لو لم يكن يركض بطاقة الأداء الأمنييقول أليكس يامبولسكي، ربما كان يجلس في حديقة في مدينة نيويورك، يلعب الشطرنج. كانت نيويورك موطنه لسنوات عديدة، منذ أن هاجرت عائلته الروسية الأوكرانية إلى الولايات المتحدة عندما كان مراهقًا.
حتى عندما كان في سن المراهقة، كان معجزة الشطرنج قد تعرض بالفعل للعض من قبل خطأ الأمن السيبراني. بدأت رحلة يامبولسكي إلى الأمن عندما كان في الثانية عشرة من عمره، عندما قدم له أحد الأصدقاء قرصًا مرنًا مقاس 3.5 بوصات يحتوي على نسخة من لعبة الفيديو الكلاسيكية. امير فارس. وفيروس.
“أعتقد أن الناس في أيامنا هذه لا يتذكرون ما هي الأقراص المرنة. ولكن عندما أدخلته إلى جهاز الكمبيوتر الخاص بي وأصابته بفيروس، قلت لنفسي، أحتاج إلى معرفة ما هذا بحق الجحيم. كيف تجعل أجهزة الكمبيوتر تسيء التصرف؟ يقول: “أردت العودة إلى صديقي”.
“وبدأت أتعلم كيفية اختراق أجهزة الكمبيوتر. وبعد ذلك وقعت في حب الأمن السيبراني.
بمجرد وصوله إلى الولايات المتحدة، تمكن يامبولسكي من متابعة اهتماماته. ذهب إلى الكلية وحصل بعد ذلك على درجة الدكتوراه في التشفير حصل على درجة الدكتوراه من جامعة ييل، حيث أمضى خمس سنوات في إنهاء أطروحته، أثناء إجراء بحث حول المفاهيم التي أصبحت الآن جزءًا منها blockchain تكنولوجيا.
يقول يامبولسكي: “أردت أن أبني الأشياء وأجعلها تنبض بالحياة بدلاً من مجرد نشر الأبحاث الأكاديمية، لذلك دخلت في هذه الصناعة”. “لقد عملت في شركات مثل أوراكل وجولدمان ساكس. وبعد ذلك أصبحت ضابطًا أمنيًا رئيسيًا [CSO] في شركة تدعى Gilt Groupe [a US-based members-only online retailer]ومن هنا ولدت فكرة SecurityScorecard.
في الواقع، نشأت الأعمال وسط عملية شراء في Gilt Groupe خلال فترة عمل يامبولسكي كمدير تنفيذي.
ويوضح: “لقد قام فريق التسويق الخاص بي بالتسجيل للحصول على هذا البرنامج كخدمة [SaaS] منتج للمساعدة في الحد من الاحتيال في التجارة الإلكترونية – عندما تكون بائع تجزئة وتبيع سلعًا عبر الإنترنت، سيستخدم الأشخاص بطاقات احتيالية للسرقة منك، لذلك قمنا بالتسجيل في هذا المنتج.
“ومع ذلك،” يتابع، “لكي تكون هذه الطريقة فعالة، كان علينا أن نشارك المعلومات حول جميع عملائنا، الأمر الذي جعلني أشعر بعدم الارتياح، لذلك جعلناهم يخضعون لعملية تصديق. لقد ملأوا استبيانًا مطولًا بالقلم والورق، وقالوا إنهم يقومون بعمل رائع.
“أدركت أنني يمكن أن أقوم بعمل رائع، ويمكنني أن أعمل بجد كمنظمة مجتمع مدني، ومع ذلك يمكن أن أفقد وظيفتي بسبب ظروف خارجة عن إرادتي. لقد كان ذلك اكتشافًا كبيرًا”
أليكس يامبولسكي، SecurityScorecard
وحرصًا على المضي قدمًا، وقعت المنظمة على الخط المنقط، ولكن بمجرد بدء عملية التكامل، واجهت عقبة كبيرة.
ويقول: “لقد اكتشفنا، مما أثار استيائي، وجود بيانات غير مشفرة لبطاقات الائتمان على أنظمتها تخص عملاء آخرين”. “كان ذلك بالنسبة لي بمثابة دعوة كبيرة للاستيقاظ. أدركت أنني يمكن أن أقوم بعمل رائع، ويمكن أن أعمل بجد كمنظمة مجتمع مدني، ومع ذلك يمكن أن أفقد وظيفتي بسبب ظروف خارجة عن إرادتي. لقد كان ذلك اكتشافًا كبيرًا!»
التبعيات غير الكمية
في صيف عام 2013، بدأ يامبولسكي وشريكه في العمل بالتفكير بشكل أكثر عمقًا في الاعتمادات التي لا تعد ولا تحصى على أطراف ثالثة الموجودة داخل المؤسسة المتوسطة، ومدى مشاركة المستندات والبيانات على نطاق واسع – حيث تذهب الأوراق القانونية إلى مكتب محاماة، والضرائب إلى مكتب محاماة. محاسبًا، وملفاتك الخاصة إلى خدمة التخزين السحابي، وما إلى ذلك.
يقول يامبولسكي إن أيًا من هذه التبعيات يمكن أن يؤدي إلى حادث أمني إلكتروني يضع مؤسستك على الصفحة الأولى لإحدى الصحف الوطنية، ومع ذلك لم تكن هناك تاريخيًا مؤشرات أداء رئيسية (KPIs) في عالم الأمن والتي يمكن استخدامها للحكم بشكل فعال على شكل مخاطر الطرف الثالث.
“تذهب إلى الطبيب، فيقوم بقياس ضغط الدم لديك. أنت تقود سيارة، ولديك عداد السرعة. من أجل الأمن، لن تحصل على شيء. لماذا لا يكون هناك مؤشر أداء رئيسي لقياس وتحديد المخاطر؟ وكانت هذه هي الرؤية التي قادتنا إلى البدء في احتضان SecurityScorecard.
كيف تعمل
تعد منصة SecurityScorecard في جوهرها قاعدة بيانات للشركات التي تم تقييمها حسب عوامل الخطر السيبرانية المختلفة، مما يمنح المستخدمين رؤى حول المواقف الأمنية وملفات تعريف المخاطر لأي مؤسسة يتعاملون معها، أو يهتمون بإجراء بحث عليها.
كيف يتم حساب هذه الدرجات؟ أولاً، ينظر SecurityScorecard إلى سطح الهجوم الخاص بالمؤسسة من الخارج، باستخدام طرق المسح غير التدخلية لجمع الإشارات حول المنظمات.
“تمامًا كما يمكنك المشي في الحي ورؤية نافذة مكسورة أو كتابات على الحائط، يمكنك أن تستنتج دون الدخول إلى منزل أنه ربما لم تتم صيانته جيدًا من الداخل. وبالمثل، بالنسبة للشركات، هناك المئات من الإشارات التي يمكنك التقاطها بطريقة غير تدخلية.
“المثال البسيط هو أنك تنظر إلى أحد مواقع الويب، وترى في الجزء السفلي من الموقع عبارة “حقوق الطبع والنشر 2005”. حسنًا، إنه عام 2024، أليس كذلك؟ لذا فهي ليست ثغرة أمنية، ولا يمكنك استغلالها، ولكنك قررت للتو أنهم لا يقومون بتحديث موقع الويب بشكل استباقي [so] ما مدى اجتهادهم في مقاومة هجوم من نوع آخر؟ “
ثم تطبق على هذه المعلومات نموذجًا إحصائيًا يعتمد على ما يقرب من عقد من البيانات التاريخية لقياس المنظمة مقارنة بالآخرين في مجموعة أقرانها، للوصول إلى النتيجة النهائية. يتم نشر الخوارزمية التي يستخدمها علنًا، كون يامبولسكي مدافعًا كبيرًا عن الشفافية في كيفية عمل المنظمة.
يقول يامبولسكي إن الجهد والموارد اللازمة لبناء هذا الأمر كانت كبيرة، وهو يمثل تحديًا مستمرًا. “لدينا 600 شخص في الشركة، وحوالي 35% إلى 40% منهم يعملون في مجال البحث والتطوير. لقد بنينا تقنية على مدى السنوات التسع الماضية تجمع مليارات الإشارات كل يوم.
“على سبيل المثال، نحن ندير واحدة من أكبر مجاري البرامج الضارة في العالم، حيث نلتقط إشارات حول الأجهزة المصابة في جميع أنحاء العالم – وعلينا التأكد من أنها دقيقة وجديرة بالثقة. يتطلب الكثير من الجهد الهندسي. ليس من السهل بناء هذا النوع من التكنولوجيا.”
وهل البيانات دقيقة؟ على مايبدو. ويقول: “لقد أثبتنا – وشركات مثل مارش ماكلينان، على سبيل المثال – أن الشركات التي حصلت على نتيجة سيئة هي أكثر عرضة بثمانية أضعاف للمعاناة من اختراق البيانات مقارنة بتلك التي حصلت على نتيجة جيدة”.
لكن الخدمة لا تتوقف عند هذا الحد. “نحن لا نعطيك النتيجة فقط ونقول لك حظًا سعيدًا. كما نقدم لك توصيات حول كيف يمكنك أن تصبح أكثر مرونة، [and] يقول يامبولسكي: “نحن نسمح لك بأخذ النتائج والأفكار ودمجها في سير العمل”.
“لقد أثبتنا أن الشركات التي حصلت على نتيجة سيئة هي أكثر عرضة بثمانية أضعاف للمعاناة من اختراق البيانات مقارنة بتلك التي حصلت على نتيجة جيدة”
ألكسندر يامبولسكي، SecurityScorecard
يتكامل SecurityScorecard مع أكثر من 100 منصة أخرى لتمكين المستخدمين من إنشاء وتحديد جميع أنواع العناصر المختلفة لملفات تعريف المخاطر الخاصة بهم – على سبيل المثال، الامتثال التنظيمي للائحة العامة لحماية البيانات (GDPR) أو اللوائح المماثلة على مستوى الولاية في الولايات المتحدة – و، والأهم من ذلك، فهم المشكلات الأمنية والتناقضات بين مورديهم والتي يجب أخذها في الاعتبار عند التخطيط للمخاطر.
التهديدات المتزايدة باستمرار
عندما بدأ برنامج SecurityScorecard لأول مرة منذ 10 سنوات تقريبًا، بدا عالم الأمن السيبراني مختلفًا تمامًا عما هو عليه اليوم. لقد انتقلنا من عالم كان فيه الأمن يعتبر إلى حد كبير مجالًا للخبراء التقنيين والأشخاص المنغمسين في ثقافة القراصنة، إلى عالم حيث تصدر هجمات برامج الفدية نشرات الأخبار التلفزيونية في أوقات الذروة، ويصبح الأمن موضوعًا لمحادثات حفل العشاء.
ويرى يامبولسكي أن هناك ثلاثة اتجاهات أساسية تساهم في تحقيق ذلك. أولاً، أصبح سطح الهجوم أكثر تعقيداً وترابطاً إلى حد كبير. ثانياً، حدث انفجار في مخاطر الطرف الثالث ـ وتشير إحصائيات الشركة إلى ذلك ما يقرب من 30% من جميع الانتهاكات تنشأ الآن من خلال طرف ثالث. ثالثًا، تتمتع الجهات الفاعلة في مجال التهديد بإمكانية الوصول إلى مجموعة متنوعة من الأسلحة أكثر تطورًا وأقل تكلفة، بدءًا من هجمات الحرمان من الخدمة الموزعة (DDoS) التي يمكن شراؤها مقابل بضعة دولارات، إلى هجمات صفر يوم تبدأ بالآلاف.
“لا يمكننا تغيير حقيقة أن العالم أصبح أكثر تعقيدا. يقول يامبولسكي: “لا يمكننا تغيير حقيقة أن المهاجمين أصبحوا أكثر تطوراً”.
“ما يمكننا التأثير عليه هو أن معظم الشركات لا تزال تركز على القوة بدلاً من المرونة. إنهم يحاولون منع الخصم من الاختراق بدلاً من قلب الافتراض والقول، عاجلاً أم آجلاً، مع بذل ما يكفي من الجهد، سوف يتمكن الخصم من الدخول، [so] كيف أجعل الأمر صعبًا عليهم قدر الإمكان؟
إن الرأي القائل بأن معالجة مخاطر الطرف الثالث تشكل جزءًا من هذا التحول نحو المرونة هو أمر غير مقبول واحد يشترك فيه الكثيرون. وبالنظر إلى المستقبل، يأمل يامبولسكي أنه مع تحرك المؤسسات نحو ممارسة أمنية تركز على المرونة، فإن المنهجية المدعومة بمؤشرات الأداء الرئيسية الخاصة بـ SecurityScorecard ستساعدهم في النهاية على اتخاذ قرار شراء أكثر ملاءمة، بدلاً من مجرد توجيه خرطوم إطفاء الحريق إلى المشكلة.
التطورات المستقبلية
تعمل SecurityScorecard أيضًا على تكثيف الخدمات التي يمكن أن تتواجد جنبًا إلى جنب مع نظام التصنيف الخاص بها وتعززه، وهو أمر كان العملاء يطلبونه منه. بعد كل شيء، فإن تحديد حجم المخاطر الأمنية التي تواجهها والمخاطر الأمنية التي يتعرض لها شريكك وموردك البيئي لن يوصلك إلا إلى ما هو أبعد – وربما ستظل تتعرض للهجوم في مرحلة ما.
يقول يامبولسكي: “أنا متحمس جدًا ليس فقط لإعطائك تقييمات أمنية للقياس، ولكن أيضًا لإعطائك الحلول”.
“التركيز الكبير والدفعة الكبيرة لنا الآن هي كيفية التوسع من التقييمات إلى الحلول. لدينا الآن وحدة أعمال تقوم بتمارين الطاولة حيث نأتي وندرب فريقك التنفيذي. لدينا وحدة متخصصة في الطب الشرعي، لذلك إذا تم اختراق جهاز الكمبيوتر الخاص بك أو إصابتك ببرامج الفدية، فيمكننا مساعدتك.
ويهتم يامبولسكي بشكل خاص بالمساعدة في سد فجوة الاتصال المعترف بها منذ فترة طويلة بين فرق الأمن وقادتها على مستوى مجلس الإدارة.
“تفتقر مجالس الإدارة ورؤساء أمن المعلومات إلى لغة مشتركة. أعضاء مجلس الإدارة من المريخ، ومديرو تكنولوجيا المعلومات من الزهرة”
ألكسندر يامبولسكي، SecurityScorecard
“تفتقر مجالس الإدارة ورؤساء أمن المعلومات إلى لغة مشتركة. يقول: “إن أعضاء مجلس الإدارة من المريخ، ومديرو تكنولوجيا المعلومات من كوكب الزهرة”.
“غالبًا ما يتحدث كبير مسؤولي أمن المعلومات (CISO) بلغة تقنية، أو مصطلحات تقنية، لذلك قد يقول: “لقد قمت بنشر Akamai Prolexic على 124.1.1.3/24 للتخفيف من هجمات نقاط النهاية”، وليس لدى عضو مجلس الإدارة أي فكرة عما قاله كبير مسؤولي أمن المعلومات (CISO) للتو. كان ينبغي على CISO أن يقول: “لقد قمت بتطبيق منع رفض الخدمة”. لقد كلفني ذلك 200 ألف دولار وسيوفر لنا 3 ملايين دولار من انقطاع التيار الكهربائي.
“هناك أيضًا مسؤولية على عاتق أعضاء مجلس الإدارة لمعرفة المزيد حول الأمن السيبراني. إذا كنت عضوًا في مجلس الإدارة وسألت أثناء أحد الاجتماعات، “ما هو هامش الربح الإجمالي؟”، فستحصل على نقرة على كتفك واستراحة حيث سيقول الناس، “أنت حقًا بحاجة إلى معرفة المزيد” فيما يتعلق بالبيانات المالية، عليك أن تعرف ما هو هامش الربح الإجمالي. ولكن إذا سأل أحد أعضاء مجلس الإدارة: “ما هو هجوم حجب الخدمة؟” لا أحد يهتم. انه عادي. من المتوقع.
“لسوء الحظ، أعضاء مجلس الإدارة ليسوا على دراية تامة بالأمور الفنية، ويجب أن يتغير هذا – لقد تغير بالفعل. لذا، فإننا نرى المزيد من مجالس الإدارة المشاركة، ونرى مجالس الإدارة تعمل على توحيد معايير قياس المخاطر وإعداد التقارير عنها، ونرى مجالس الإدارة تتبنى تصنيفات أمنية مثل تصنيفاتنا لفحص ما يفعلونه. إن العالم يتغير في اتجاه إيجابي في مجال الأمن السيبراني.
