ImmuniWeb提供了支持人工智能的应用程序安全测试、攻击面管理解决方案,以及专门为降低复杂性和运营成本而定制的暗网监控。在这次令人大开眼界的采访中,ImmuniWeb创始人兼首席执行官伊利亚·科洛琴科(Ilia Kolochenko)讨论了构成当今网络安全格局的威胁、挑战、机遇和法规。请描述一下你的背景和公司背后的故事:是什么激发了这个想法,以及到目前为止它是如何发展的</我在17岁左右开始了我在网络安全领域的第一份工作。当时,它被贴上了“道德黑客”的标签,但本质是相当相同的。我做渗透测试和安全审计已经将近15年了。
2016年,我决定通过一些人道主义研究来提高我的技术技能,因此我在圣路易斯的华盛顿大学获得了法律研究硕士学位,并于2018年成功毕业。今年我将在波士顿大学完成我的第二个刑事司法和网络犯罪调查硕士学位。
我将所学的一切付诸实践,这样我不仅可以解释、阐述和分解技术元素,还可以解释业务和法律后果。
ImmuniWeb是一家致力于应用程序安全的公司。我们提供与应用程序安全测试和保护、攻击面管理和暗网监控相关的全方位服务,使我们的客户能够做出基于风险、感知威胁和明智的决策。
这是一个潜入ImmuniWeb人工智能安全平台的高峰。
当今市场上最大的危险之一是,许多组织没有一个完整的应用程序、数据库、API以及所有不同系统和IT资产的库存。他们无法保护他们看不见的东西。因此,归根结底,他们在应用程序安全方面的所有努力和投资都可能面临风险,仅仅因为一个被遗忘的应用程序、服务器或数据库被遗弃在野外。
ImmuniWeb提供了您的资产、风险和威胁的真实可视性,包括对您的深层次和黑暗网络暴露的深入可视性。能够看到自己的资产是至关重要的,但在黑暗的网络上,你不仅可以了解你的组织,还可以了解从你信任的第三方窃取的数据、帐户或密码。
我们在黑暗网络上为客户检测到的大多数关键和敏感信息都属于他们的供应商,包括IT和网络安全供应商。这是一个巨大且迅速增长的问题,因为组织必须将任务和流程外包并委托给相互竞争的可能值得信任的第三方。鉴于2019冠状病毒疾病,其中许多公司不得不削减网络安全和数据保护成本,最终使其客户和客户面临广泛的数字风险和威胁。我们为他们带来全面的可视性,并支持全面、包容的应用程序安全测试和防御。
ImmuniWeb是最具包容性的平台之一;它不仅为您提供测试和保护,还让您能够以深思熟虑、全面和数据驱动的方式分配资源和时间。
你提到遵守隐私规定,这是很多企业都在努力解决的问题。如果你是一名政策制定者,你会如何改变这些政策以使法规遵从性更容易</为了回答你的问题,我将从一些关于GDPR的想法开始。我们现在看到的是,GDPR助长了越来越多的欺诈行为。例如,我们有关于网络犯罪分子盗取真实客户身份并向不同组织发送法律威胁的报告和研究,称“您非法收集了我的个人数据,请按照GDPR的要求将您所有关于我的信息发送给我”。
对于如何处理此类询问和核实身份,许多组织仍然没有明确的法律指导方针。他们中的大多数人都没有能够提供合格法律建议的内部法律顾问。通过善意行事,这些组织可能会无意中与第三方共享您的所有数据,包括支付信息和账户记录,而第三方反过来会篡夺您的身份。所有这些实际上都是由GDPR实现的,一些安全供应商和媒体宣传的严厉惩罚是从上下文中抽象出来的。显然,我并不是说GDPR本身就不好,但作为一种附带效应,它促进了网络钓鱼、社会工程和欺诈的新载体。第二,我们开始看到一些公司倾向于将更多资源用于纸面法规遵从性,而不是实际的网络安全。他们真的不在乎自己是否在默默地被黑客攻击,因为每个人都会被黑客攻击。他们将精力集中在纸面上的合规性上,这样即使他们被黑客攻击,他们也能证明他们已经做出了合理的努力来防止它。认为这将降低对企业造成的损害是一个很大的错误。
P我还要说,如今,GDPR的执行变得非常奇怪。根据欧盟委员会最近的一份报告,大部分罚款是针对英国的英国航空公司这样的大型组织征收的。
一些法律学者说,GDPR可能是一种合法的手段,通过说“你是大的,你有钱,所以你会付钱给我们”来勒索太大而不能倒的组织一些州显然正试图利用GDPR作为征收额外“税”的新手段。
同时,当我们与小型组织打交道时,几乎没有任何安全政策,在未经同意的情况下,肆无忌惮地公开商业化的个人数据。他们通常会被处以1000欧元左右的名义罚款,尽管他们从这些非法活动中获得的利润可能要高出10倍。我不认为这种日益增长的不平衡和不成比例的执法是GDPR的最初目的。
尽管GDPR被认为是在全球范围内实施的,但世界各地的许多公司选择忽视它。例如,如果你在中国有一家公司错误地处理了欧洲公民的PII,除非该公司在欧盟有子公司或某种法律立足点,比如拥有一处房产,否则你什么都做不了。这就产生了一个日益严重的问题,即“防判断”的公司。
由于新法规的增加,如新的《加利福尼亚州消费者隐私法》(CCPA),大多数合规策略变得极其复杂。
如今,欧盟和美国在数据保护方面公开存在分歧。我认为欧洲公司可能会开始忽视美国的适用法律,反之亦然,从而导致越来越不稳定和不确定性。
我认为美国其他州会试图制定自己的类似GDPR的隐私法,这可能会导致冲突。我们真正需要的是统一的立法、保护和执行,否则,遵守所有适用的法律是不可行的。
如果这种情况继续下去,企业将开始忽视全球监管要求,只关注本地监管要求。如果他们需要遵守100项相互重叠且相互矛盾的合规要求,他们会宁愿支付罚款,甚至停止在特定州或国家开展业务,因为从经济角度来看,这是不切实际的。我认为,我们已经到了这样一个地步:过多的监管将开始损害国际业务,并扼杀数据保护政策最终能够为我们的社会带来的所有好处。
执法似乎主要集中在公司的合规性上,但我们没有看到在抓捕网络罪犯方面投入多少精力。你对此有何看法</我同意。当我们谈论网络罪犯时,不仅仅是粗心大意、疏忽大意的组织,许多老练的帮派正在逍遥法外。他们有加密货币,而不一定是比特币,在一系列有限的情况下,比特币是可以追踪的。我们讨论的是确保99.99%匿名性的特定加密货币,因此从技术上来说,无法对其进行追踪和调查。
10年前,网络帮派必须找到一个可靠的合作伙伴来洗钱,可以通过贝宝账户,也可以通过银行来收取收益,然后作为现金获得。今天,实际上,如果网络团伙以深思熟虑的方式组织袭击,从技术上来说,是不可能找到他们的。显然,执法机构可能会试图推断谁可能从特定的攻击中受益,或者从前罪犯或共犯那里得到线索,但如果你没有此类内幕信息或任何其他线索,大多数复杂的民族国家和APT攻击都无法追踪。您认为2019冠状病毒疾病对您的业务和整个行业有何影响
我认为2019冠状病毒疾病通过加剧我们已经存在的问题带来了很多变化。因此,从实践的角度来看,这并不是什么新鲜事。新冠肺炎只是庸俗化和强调了我们多年来存在的问题。例如,企业现在正在紧急创建家庭办公基础设施,将其VPN、数据库和内部CRM暴露在互联网上。以前,我们有很多组织的数据库暴露多年,他们并不在乎。如今,不应该从外部访问的暴露系统数量激增。
我们也面临着越来越大的网络钓鱼和社会工程攻击的挑战。同样不幸的是,这并不是什么新鲜事,但新的载体现在正被用来窃取凭证和个人数据,以进行高效的社会工程。鉴于员工享有特权,有时无法控制对皇冠珠宝的访问,许多矛式网络钓鱼活动取得了前所未有的成功和成效。因此,我瘦了