나빌 해넌은 NetSPI의 현장 CISO(최고 정보 보안 책임자)입니다. 그는 회사의 자문 컨설팅 업무를 이끌며, 고객이 사이버 보안 평가와 위협 및 취약성 관리 요구 사항을 해결하도록 돕는 데 중점을 둡니다. 그의 배경은 효과적인 소프트웨어 보안 이니셔티브를 구축하고 개선하는 데 있으며, 금융 서비스 부문에 대한 심층적인 전문 지식을 갖추고 있습니다.
NetSPI 가장 중요한 보안 취약성을 발견하고, 우선순위를 정하고, 수정하도록 설계된 선제적 보안 솔루션입니다. 조직이 이전보다 더 명확하고, 빠르고, 규모 있게 사이버 보안에 대한 선제적 접근 방식을 가능하게 하여 비즈니스에 가장 중요한 것을 보호하도록 돕습니다.
사이버보안 분야에서의 여정에 대해 조금 공유해 주시겠습니까? 그리고 NetSPI에 합류하게 된 계기가 무엇이었나요?
저는 일곱 살 때부터 프로그래밍을 해왔습니다. 기술은 항상 저를 흥분시켰는데, 사물이 어떻게 작동하는지 알고 싶었기 때문입니다. 그 결과 어린 나이에 많은 것을 분해하고 다시 조립하는 법을 배우게 되었습니다.
대학에서 컴퓨터 과학을 공부하는 동안 저는 Blackberry에서 경력을 시작했는데, 그곳에서 Blackberry Messenger Platform의 제품 관리자로 일했고 하드웨어 설계에 관심을 갖게 되었습니다. 그곳에서 저는 애플리케이션 보안 분야의 소규모 회사에 채용되었습니다. 저는 그 분야에 열정이 너무 많아서 일자리를 얻기 위해 새로운 나라로 이사할 의향이 있었습니다.
사이버 보안 분야에서의 제 여정을 생각해보면, 그것은 하향식으로 시작되었습니다. 저는 침투 테스트, 코드 검토, 위협 모델링, 하드웨어 테스트, 그리고 상사들이 저에게 던지는 다른 모든 일을 하는 준임원 컨설턴트로 시작했습니다. 결국 저는 Cigital을 위한 침투 테스트 서비스를 구축하는 데까지 올라갔고, 나중에 Synopsys에 인수되었습니다. 이 모든 것이 저를 NetSPI로 이끌었고, 선제적 보안 분야에서 성장 궤적을 지원했습니다.
금융 서비스 부문에서의 경험이 사이버 보안에 대한 접근 방식에 어떤 영향을 미쳤나요?
Synopsys에서 일하는 동안 저는 금융 서비스 산업에 보안 서비스와 제품을 판매하기 위한 전략을 수립하는 데 도움을 주었습니다. 그래서 저는 금융 서비스에서 직접 일하지는 않았지만 그 부문을 위한 전략을 수립하는 일을 맡았는데, 이를 위해서는 그 부문의 추진력과 문제점을 이해하기 위해 그 분야를 깊이 파고들어야 했습니다.
기술 분야에서 성장하면서 저는 전 세계의 대형 금융 서비스 기관에서 일하는 데 많은 시간을 보냈습니다. 그런 배경을 바탕으로 저는 금융 서비스 산업 전체에 맞춤화된 서비스를 타겟팅하고 구축하기 위한 전략을 개발하는 데 시간과 기술을 집중했습니다.
금융 서비스 부문에 대한 노출을 통해 제가 배운 가장 큰 것은 해커들이 돈이 있는 곳으로 간다는 것입니다. 해커들은 그저 재미로 하는 것이 아니라 수입원입니다. 그들은 재정적으로 가장 큰 영향을 미치는 곳으로 갑니다. 실제로 어떤 형태로든 돈을 훔치든 조직에 재정적 피해를 입히든 말입니다. 그런 사고방식이 사이버 보안에 대한 제 이해를 형성하는 데 도움이 되었고, 현재 현장 CISO로서 제 역할에서 성공하는 데 도움이 되었습니다.
사이버 위협이 빠르게 진화하고 있는 가운데, 오늘날 기업이 직면한 가장 큰 사이버 보안 과제는 무엇이라고 생각하십니까?
오늘날 가장 큰 과제는 모든 조직이 진화하는 위협에 대처하고 AI와 같은 새로운 기술과 보조를 맞추기 위해 운영해야 하는 속도입니다. 과거에는 소프트웨어를 구축하기 위한 폭포수 방법론이 있었는데, 오늘날 소프트웨어가 배포되는 속도와 비교하면 반드시 빠른 프로세스는 아니었습니다. 지금은 조직이 소프트웨어를 구축하고 가능한 한 빨리 프로덕션에 출시하고 더 작은 구현을 하려고 하는 훨씬 더 민첩한 방법론이 있습니다.
지난 10년 동안 보안 생태계에서 빠른 변화와 가속화가 나타났습니다. 이로 인해 대규모 조직에서 섀도우 IT와 같은 많은 문제가 발생하여 공격 표면과 자산에 대한 통찰력을 얻는 것이 더 어려워졌습니다. 보이지 않는 것은 보호할 수 없습니다.
클라우드 도입은 이러한 화재에 더해집니다. 더 많은 사람들이 클라우드에 적응하고, 채택하고, 마이그레이션할수록 소프트웨어 시스템과 자산은 더욱 탄력적이 됩니다. 소프트웨어와 하드웨어를 탄력적으로 확장하고 축소할 수 있는 능력은 변화를 관리하기 더욱 어렵게 만듭니다. 시스템이 탄력적인 잠재력으로 구축됨에 따라 자산 소유권이 더 자주 바뀌는 문제가 발생하고 나쁜 행위자가 조직에 침투할 수 있는 기회가 생깁니다.
향후 5년 동안 사이버보안 환경이 어떻게 바뀔 것으로 생각하시나요?
외부 및 내부 자산에 대한 가시성 향상에 대한 필요성은 향후 5년 동안 계속 중요할 것이며 고객이 공급업체와 협력하는 방식을 바꿀 것입니다. 이는 이미 NetSPI에서 집중적으로 다루고 있는 분야입니다. 6월에 우리 획득하다 Hubble Technology라는 사이버 자산 공격 표면 관리(CAASM) 및 사이버 보안 포스처 관리 솔루션입니다. 기존 외부 공격 표면 관리(EASM) 기능에 CAASM을 추가하면 고객이 지속적으로 새로운 자산과 위험을 식별하고, 보안 제어 사각 지대를 개선하고, 외부 및 내부 사이버 자산의 정확한 인벤토리를 제공하여 보안 포스처에 대한 전체적인 관점을 얻을 수 있습니다. 이는 지금까지 업계에서 누락되었던 것입니다.
EASM 및 CAASM 기능을 NetSPI 플랫폼에 통합하면 고객에게 지속적인 가시성 문제를 해결하는 데 필요한 도구를 제공할 수 있습니다. 또한 이를 통해 자산 및 취약성과 관련된 위험을 정확하게 우선순위 지정하는 기능이 향상됩니다. 또한 보안 리더가 이러한 위험과 관련하여 가장 중요한 자산의 노출을 평가하는 데 도움이 됩니다.
NetSPI의 취약성 관리 접근 방식은 업계 내 다른 회사와 어떻게 다릅니까?
최근에, 우리는 새로운 통합 선제적 보안 플랫폼을 공개했습니다.PTaaS(Penetration Testing as a Service), EASM(External Attack Surface Management), CAASM(Cyber Asset Attack Surface Management), BAS(Breach and Attack Simulation) 기술을 단일 솔루션으로 결합합니다. NetSPI 플랫폼을 통해 고객은 그 어느 때보다 더 명확하고 빠르며 규모 있게 사이버 보안에 대한 사전 예방적 접근 방식을 취할 수 있습니다. 이 새로운 사전 예방적 접근 방식은 업계에서 보고 있는 추세와 분산된 포인트 솔루션에서 벗어나 보다 포괄적이고 엔드투엔드 플랫폼 서비스를 빠르게 도입하는 방향으로의 전환을 반영합니다.
NetSPI에서는 사이버 보안 조치를 강화하기 위해 AI를 어떻게 활용하고 있습니까?
모든 사이버 보안 리더가 말하듯이 AI는 비즈니스 성공을 촉진할 잠재력이 있지만, 적대적 공격을 조장할 잠재력도 있습니다. NetSPI에서는 AI/ML 침투 테스트 모델을 구현하여 고객이 앞서 나갈 수 있도록 돕고 있습니다. 이 모델을 통해 LLM에 중점을 두고 ML 시스템에 대한 적대적 공격과 관련된 위험을 식별, 분석 및 완화하여 아이디어에서 구현까지 보안을 고려합니다. 사이버 보안에서 AI 기능은 위협을 실시간으로 모니터링하고 해결하는 능력을 향상시키고 채택했습니다.
사이버 보안에 있어 AI와 관련된 잠재적 위험은 무엇이며, 어떻게 완화할 수 있는가?
다른 사이버 보안 리더들과 나눈 대화에 따르면, 가장 큰 AI 위험은 조직의 기본 데이터 부족과 사이버 보안 위생입니다. 알다시피, AI 솔루션은 모델이 훈련된 데이터만큼만 효과적입니다. 조직이 데이터 인벤토리와 분류에 대한 확실한 이해가 없다면, 모델이 손상되고 보안 격차가 발생하기 쉽다는 위험이 있습니다.
사람들이 AI에서 “지능”이라는 단어를 볼 때, 그들은 그것이 “본질적으로 지능적”이거나 어떤 유형의 지각을 가지고 있다고 착각합니다. 하지만 사실은 그렇지 않습니다. 보안 실무자는 여전히 AI 모델을 프로그래밍하여 자산이 개인, 사적, 공공 등을 이해하도록 해야 합니다. 이러한 메커니즘이 없다면 AI는 혼란에 빠질 수 있습니다. 제 생각에 그것이 지금 CISO들 사이에서 가장 큰 우려입니다.
NetSPI의 PTaaS(Penetration Testing as a Service)가 조직의 강력한 보안을 유지하는 데 어떻게 도움이 되는지 자세히 설명해 주시겠습니까?
침투 테스트는 조직의 전반적인 사이버보안 태세에 매우 중요합니다. 이를 통해 팀은 해당 비즈니스의 취약성에 대한 더욱 구체적인 맥락을 얻을 수 있기 때문입니다.
침투 테스트는 코드 검토, 위협 모델링, 정적 애플리케이션 보안 테스트(SAST), 동적 애플리케이션 보안 테스트(DAST), 대화형 애플리케이션 보안 테스트(IAST) 등 이전에 구현했을 수 있는 다른 보안 제어가 얼마나 효과적인지 확인하는 좋은 시금석이기도 합니다.
정기적인 침투 테스트는 보안 전문가와의 실시간 협업을 촉진하여 데이터에 더 많은 심도를 더하는 또 다른 관점을 제공할 수 있습니다. 성공적인 침투 테스트가 끝나면 조직은 IT 환경의 어느 부분이 침해에 더 취약한지에 대한 더 나은 통찰력을 얻게 됩니다. 침투 테스트에서 취약성을 감지하면 종종 수명 주기 초기에 제어의 격차나 전혀 없는 제어를 강조합니다. 또한 규정 준수를 달성하는 방법, 수정 노력에 집중해야 할 곳, IT 및 보안 팀이 잠재적인 비즈니스 영향을 파악하기 위해 협력할 수 있는 방법을 이해하게 됩니다.
PTaaS를 전문으로 하는 공급업체와 협력하여 강력한 보안 태세를 구축함으로써 조직은 보안 사고를 사전에 예방할 준비를 더 잘 갖출 수 있습니다.
기술과 인간의 전문성을 어떻게 통합하여 포괄적인 보안 솔루션을 제공하시나요?
NetSPI는 알려진 위협과 알려지지 않은 위협보다 앞서 나가기 위한 건전한 전략을 제공하려면 기술과 인간이 모두 필요하다고 생각합니다. 인간은 도구가 생성하는 출력을 검증, 우선순위 지정 및 맥락화하기 위해 루프에 있어야 합니다. 우리는 사람들에게 거짓 양성을 제공하거나 소음을 발생시켜 실제로 중요한 것을 파악하는 데 더 많은 시간을 할애하게 하는 사업을 하지 않습니다. 다시 말해, 훌륭한 기술을 가질 수 있지만 성공하려면 실제로 기술을 사용하고 방해할 사람이 필요합니다.
AI가 인간보다 더 빠르고 정확하게 할 수 있는 일상적인 작업이 많이 있습니다. 기술을 신뢰할 수 있는 방식으로 구축할 수 있다면 특정 작업을 자동화하고 보안 팀이 AI가 대체할 수 없는 더욱 창의적인 사고와 중요한 문제 해결에 주의를 기울일 수 있는 시간을 확보할 수 있습니다.
고객의 사이버 보안 태세를 강화하기 위해 일반적으로 어떤 전략적 조언을 제공하십니까?
사람들이 빠지기 쉬운 일반적인 함정은 자신이 이해하는 것에 투자하는 것입니다. 예를 들어, 회사는 클라우드 보안 배경을 가진 리더를 데려올 수 있습니다. 그러면 자연스럽게 그들은 조직이 실제로 지원을 필요로 할 수 있는 규정 준수, 네트워크 보안, 애플리케이션 보안 등이 아닌 클라우드 보안 팀을 구축하는 데 집중합니다.
모든 것에 전체적으로 초점을 맞춘 보다 균형 잡힌 프로그램을 갖는 것이 더 낫습니다. 그런 다음 심층적으로 방어를 구축하고 조직의 다른 부분에서 발생할 수 있는 다른 실패를 완화하는 통제를 갖습니다. 균형 잡힌 프로그램을 구축하는 것은 특정 부문에 더 많은 시간, 노력 및 도구를 투자하는 것보다 낫습니다.
훌륭한 인터뷰에 감사드립니다. 더 자세히 알고 싶은 독자는 다음을 방문하세요. NetSPI.
게시물 Nabil Hannan, NetSPI의 현장 CISO – 인터뷰 시리즈 처음 등장 유나이트.AI.
