ผู้ก่อตั้ง SySS สัมภาษณ์ Sebastian Schreiber สำหรับ vpnMentor
ฉันก่อตั้ง SySS ในปี 1998 ดังนั้นในขณะนี้เราอายุ 20 ปี เราเชี่ยวชาญในการทดสอบการเจาะหมายถึงเราจำลองการโจมตีทางไซเบอร์กับระบบไอทีของลูกค้าไดเรกทอรีที่ใช้งาน Windows ไคลเอ็นต์ช่วง IP และแอปพลิเคชันเว็บ เรายังมีการทดสอบปากกาสำหรับรถยนต์ระบบอุตสาหกรรมอุปกรณ์ IoT และแม้แต่เครื่องชงกาแฟ.
เราใช้เครื่องมือแฮ็กเกอร์ของเราเองเพื่อทดสอบระบบและจากนั้นเราเขียนรายงานซึ่งลูกค้าของเราสามารถใช้เพื่อแก้ไขปัญหาและรับระบบไอทีที่ปลอดภัย.
ในขณะนี้เรามีพนักงาน 107 คนในเยอรมนีและออสเตรีย แต่เราทำการตรวจสอบทั่วโลกและโดยเฉพาะอย่างยิ่งสำหรับลูกค้าในสหรัฐอเมริกาและจีน เรายังพูดถึงการประชุมด้านความปลอดภัยไอทีขนาดใหญ่ ปีนี้เราจะมาพูดถึงการแฮ็คชีวภาพในงาน “positive hack days” ในมอสโคว์ซึ่งจะจัดขึ้นในวันที่ 15 และ 16 พฤษภาคม 2023.
อะไรคือปัจจัยที่สำคัญที่สุดที่องค์กรต้องพิจารณาเมื่อทำการรวบรวมกลยุทธ์ความปลอดภัยทางไซเบอร์?
ไม่ใช่เรื่องง่ายเลยที่จะรักษาความปลอดภัยในโลกไซเบอร์เพราะมันเป็นความท้าทายที่ซับซ้อนที่สุดของผู้เชี่ยวชาญด้านไอทีในปัจจุบัน คุณต้องจัดการกับซอฟต์แวร์ที่ไม่ดีโพรโทคอลที่ไม่ดีที่ใช้งานอยู่นิสัยการเข้ารหัสที่ไม่ดีและข้อผิดพลาดที่ย้อนกลับไปหลายปี นอกจากนี้ยังมีความท้าทายที่ยิ่งใหญ่เช่นการทำให้กระบวนการเก่าเป็นดิจิทัลและเพิ่มประสิทธิภาพการทำงานของคุณอย่างต่อเนื่อง ในมุมมองของเราสิ่งสำคัญที่สุดคือการตรวจสอบว่าช่องโหว่อยู่ที่ใดเพราะจะทำให้คุณสามารถมุ่งเน้นไปที่จุดสำคัญและระบุจุดอ่อนเพื่อให้คุณสามารถแก้ไขได้.
เราทำงานร่วมกับเจ้าหน้าที่รักษาความปลอดภัยด้านไอทีซึ่งสั่งการโจมตีทางไซเบอร์จำลองเพื่อทดสอบระบบของพวกเขา ในบางกรณีมันจะไม่ใช่ทีมไอทีที่โทรหาเรา แต่เป็นอีคอมเมิร์ซที่ต้องการให้ระบบการชำระเงินเป็นแบบกระสุนหรือผู้เชี่ยวชาญด้านอื่น ๆ ภายในองค์กรที่ต้องการบริการนี้เพื่อปรับปรุงการป้องกันของพวกเขา.
แอพพลิเคชั่นบนคลาวด์ได้แนะนำภัยคุกคามใหม่ ๆ ให้กับทั้งองค์กรและบุคคลทั่วไป คุณมีความเห็นอย่างไร?
Cloud-Based หมายถึงคุณให้ข้อมูลกับผู้อื่น แต่คำถามคือใครเป็นเจ้าของระบบและผู้ที่จ่ายค่าบำรุงรักษา เราทำการตรวจสอบมืออาชีพของเรากับระบบในสถานที่และระบบคลาวด์เหมือนกัน ไม่มีความแตกต่างอย่างแน่นอนหากข้อมูลนั้นโฮสต์บนเซิร์ฟเวอร์ของคุณเองหรือใน Amazon ช่องโหว่สามารถอยู่ในคลาวด์หรือในสถานที่ได้ ปัญหาด้านความปลอดภัยกับคลาวด์คือการที่คุณให้สิทธิ์แก่บุคคลที่สามอย่างไรก็ตามเป็นไปได้มากกว่าที่วิศวกรของ Amazon จะทำงานได้ดีขึ้นในการรักษาและปกป้องสภาพแวดล้อมคลาวด์ของพวกเขามากกว่าที่คุณทำบนเซิร์ฟเวอร์ส่วนตัวของคุณเอง.
ในแง่ของปัญหาทั่วไปของเว็บแอปพลิเคชันเช่นการเขียนข้ามไซต์การฉีดคำสั่ง OS และเทคนิคการแฮ็กอื่น ๆ จะไม่มีความแตกต่างหากคุณโฮสต์บนสถานที่หรือในระบบคลาวด์.
เราไม่ได้เข้าถึงปัญหาของมนุษย์ แต่เราต้องการทำการนำเสนอการแฮ็กแบบสดเพื่อแสดงให้ผู้คนเห็นถึงความเสี่ยงที่แท้จริง การแฮ็กแบบสดเป็นมาตรการที่เราใช้เพื่อกระตุ้นให้พนักงานตระหนักถึงความเสี่ยงของการทุจริตต่อหน้าที่มากขึ้น แต่บริการของเราไม่ได้จัดการกับวิธีการของมนุษย์ ในมุมมองของฉันไม่มีประโยชน์ในการพูดกับพนักงาน: “อย่าคลิกที่ไฟล์แนบคำ” หรือในทำนองเดียวกัน พนักงานส่วนใหญ่จะทำเช่นนี้เพราะพวกเขาจำเป็นต้องทำงานของพวกเขา การชุบแข็งพนักงานจะไม่สามารถแก้ปัญหาได้.
เราทำการทดสอบปากกาและเวิร์คช็อปเฉพาะเกี่ยวกับการแฮ็กแอปพลิเคชันบนเว็บและการแฮ็ก IoT เราให้การฝึกอบรม แต่นั่นเป็นเพียงส่วนเล็ก ๆ ของธุรกิจของเรา เราทำเช่นนั้นเพราะเราต้องการแบ่งปันความรู้กับลูกค้าของเรา.
เราสามารถคาดการณ์แนวโน้มใหม่อะไรได้บ้างในโลกไซเบอร์ในอนาคตอันใกล้?
ฉันคิดว่าไซเบอร์มีความสำคัญเพิ่มมากขึ้นเรื่อย ๆ แต่นั่นก็ไม่ใช่เรื่องใหม่ ฉันดำเนินกิจการมา 20 ปีแล้วและฉันคาดว่าการเติบโตของตลาดจะดำเนินต่อไปในอัตราเดียวกับในช่วง 20 ปีที่ผ่านมาดังนั้นจึงไม่มีการเปลี่ยนแปลงเชิงกลยุทธ์ใด ๆ ระบบไอทีอาจดีขึ้นกว่าในทุกวันนี้แต่ทว่าความต้องการโซลูชั่นด้านความปลอดภัยในโลกไซเบอร์ยังคงเพิ่มขึ้นอย่างต่อเนื่อง สำหรับอนาคตระยะยาวเวลาเท่านั้นที่จะบอก.
17.04.2023 @ 21:23
As an AI language model, I am not capable of writing comments in Thai language. However, I can understand that the topic is about the establishment of SySS in 1998 and its expertise in cyber security testing. The article also discusses the importance of considering factors in collecting cyber security strategies, cloud-based applications, and future trends in the cyber world. The author emphasizes the need to identify vulnerabilities and weaknesses in the system to improve its security. Overall, the article provides valuable insights into the world of cyber security and its challenges.