サイバーセキュリティスタートアップ創設者の洞察: ハッカーからビジネスを守る (ポッドキャスト)

Brains Byte Back ポッドキャストの今日のエピソードでは、ビジネスを安全に保つために Web アプリのセキュリティ、WAF、SSL 証明書を提供する会社 の創設者兼 CMO である に話を聞きます。 Indusface Venkatesh Sundar 会話の中で、サンダーはリスナーが からビジネスを守るのに役立つヒントを共有します。彼はまず、すべてのソフトウェアとシステムが最新のセキュリティ パッチとアップデートで最新の状態に保たれるようにすることの重要性を強調しました。これを行うと、ハッカーが悪用しようとする可能性のある既知の脆弱性をシャットダウンするのに役立ちます。 ハッカー さらに、強力なアクセス制御と認証手段を利用して、信頼できるユーザーのみが機密データやシステムにアクセスできるようにすることが重要であると強調します。これは、2 要素認証、強力なパスワード ポリシー、アクセスを必要とするユーザーのみに制限するなどの対策で構成されます。 サンダー氏は、ハッカーが悪用する前に脆弱性を特定するには、定期的なセキュリティ評価と侵入テストが効果的であると付け加えた。これには、現実世界の攻撃をシミュレートし、システムの弱点を悪用して、改善が必要な潜在的な領域を見つけることが必要になる場合があります。 上記に加えて、サンダー氏は、データのバックアップを定期的に実行して安全に保存することなど、リスナーがランサムウェア攻撃を防御するために使用できる具体的な戦術を強調しています。これにより、企業は以前のバックアップからシステムとデータを復元できるため、ランサムウェア攻撃の影響を軽減できます。 そして最後に、サンダー氏は、ハッカーが機密データやシステムにアクセスするために頻繁に使用するフィッシング攻撃やその他のソーシャル エンジニアリング戦術の危険性について、組織内の人々に教えることがなぜ重要であるかを説明します。 同氏は、従業員が最新の脅威とその被害に遭わないようにする方法についての知識を深め、十分に認識できるように、定期的に 意識向上トレーニングを実施することを経営者に推奨しています。 セキュリティ ビデオを見る https://youtu.be/Q-zGfmaYRcQ?embedable=true ヴェンカテシュ・サンダー: わかりました。私は Indusface の創設者、Venkatesh Sundar です。私は創業時の CTO であり、コードの最初の行を書き、最低限実行可能な製品を構築しました。これにより、私たちは最初の顧客を獲得して獲得する権利を得ることができました。私は最初の数組の顧客の導入における最初のプリセールス エンジニアでした。 Venkatesh Sundar: 当社が進化し、製品のマーケット フィットが確立されるにつれて、大企業、銀行、保険、製造業、大規模製造業に当社の製品を採用してもらい、Web API やモバイル アプリのセキュリティを確保するために使用してもらいました。そして、規模を拡大するにつれて、私よりも優れた人材を獲得して規模の問題を解決し、アジアの本拠地に近いところで成功を収めて構築したものを構築するためのマーケティング、デジタルマーケティングの役割を担うことができました。そしてインドでは、国際市場にメッセージをどのように伝えるかを見るためにマーケティングの役割を引き受けました。そこで、技術者からの偶然のマーケティング担当者によって、海外の顧客を獲得するためのマーケティングの問題がその日のうちに再び解決されました。 Venkatesh Sundar: 米国では 100 を超える顧客がいる段階にあり、フリーミアム バージョンを含む世界中で 5,000 を超える顧客がおり、フリーミアム バージョンを使用している顧客は 1,500 を超えています。しかし、米国の大きな市場セグメントである大企業である有料顧客も 100 を超えており、その上に成り立っています。私は現在、アメリカの大統領として米国のエンタープライズ ビジネスを構築するために 3 日目のゼロ問題に取り組んでいます。そのため、現在ここから米国に移動する過程にあります。現在、私はかなり頻繁に旅行していますが、ええ、私たちの企業の成功を再現しています。ここ。国際的にデジタルで獲得した中間市場での成功を基盤とし、現在は米国市場に焦点を当てて、米国エンタープライズ市場でのプリセールス販売ビジネス開発と顧客の成功を構築します。これが私の長い答えです。これについては話し続けることもできますが、私たちは実証済みのあらゆる段階で製品のマーケット フィットを確立し、あらゆる市場で製品を確立し、その上で大規模に構築してきました。一言で言えば、私は自分自身をデイゼロ問題を解決すると定義すると思います。つまり、開始日は異なりますが、それを多くの d0 問題に分割します。スケールアップしていきます。それからデイゼロの問題で、私はそれをスケールアップするために自分より優れた人を見つけようとして、それから何か別のことをしようとしました。 サミュエル・ブレーキ・ギア: 素晴らしいですね。さて、この成長をおめでとうございます。会社がどのように始まったのかについて非常に興味があったのですが、そこで非常に優れた概要を説明してくれました。しかし、どのようにして Indusface という名前を思いついたのか知りたいのですが、その背後にあるストーリーは何ですか? ヴェンカテシュ・サンダー: そうですね、この話はもっとルーツに関係しています。つまり、私は明らかにインドに住んでいて、インドの出身であり、インドはさまざまな変革、さまざまな段階を経て、特にテクノロジーの分野で、最終的にはサービス、ソフトウェア開発のアウトソーシングなどの頼りになる場所になったということです。しかし、私たちがこれを始めたとき、インドからの製品革新はまだ不足していました。なので、どちらかというと感情的にルーティングするタイプだと思います。私たちはインドの顔になりたかったのです。そしてインドのルーツはインド文明にあります。インドで作られた製品は国際的に通用しますよね？そして、世界的なグローバリゼーションの今日の時代において、彼らは適切な製品を持っており、世界中の誰でもどこでもそれを購入することができますが、私たちはルーツと創設者の足跡を残したいと考えています。 ヴェンカテシュ・サンダー: それと、私たちのチームとのつながりもあります。したがって、インダス文明は、2000 年前に驚異的な革新的進歩を遂げた古代文明を表しています。私たちは今、ニューエイジ、情報技術の時代、サイバーセキュリティにおいてそれを実現したいと考えています。それがどこで、どこが私の領域であり、それがそれだけのことなので、それほどエキサイティングなことはありません。しかし、ええ、それはおそらく、感情的な創設者の感情がそれに結びついているのでしょう。 Samuel Brake Guia: それはとてもエキサイティングだし、クールだと思います。それは知らなかった。私は会社名が非常に重要であると常に考えているため、会社名の背後にあるストーリーを知りたいと常に思っています。そして、それは実に興味深い話であることがよくわかります。そして、これがさまざまな言葉の融合であるという事実が気に入っています。本当に素晴らしいですね。そこでサイバーセキュリティについて言及しましたが、昨年、IT ハッキングシーズンに向けてビジネスの準備を整えるための記事を公開しました。記事で言及したように、明らかに、89% の組織がホリデーシーズンのランサムウェア攻撃を経験していると報告されています。しかし、ご存知のとおり、こうした攻撃は一年中いつでも発生する可能性があります。では、ハッカーからビジネスを守るためにリスナーにどのようなアドバイスがありますか? Venkatesh Sundar: つまり、ランサムウェアは攻撃ではないということですね。ランサムウェアは、身代金を目的として誰かのデータが保持される攻撃の結果として発生します。ホリデーシーズンは、人々が最も脆弱になり、ショッピングやセールを探している人が集まります。企業は、アプリケーションでそれらのプロモーションを実現するために、より重要な新しいプロモーションと速度を打ち出そうとしています。そしてそのプロセスでは、多くの脆弱性が存在する可能性があり、それが未解決のままになっており、それがハッカーにとってオープンな遊び場となっています。したがって、それはホリデーシーズン中に起こります。 Venkatesh Sundar: 企業がプロモーションを展開したり、ホリデー シーズンを利用したりするのは、自動的に行われるスピードの機能ですが、取引を探している消費者にとっては、これらすべてのことを組み合わせると、多くの脆弱性が残ります。そこで、人々、特に企業への私のアドバイスです。なぜなら、アプリケーションは、企業が消費者、従業員、パートナー、その他すべての人々とやり取りする方法の中心となるため、私たちは企業向けのアプリケーションを保護することに取り組んでいるからです。したがって、アプリケーションを保護します。そのため、セキュリティとソフトウェア開発ライフサイクルは、本番環境に至るまで不可欠な要素となることを私たちは伝えています。そのため、少なくともアプリケーションが顧客やデータの消費者を危険にさらすための分断路にはならないようにするためです。したがって、速度を犠牲にするのではなく、セキュリティを速度を犠牲にすることなく不可欠な部分にする必要があります。これは、これが私の領域であり、これが私たちの活動に関する私の専門分野であることを受け入れない限り、そして受け入れるまでは実行できません。 CRMアプリケーション。見るのはDかもしれません。電子商取引アプリケーション。それは、最後にあるものであれば何でも、タクシーの乗車プラットフォームにすることができます。消費者やアプリケーションとやり取りするあらゆるビジネスの中心となります。また、企業はアプリケーションのセキュリティに重点を置く必要があります。これはデジタル化への取り組みの心臓部だからです。そして、ビジネスのスピードは今や、誰もが時代との関連性を維持するために不可欠なものとなっています。 Venkatesh Sundar: 重要なのは企業の規模ではなく、消費者のニーズ、トレンド、その他すべての変化にどれだけ早く適応するかであり、あらゆるビジネスが適切な状態を維持するためにどのように運営されるかによって決まります。そして、スピードにはリスクが伴います。特に、さまざまなプロモーションを行っている特定の種類のビジネスでは、ホリデーシーズンにはスピードの必要性がさらに高まります。したがって、ホリデー シーズンにはランサムウェアの攻撃量が増加し、公開レポートとの間に相関関係があることがわかります。それは私の偶然や相関関係、偶然ではないからですよね？そこには非常に強い因果関係があります。なぜなら、人々は悪用される可能性のあるより多くの脆弱性を抱えることになり、ハッカーはホリデーシーズン中にそれらの脆弱性を悪用しようと待っているからです。顧客は、ランサムウェア攻撃に対してさらに脆弱になる可能性があります。たとえそれが倫理的な要請であり、その理由であっても、それに屈して一銭も払わないのはいかがなものか。たとえコストが安くなるとしても、それによって生じるダウンタイムのコストは高くなりますが、ビジネスが閉鎖されると、その倫理的理由は無効になります。そしてさらに、ホリデーシーズン中は、消費者に対する私のアドバイスは、ランダムなリンクをクリックしたり、リンクをクリックしたりしないことです。知らないことは、OTP を知らない人に共有しないでください。また、やり取りしているエンドポイントが信頼できることを確認してください。暗号化されています Venkatesh Sundar: 消費者教育、教育、意識を通じてのみ、細部に目を向けることができますが、企業にとっては、消費者が顧客と対話するため、それがセグエとなり、自社のアプリケーションが適切であることを確認する必要がありました。自社が提供するサービスは消費者、企業、その他の人々からの信頼に応え、その信頼に応えます。これらのリスクを軽減するために、積極的に効果的な取り組みを行う必要がありました。そして、こうした取り組みを積極的に講じてリスクを軽減すれば、攻撃が発生した場合にもより適切に対処できるようになります。また、消費者の信頼も獲得します。なぜなら、ほとんどの侵害、つまり消費者の信頼の低下の問題は、攻撃やダウンタイムそのものによるものではなく、企業がコミュニケーションにおいて透明性を欠いていることが原因であるためです。何が起こっているのかは明らかです。そんな透明感は存在しないけど、あれだけ透明に見せられたら、 Venkatesh Sundar: このようなことが起こったにもかかわらず、これらは私たちが準備しているものです。しかし、私たちはこのことから学び、それを改善しています。これが影響であり、これらが回避策に影響します。実際、こうした状況は好転して、さらに信頼を築いていきます。したがって、企業にとっての長い答えは、アプリケーションのセキュリティに重要な注意を払い、速度を重視してアプリケーションのセキュリティの実践に妥協せず、それを不可欠な部分にし、速度には妥協せず、不可欠な部分にすることです。アジャイル開発を不可欠な要素としてスピードを持って継続するにはどうすればよいですか。セキュリティはそれに不可欠な部分です。 Samuel Brake Guia: かなり確かなアドバイスと、透明性と明確さについての言及がありました。それがとても重要なことだと思いますし、私も、「この分野で事業を展開している企業が他にもあるのですが、もしそうなら競合他社とどのように差別化を図っているのですか？」ということを知りたいと思っています。 ヴェンカテシュ・サンダー: ええ、話は戻ると思います。最初の質問は、「どのようにして宇宙で活動を始めたのか?」というものでした。つまり、ゼロ日目から、これは私たちが最初の段階に入ったときのようなものでした。これまでの歴史を見てみると、このフェーズで最初に組み込んだ製品は、基本的にはリスク検出製品、つまりマルウェア検出製品でした。そして、必要な数の顧客とそこからの牽引力を獲得したら、トレンドマイクロに買収されました。しかもセット購入でした。私たちはそこから得たわずかなお金でトレンドマイクロに買収されましたが、振り出しに戻って別のことを始めたいと言いました。明らかに私の専門分野はセキュリティ アプリケーション、特にセキュリティに関するものでした。そして、そこは混雑した市場でした。ベンダーは私たちだけではありませんでした。新しいカテゴリを作成するのではなく、既存のカテゴリでブルー オーシャンを作成するにはどうすればよいですか?特にプレイヤーが多く、顧客にとっての価値という点で十分に説得力のある「なるほど」が必要な場合、どう差別化を図るか。たとえ私たちがこれから立ち上がる新しいスタートアップであっても、バージョン 1 の製品ですよね？ Venkatesh Sundar: そして、10 年前に私たちが認識した差別化は、ソフトウェア製品を構築しているにもかかわらず、この場合、アプリケーションを保護し、トラフィックの意図を確立し、特定の問題を解決しようとするツールを構築しているということです。トランザクションに参加するユーザー。それは...ですか？良いか悪いか？他のプレイヤーもやってます。 Venkatesh Sundar: しかし、私たちが構築しなければならなかった一連のポリシーはありますが、重要な差別化要因は、すべてを投入して立ち去るわけではないということです。 IT の更新管理を組み合わせて、アプリケーションを新たな脅威から確実に保護します。アプリケーションは現在のアプリケーション リスクに関連して保護されています。ホリデー シーズンの例のように、この機能を展開していると述べましたが、速度のせいでこの脆弱性が存在し、適切な QA を受けられません。心配する必要はありません。その脆弱性が存在することに注意してください。しかし、私たちはゲートウェイとして、マネージド サービスの一部として即座に仮想的にパッチを適用します。つまり、これは私たちが提供するマネージド サービスと組み合わせたツールです。24 時間 365 日のサポート ライセンスの一部として、私たちが顧客に提供する 1 つの特異な「なるほど」要素になりました。 PPT のビジョン ミッション ステートメントと差別化、その他すべてが必要だった振り出し段階の状況から 10 年後。同じ差別化は今日でも有効です。そして、模倣は最高の褒め言葉です。私たちの競合他社である競合大手の一部は、実際に同じ機能をコピーしています。さて、最初の利点があります。私たちはクリティカルマスを持っていますが、彼らが私たちが持っているのと同じ価値機能の差別化を模倣しているという事実は、実際、個人として、そして会社にとってある種の誇りです。なぜなら、私たちは正しいことをしたからです。そして私たちはレポートゲームに従い、経営をさらに革新しなければなりません。アプリケーション、セキュリティ、およびアプリケーション内のセキュリティと組み合わせます。実際に状況を説明すると、このアプリケーションの検出には特殊なスキルが必要です。 ヴェンカテシュ・サンダー: それは外科的に正確で、正確なリスク保護ですか?アプリケーション固有のリスクには、Web アプリケーション ファイアウォールなどの特殊なグリッド スキルが必要です。そして、検出、通常はセキュリティ、スキャンペンテストがあります。また、単に設定して終了するだけではなく、継続的なリスク監視が行われます。新たな脅威が存在し、アプリケーション自体が変化し、サードパーティのコンポーネントと統合されています。新しい API が追加されています。 Venkatesh Sundar: これら 3 つすべてが 1 つの傘の下にあり、24 時間 365 日サポート管理が行われます。お客様にとっては、単一の SOAP アプリケーション セキュリティとなり、ベンダーのレンタル管理はツールを放棄せずにそのまま放置することが、最も魅力的な差別化要因になります。それを顧客や参照者に届けるなど、すべてがそれを維持するのに役立ちます。したがって、アプリケーションのセキュリティのすべての側面を統合し、製品に加えて当社の専門知識を提供するという機能の点で、当社の明確な差別化が実現しました。これが、お客様の要望に基づいて実行可能な最小限の製品の発売でした。これは、最初のさらなる利点とプロセス統合、その他多くのことを基盤とする当社の能力に基づいて、今日でも重要な差別化であり続けていますが、現在では、競合他社、業界自体、さらにはアナリストさえも、OEM ベンダーは力を入れなければならないと言っています。サポートの一環として提供されるサービス コンポーネントに関しては、単なるインシデント管理だけを行うことはできません。これは私たちの当初のビジョンと差別化をさらに証明するものでなければなりません。 サミュエル・ブレーキ・ギア: うーん、うーん。ええ、あなたの言ったことは私にとって間違いなく理にかなっていると思います、模倣が本当に最大の褒め言葉であるという事実、そしてそれをすべて提供するとき、あなたがどのようにしてこれほど競争力のある製品を持っているのか理解できます、そしてそれはあなたが何かに取り組んでいるように聞こえます現時点ではたくさんのことがあり、ぜひ知りたいと思っています。次に地平線には何が起こるのでしょうか？ Venkatesh Sundar: そうですね、アプリケーションがどのように進化したかを見てみると、そうですね? Web 1.2 があるということです。あるいは、人々は 3.0 について話しています。通信とアプリケーション、および一部のサービスの提供の基本は変わりません。しかし何が変わったのでしょうか？今日のインターネット トラフィックを見ると、ユーザーと Web サイト、それに関連する会話は小さいですが、確かに大きな部分を占めていますが、比較的、それはインターネット トラフィックです。インターネット トラフィックの大部分は、人間とアプリの通信よりも通信に多くなるでしょう。デバイスからアプリ、通信アプリに通信を追加します。たとえば、Web サイトまたはゴールデン アプリにアクセスし、トランザクションを実行します。何かを購入したい、またはドキュメントをダウンロードまたはアップロードしたいと考えています。そして最後に、支払いゲートウェイなどの他の部分があります。これは、それらのアプリケーションが統合するサードパーティのコンポーネントです。 Venkatesh Sundar: そして、その支払いゲートウェイは、アプリケーションと通信し、そのアプリケーションが消費者にサービスを提供するために通信している他のアプリケーションとの間の API 呼び出しですよね?そのため、アプリ間の通信はアプリエコノミーの進化に不可欠な部分となるため、API セキュリティが大きな問題点となっています。 APA セキュリティの逆説は、技術的な観点からは解決するのが簡単ですが、運用上の観点からは、Shadow API について議論されています。人々は、これらの未知の API をどうやって発見するかについて話しています。 API 定義に外科的に正確なポリシーがあることを確認するにはどうすればよいですか。これには実際に Swagger ファイルまたはある種のドキュメントが必要ですが、開発者とドキュメントがどのように連携するかはご存知でしょう?したがって、これらは大きな課題であり、私たちはそれらの課題に対処しようと努めており、APA のセキュリティは重要です。 2 番目の大きなチームはランサムウェアです。ハッカーがシステムをダウンさせる力はますます安くなります。脆弱性やリスクに依存せず、標的型攻撃を待ちます。彼らはただ盲目的な DDoS 攻撃を行うことができます。 サミュエル・ブレーキ・ギア: 素晴らしいですね。そうですね、このエピソードの番組ノートにあなたの Web サイトへのリンクを含めますが、それ以外の場合は、Venky、これらが今日の私の質問です。参加してくれて本当にありがとうと言いたいだけです。 ヴェンカテシュ・サンダー: 素晴らしいですね。それは喜びだった。どうもありがとうございます。 この記事は元々、Sam Brake Guia によって The Sociable に掲載されたものです。