. خطرات ناشی از پذیرش گسترده هوش مصنوعی نیز رو به افزایش است.» در گفتگوی زیر، که برای طول و وضوح ویرایش شده است، سینگ جاهطلبیهای خود را برای بلک داک به عنوان یک شرکت جدید-قدیمی در این حوزه توضیح میدهد – و دامهایی که سایر مدیران ارشد اطلاعات امنیت سایبری باید از آنها اجتناب کنند.
شما در Qualys، Splunk و Imperva موقعیتهای برجستهای داشتهاید. چرا میخواستید به بلک داک بپیوندید؟
ایشپریت سینگ: اول و مهمتر از همه، من میخواستم به یک تیم برنده جایزه با یک مأموریت ساده اما واضح بپیوندم: ایمن کردن نرمافزار مشتری بدون کند کردن توسعهدهندگان آنها. و برای دستیابی به این هدف به عنوان مدیر ارشد اطلاعات، ابزارها و تیمهای زیادی دارم که میتوانم از آنها کمک بگیرم، از جمله راهکارهای جامع مدیریت آسیبپذیری ما تا برنامه مشاوره مشتری و راهکارهای امنیتی مبتنی بر هوش مصنوعی. علاوه بر این، تیمهایی که این محصولات را اداره میکنند، توسط یک ارتش کوچک از محققان و مهندسان در آزمایشگاه نوآوری و مرکز تحقیقات امنیت سایبری ما پشتیبانی میشوند. آنها دائماً به دنبال چالشهای جدید هستند – به عنوان مثال، ایجاد SBOMهای [لیست مواد نرمافزاری] دقیق از نظر متنی برای زبانهای کامپایل شده مانند C/C++، جایی که SBOM ممکن است بر اساس معماری CPU هدف متفاوت باشد. به طور خلاصه، کار خوب آنها به من این امکان را میدهد که به بلک داک کمک کنم تا به عنوان یک نیروگاه امنیتی مطرح شود!
اولویتهای اصلی شما به عنوان مدیر ارشد اطلاعات چیست؟
در بلندمدت، اولویت اصلی من باید ارتقای وضعیت امنیتی بلک داک باشد، تا از مشتریان و خود شرکت بهتر محافظت شود. این به معنای اطمینان از انطباق با مقررات کلیدی است – به SBOM، ISO 27001، SOC 2 فکر کنید – و تقویت معماری اعتماد صفر برای محافظت از دادههای حساس مشتری. من همچنین متعهد به حفظ یک استراتژی قوی تابآوری سایبری برای شرکت هستم، که واکنش سریع به هر حادثه نوظهور را تضمین میکند و اطمینان حاصل میکند که مکانیسمهای بازیابی فاجعه در جای خود قرار دارند.
به طور کلی، من همیشه به دنبال گسترش زیرساخت IT بلک داک هستم، و اتوماسیون مبتنی بر هوش مصنوعی را در سیستمهای داخلی خود پیادهسازی میکنم تا کارایی عملیاتی شرکت را در هر کجا که ممکن است افزایش دهم. این همچنین به معنای سادهتر و کارآمدتر کردن سیستمهای ما برای عملکردهای فروش، بازاریابی و G&A و همکاری منظم با دولتها و سازمانهای نظارتی برای اطمینان از اینکه راهکارهای انطباق امنیتی ما در خط مقدم نیازها و الزامات بازار باقی میمانند، است.
این اولویتها چگونه توسط تجربیات قبلی شما در Qualys، Imperva و Splunk شکل گرفتهاند؟
تجربه من در امنیت سازمانی، تحول ابری، پذیرش هوش مصنوعی و توسعه عملیاتی به من این امکان را میدهد که به شکافهای بین استراتژی تجاری، تابآوری امنیت سایبری و نوآوری فناوری رسیدگی کنم. از آنجایی که امنیت زنجیره تأمین نرمافزار، خطرات متنباز و بلوغ DevSecOps به اولویتهای سازمانی تبدیل میشوند، تخصص من به تبدیل بلک داک به یک ارائهدهنده راهکارهای تجاری مبتنی بر هوش مصنوعی کمک خواهد کرد.
در سطحی عمیقتر، تجربه من در آن شرکتها به من آموخته است که همیشه به اهدافم به عنوان یک مدیر ارشد اطلاعات به صورت جامع نزدیک شوم. یک شرکت امنیت سایبری باید امنیت را به عنوان یک استراتژی تجاری اساسی در نظر بگیرد تا اینکه صرفاً یک الزام انطباق باشد. اولویتبندی امنیت به عنوان یک فرصت رشد و یک عملکرد توانمندسازی ضروری است، که از اولین تعامل با مشتری شروع میشود.
در بلک داک، من خوش شانس هستم که CISO مستقیماً به من گزارش میدهد، اما من به همتایانم که در این وضعیت نیستند توصیه میکنم که تا آنجا که میتوانند در مورد وضعیت امنیت سایبری شرکت خود بدانند – به هر حال، شما فقط میتوانید آنچه را که میدانید ایمن کنید. از آنجا، این وضعیت باید در کل مجموعه تقویت شود، و این هدف کلی از طریق تیمهای شما به پایین منتقل شود تا انواع قابلیتهایی را ایجاد کنید که به شما امکان میدهد هر چالشی را بپذیرید. من اغلب متوجه شدهام که بسیاری از شرکتها سعی میکنند با پرداختن به الزامات اصلی انطباق خود ابتدا به این مشکل نزدیک شوند، اما اگر با آن هدف گستردهتر در ذهن شروع کنید، در نهایت تمام آن الزامات نظارتی را به طور خودکار علامت خواهید زد.
و چگونه از هوش مصنوعی، به صورت خارجی و داخلی، استفاده میکنید؟
هوش مصنوعی در پیشنهادات ما گنجانده شده است تا از فناوریهای نوظهور استفاده کنیم، تا مزیت رقابتی خود را حفظ کنیم. من متوجه شدهام که بدون هوش مصنوعی، AppSec کند و ناکارآمد میشود، خطرات را افزایش میدهد، رفع اشکالات را به تأخیر میاندازد و تیمهای امنیتی را تحت فشار قرار میدهد.
هوش مصنوعی از چندین جنبه برای ما بسیار مفید بوده است. به عنوان مثال، ابزار دستیار امنیت برنامه مبتنی بر هوش مصنوعی ما، کد برنامه را به صورت متنی تجزیه و تحلیل میکند و با درک رفتار اجرای واقعی به جای تطبیق الگو، مثبتهای کاذب را کاهش میدهد. ما همچنین به شدت به اولویتبندی مبتنی بر یادگیری ماشین تکیه میکنیم، که در آن مدلهای اختصاصی ما آسیبپذیریها را بر اساس قابلیت بهرهبرداری، تأثیر تجاری و شدت خطر رتبهبندی میکنند و اطمینان میدهند که تیمها ابتدا بر تهدیدهای حیاتی تمرکز میکنند. در همین حال، تجزیه و تحلیل ترکیب نرمافزار (SCA)، SBOMها را تولید و به روز میکند و دید بلادرنگ به خطرات متنباز و تجزیه و تحلیل قطعه کد برای کد تولید شده توسط هوش مصنوعی را تضمین میکند.
ما مشتاقانه منتظر پذیرش پیشرفتهای جدید در هوش مصنوعی و به طور خاص، LLMها به محض انتشار آنها بودهایم. ما ماموریت اصلی خود را انجام این کار به صورت ایمن قرار دادهایم و اطمینان حاصل میکنیم که کنترلها در جای خود قرار دارند. علاوه بر این، یکی از عناصر نقشه راه ما با مشتریان این است که میخواهیم انعطافپذیری را برای مشتریان خود بر اساس نیازها و سطح آسایش آنها فراهم کنیم و به آنها پیشنهاد میدهیم که یک LLM را ارائه دهیم یا به آنها اجازه میدهیم هنگامی که یک تعامل شامل کد منبع است، یک LLM را ارائه دهند.
هوش مصنوعی مزایای عظیمی برای نوآوری و سرعت فراهم میکند. با این حال، با پیشرفتهای تکنولوژیکی جدید، خطرات جدیدی در چشمانداز تهدیدها معرفی میشوند. برای من، بسیار مهم است که فناوری جدید را با احتیاط و ایمن راهاندازی کنم و اطمینان حاصل کنم که مکانیسمها و کنترلهایی برای استفاده از مزایا با امنیت به عنوان جنبهای از استراتژی شما وجود دارد.
چالشهای اصلی برای شرکتهای امنیت سایبری را در کجا میبینید؟ و چگونه بلک داک را برای پاسخگویی به آن چالشها قرار میدهید؟
چالشهای بسیار زیادی وجود دارد. تأثیر هوش مصنوعی یک چالش بزرگ است، به ویژه با توجه به پتانسیل آن برای تغییر
سریع گردش کار توسعه و تمام خطرات امنیتی و IP که به همراه دارد. تغییر چشمانداز خطر زنجیره تأمین نرمافزار حوزه دیگری
است که مرا شبها بیدار نگه میدارد. این احتمالاً برای مشتریان ما پیچیدهتر خواهد شد، زیرا قانونگذاران خواستار شفافیت
بیشتری در مورد زنجیرههای تأمین IT هستند.
پیچیدگی روزافزون امنیت برنامه چالش نوظهور دیگری است. در واقع،
زمینه آزمایش امنیت برنامه، بیش از هر زمان دیگری در گردش کار توسعه یکپارچه و خودکار شده است. این میتواند چیز خوبی
باشد: اساساً، به تیمها کمک میکند تا نقصهای امنیتی را در نرمافزار خود زودتر شناسایی و با آنها مقابله کنند و احتمال
اینکه آنها به محصول نهایی راه پیدا کنند و مستقیماً بر مشتریان تأثیر بگذارند را به حداقل میرساند. اما، از آنجایی که توسعه
نرمافزار خود پیچیدهتر شده است، کار ایمنسازی آن نرمافزار نیز پیچیدهتر شده است. شرکتها همیشه به دنبال راههایی برای
کاهش «نویز» ناشی از آزمایش امنیتی هستند تا بتوانند بر مسائلی تمرکز کنند که بالاترین خطر را برای سازمان، کاربران و
مشتریانشان ایجاد میکنند.
سپس چشمانداز نظارتی وجود دارد، به ویژه از آنجایی که به زنجیرههای تأمین نرمافزار مربوط میشود. دستورات اجرایی دولت بایدن در مورد امنیت سایبری، آژانسها، فروشندگان و تأمینکنندگان آنها را متوجه کرد که باید در مورد شیوههای امنیت برنامه خود شفافتر و پاسخگوتر باشند. به همین ترتیب، قانون تابآوری سایبری اتحادیه اروپا (CRA) تغییراتی را در شیوههای امنیتی در هر شرکتی که محصولاتی را در اتحادیه اروپا میفروشد ایجاد خواهد کرد. سازمانها همیشه در تلاش هستند تا این رویدادها را در زمان واقعی درک کرده و به آنها واکنش نشان دهند و برای راهنمایی و راهکارهای انطباق جامع به فروشندگانی مانند ما مراجعه کنند.