Video: Jay Kaplan: In Hackers We Trust (Octombrie 2024)
Puteți face referințe la orice despre aceste zile, inclusiv securitate.
La Synack, a construit un sistem automat de detectare a amenințărilor și o rețea creată de sute de cercetători de securitate pe tot globul, pentru a testa testele de penetrare la nivelul următor. Într-o discuție recentă din San Francisco, am vorbit despre starea cibersecurității, despre hackerii cu pălării albe și despre pașii pe care îi face personal pentru a-și asigura securitatea online. Citiți transcrierea sau urmăriți videoclipul de mai jos.
Dintre toate titlurile tale, CEO și cofondator pot fi foarte impresionante, dar lucrul care mă impresionează este să lucrez ca membru al unei echipe roșii la Departamentul Apărării. Am înțeles că s-ar putea să nu ne poți spune tuturor
Ca membru al oricărei echipe roșii ca parte a oricărui
Ai cuplat-o cu munca mea la NSA, unde în loc să atacă în scopuri defensive, am fost pe
Mi se pare că ați adoptat aceeași abordare, ați adus-o în sectorul privat și sunteți, cred, că utilizați legiuni de hackeri și securitate în rețea. Vorbește-ne puțin despre cum funcționează asta.
Abordarea pe care o adoptăm este mai mult o abordare bazată pe hackeri. Ceea ce facem este să folosim o rețea globală de cercetători de top în domeniul securității pălăriilor albe din peste 50 de țări diferite și le plătim efectiv în baza rezultatelor pentru a descoperi vulnerabilitățile de securitate la nivelul clienților noștri ai întreprinderii, iar acum facem o grămadă de lucrări cu guvernul de asemenea.
Întregul obiectiv este de a atrage mai mulți ochi asupra problemei. Adică este un lucru să ai una sau două persoane care se uită la un sistem, o rețea, o aplicație și să încerce să scape acea aplicație de vulnerabilități. Este altul să spunem că poate 100, 200 de oameni, toată lumea
Cine ar fi clientul tipic? Ar fi ca un Microsoft care spune „Lansăm o nouă platformă Azure, veniți să încercați să trageți găuri în sistemul nostru?”
Poate fi oriunde de la o mare companie de tehnologie, cum ar fi Microsoft, la o bancă mare, unde vor să își testeze aplicațiile online și mobile, aplicațiile bancare. Ar putea fi și guvernul federal; lucrăm cu DoD și cu Serviciul de venituri interne pentru a bloca unde trimiteți informațiile contribuabilului sau din perspectiva DoD lucruri precum sistemele de salarizare și alte sisteme care adăpostesc date foarte sensibile. Este important ca aceste lucruri să nu fie compromise, așa cum am văzut cu toții în trecut, pot fi foarte, foarte dăunătoare. În sfârșit, aceștia adoptă o abordare mai progresivă în soluționarea problemei, îndepărtându-se de soluțiile mai comodizate pe care le-am văzut în trecut.
Cum găsești oameni? Îmi imaginez că nu îl postezi doar pe o placă de mesaje și spui „Hei, îndreaptă-ți energiile către asta și atunci dacă găsești ceva, anunță-ne și te vom plăti”.
Devreme
Dacă te uiți la unele dintre statistici, ei spun că până în anul 2021 vom avea 3, 5 milioane de locuri de muncă în domeniul cibersecurității deschise. Există o masă masivă de deconectare a ofertei și a cererii pe care încercăm să o rezolvăm. Folosirea mulțumirii pentru a rezolva această problemă a funcționat extraordinar de bine pentru noi, deoarece nu trebuie să le angajăm. Sunt freelanceri și, într-adevăr, obțineți mai mulți ochi pe această problemă oferă rezultate mai bune.
De
Acești hackeri pot câștiga mai mulți bani cu dvs. decât ar putea câștiga singuri pe Dark Web? Adică, este profitabil să fii o pălărie albă în acest model?
Există o concepție greșită comună care, știi, operezi pe Dark Web și vei fi automat această persoană bogată.
De asemenea, te smulgi mult.
Vă îndepărtați foarte mult, dar realitatea este că oamenii cu care lucrăm sunt extrem de profesioniști și etici. Lucrează pentru corporații foarte mari sau pentru alte firme de consultanță în securitate și există oameni care au foarte multă etică în care nu vor să facă lucrurile ilegal. Vor să acționeze, adoră hackingul, le place să spargă lucrurile, dar vor să o facă într-un mediu în care știu că nu vor fi urmăriți penal.
Acesta este un plus frumos. Ce vedeți drept amenințări majore
Este cu adevărat interesant. Dacă mi-ai fi pus întrebarea acum câțiva ani, aș spune că statele-națiune sunt cele mai bine echipate organizații care au succes la atacurile cibernetice. Adică stau pe stocuri de exploatări de zi zero, au mulți bani și o mulțime de resurse.
Explicați această idee de a sta pe acele stocuri de zile zero. Pentru că este ceva care se află în afara spațiului de securitate, nu cred că persoana obișnuită înțelege cu adevărat.
Așadar, o exploatare de o zi zero este în mod eficient o vulnerabilitate într-un sistem de operare major, care poate că nimeni nu știe despre altul decât acea organizație. Au găsit-o, stau pe ea și o folosesc în avantajul lor. Având în vedere câți bani pun în cercetare și dezvoltare și având în vedere câți bani își plătesc resursele, aceștia au capacitatea de a găsi aceste lucruri acolo unde nimeni altcineva nu le poate găsi. Acesta este un mare motiv pentru care au atât de mult succes în ceea ce fac.
De obicei, acestea fac acest lucru în scopul de a câștiga informații și de a ajuta factorii noștri de decizie să ia decizii politice mai bune. Vedem o schimbare în ultimii doi ani, în care sindicaliștii criminalității profită de unele dintre aceste instrumente de scurgere în avantajul lor. Dacă priviți scurgerea Shadow Brokers ca un exemplu principal în acest sens, este destul de înfricoșător acolo. În timp ce vânzătorii își păstrează sistemele, întreprinderile și companiile de acolo nu profită de fapt de aceste patch-uri care le lasă susceptibile la atacuri și le permite celor răi să intre în organizațiile lor și să scoată ransomware-ul, ca exemplu, pentru a încerca să obțină bani din ei.
Infecția WannaCry a afectat un număr extraordinar de sisteme, dar nu și sisteme Windows 10. Era o exploatare care fusese patch dacă oamenii descărcaseră și instalaseră, dar multe milioane de oameni nu o făcuseră și asta deschidea ușa.
Este exact corect. Managementul patch-urilor este un lucru cu adevărat dificil încă pentru marea majoritate a organizațiilor. Nu se ocupă de ce versiuni rulează și de ce cutii au fost corecți și care nu, iar acesta este unul dintre motivele pentru care am creat întregul nostru model de afaceri - să ne ocupăm mai mult de această problemă, fiind proactivi în ceea ce privește descoperirea sistemele care nu au fost patchate și spuneți clienților noștri: „Hei, mai bine remediați aceste lucruri sau veți fi următoarea mare încălcare sau atacuri precum WannaCry vor avea succes împotriva organizațiilor dvs.” Și clienții care angajează serviciile noastre în mod continuu, acesta a fost un caz de utilizare cu adevărat de succes pentru noi.
Vindeți serviciile dvs. pentru testarea pe termen scurt? Sau ar putea fi și în curs de desfășurare?
În mod tradițional, testarea penetrării a fost un tip de angajament la timp, nu? Spuneți că veniți o săptămână, două săptămâni, dați-mi un raport și apoi ne vedem un an mai târziu, când vom fi pregătit pentru următorul nostru audit. Încercăm să schimbăm clienții către mentalitatea că infrastructura este extrem de dinamică, împingeți tot timpul modificări de cod pentru aplicațiile dvs., puteți introduce oricând noi vulnerabilități. De ce să nu priviți aceste lucruri din perspectivă de securitate în mod continuu în același mod în care vă aflați cu ciclul de viață al dezvoltării?
Iar software-ul ca serviciu este un model excelent. Serviciul ca serviciu este, de asemenea, un model excelent.
Asta e corect. Avem componente software mari care stau pe toate spatele acestui lucru, așa că avem o întreagă platformă care facilitează nu numai interacțiunea dintre cercetătorii și clienții noștri, dar construim automat și să spunem „Hei, pentru a face Cercetătorii noștri sunt mai eficienți și mai eficienți la locurile de muncă, hai să automatizăm lucrurile pe care nu vrem să le petrecem timp. " Dreapta? Toate fructele slab atârnate, oferindu-le mai mult contextul mediului în care merg, și descoperim că acea asociere între om și mașină funcționează extrem de bine și este foarte puternică în spațiul cibersecurității.
Tocmai te-ai întors de la Black Hat nu prea mult timp în urmă, unde ai văzut o mulțime de lucruri înfricoșătoare, mi-aș imagina. A fost ceva acolo care te-a surprins?
Știi, la Defcon s-a concentrat foarte mult pe sistemele de vot și cred că am văzut cu toții multe prese despre asta. Cred că doar a vedea cât de repede hackerii sunt capabili să preia controlul unuia dintre aceste sisteme de vot, având în vedere accesul fizic este destul de înfricoșător. Te face să îndoiești cu adevărat rezultatele alegerilor anterioare. Văzând că nu există o mulțime de sisteme care au trasee de hârtie, cred că este o propunere destul de înfricoșătoare.
Dar, dincolo de asta, s-a concentrat mult pe infrastructura critică. A fost o discuție care s-a concentrat pe hacking-ul, în principal, a sistemelor de radiații care detectează radiațiile la centralele nucleare și cât de ușor este să faci un fel de rupere în aceste sisteme. Adică că lucrurile sunt destul de înfricoșătoare și cred cu tărie că infrastructura noastră critică se află într-un loc destul de rău. Cred că cea mai mare parte este de fapt compromisă astăzi și există o serie de implanturi care stau peste tot în infrastructura noastră critică abia așteptând să fie pârghiate în cazul în care mergem în război cu un alt stat-națiune.
Așadar, atunci când spui „Infrastructura noastră critică este compromisă astăzi”, vrei să spui că există cod asezat la fabricile electrice, la uzinele de generare nucleară, fermele de vânt care au fost amplasate acolo de puteri străine care ar putea fi activate în orice moment?
Da. Este exact corect. Nu am nimic neapărat să susțin asta
Putem să ne bucurăm de faptul că probabil avem un avantaj similar asupra adversarilor noștri și avem codul nostru în infrastructura critică, astfel încât, cel puțin, există o distrugere asigurată reciproc pe care ne putem baza?
As presupune ca facem lucruri care sunt foarte asemanatoare.
Bine. Presupun că nu poți spune tot ce ai putea ști, dar mă bucur că măcar că războiul se desfășoară. Evident, nu dorim ca acest lucru să crească în vreun fel sau formă, dar cel puțin luptăm de ambele părți și probabil că ar trebui să ne concentrăm mai mult pe apărare.
Asta e corect. Adică, cu siguranță ar trebui să ne concentrăm mai mult pe apărare, dar capacitățile noastre ofensive sunt la fel de importante. Știți, fiind capabil să înțelegeți cum ne atacă adversarii și care sunt capacitățile lor
Așadar, am vrut să vă întreb despre un subiect care a apărut în știri în
Deci, greu de știut, nu? Și cred că, având în vedere faptul că trebuie să punem la îndoială legăturile cu aceste organizații, trebuie doar să fim atenți la desfășurare, în special la desfășurarea pe scară largă. Ceva la fel de răspândit ca o soluție antivirus precum Kaspersky pe toate sistemele noastre, guvernul este atent și având în vedere că avem soluții, soluții casnice, la fel cum încercăm să ne construim focoase nucleare și sistemele noastre de apărare împotriva rachetelor în SUA, ar trebui să profităm de soluțiile care sunt construite în SUA unele din perspectiva cibersecurității. Cred că asta încearcă să facă în cele din urmă.
Care crezi că este primul lucru pe care majoritatea consumatorilor îl greșesc din punct de vedere al securității?
La nivel de consumator, este foarte de bază, nu? Cred că majoritatea oamenilor nu practică igiena securității. Cicluri de parole, folosind parole diferite pe diferite site-uri web, folosind instrumente de gestionare a parolelor, autentificări în doi factori. Nu pot să vă spun câți oameni astăzi nu o folosesc și mă surprinde faptul că serviciile pe care consumatorii le utilizează nu le impun. Cred că unele dintre bănci încep să facă asta, ceea ce este minunat de văzut, dar faptul că totuși conturile de social media devin compromise, deoarece oamenii nu au doi factori sunt doar o nebunie în ochii mei.
Deci, până nu trecem de igiena de securitate de bază, nu cred că putem începe să vorbim despre unele dintre tehnicile mai avansate de a se proteja.
Așadar, spuneți-mi un pic despre practicile dvs. de securitate personală? Folosiți un manager de parole?
Desigur. Desigur. eu folosesc
Serviciile VPN vă pot încetini puțin conexiunea, dar sunt relativ ușor de configurat și puteți obține unul pentru câțiva dolari pe lună.
Sunt foarte ușor de configurat și doriți să mergeți cu un furnizor de încredere, deoarece trimiteți trafic
În același timp, fac doar lucruri simple precum actualizarea sistemului meu, oricând apare o actualizare pe mobil
Nu este atât de nebun. Chiar nu este atât de greu să stai în siguranță ca consumator. Nu trebuie să utilizați tehnici sau soluții foarte avansate care există. Gândiți-vă doar la bunul simț.
Cred că doi factori este un sistem care confundă multă lume și intimidează o mulțime de oameni. Ei cred că vor trebui să se uite pe telefonul lor de fiecare dată când se conectează în contul lor de e-mail și nu este cazul. Trebuie doar să o faceți o singură dată, autorizați laptopul și, făcând asta, altcineva nu se poate conecta la contul dvs. de pe niciun alt laptop, ceea ce reprezintă o garanție imensă.
Absolut. Da, din anumite motive, sperie multă lume. Unele dintre ele sunt setate acolo unde ar trebui să o faceți la fiecare 30 de zile sau mai mult, dar
Nu ați fost în această industrie atât de mult, dar puteți împărtăși modul în care ați văzut peisajul
De fapt am fost în securitate cibernetică și m-am interesat foarte mult de ea timp de 15 ani. De când aveam 13 ani și am condus o companie de web hosting partajată. S-a concentrat mult pe protejarea site-urilor web ale clienților noștri și administrarea serverului și asigurarea faptului că serverele au fost blocate. Privești cum a progresat cunoștințele în partea atacatorului. Cred că securitatea este o industrie națională în sine, este în continuă evoluție și există întotdeauna o multitudine de noi soluții și tehnologii inovatoare. Cred că este interesant să vedem ritmul rapid al inovației în acest spațiu. Este interesant să vezi companiile care profită de mai multe soluții care se bazează în mod progresiv, fel de a se îndepărta de numele defacto despre care am auzit cu toții,
Se obișnuia că este vorba mai ales despre viruși și va trebui să vă actualizați definițiile și să plătiți o companie care să administreze acea bază de date pentru dumneavoastră, și atâta timp cât aveți că vă aflați aproape în siguranță de 90% din amenințări.. Dar amenințările au evoluat mult mai repede astăzi. Și există o componentă din lumea reală în care oamenii se expun pentru că primesc un atac de phishing, răspund și le înmânează datele de acreditare. În felul acesta organizația lor este pătrunsă și asta este aproape mai mult o problemă educațională decât o problemă tehnologică.
Cred că marea majoritate a atacurilor care au succes nu sunt atât de avansate. Cel mai puțin numitor comun al securității oricărei organizații
Mi-ar plăcea să văd cercetări despre cât de multe amenințări sunt doar pe e-mail. Doar mii și mii de mesaje de e-mail și oameni care fac clic pe lucruri. Oamenii care creează un proces și o serie de evenimente care scapă de sub control. Dar vine prin e-mail, deoarece e-mailul este atât de ușor și omniprezent, iar oamenii îl subestimează.
Începem să vedem acum tranziția de la atacuri doar pe e-mail la atacuri de phishing social, spear-phishing. Ceea ce este înfricoșător în acest sens este faptul că există o încredere inerentă încorporată în social media. Dacă vedeți un link care vine de la un prieten al unui
Permiteți-mi să vă întreb despre securitatea mobilului. Zilele trecute le-am spus oamenilor dacă aveți un dispozitiv iOS, probabil că nu aveți nevoie de antivirus, dacă aveți un dispozitiv Android, poate doriți să îl instalați. Am progresat până la un punct în care avem nevoie de software de securitate pe fiecare telefon?
Cred că trebuie să avem cu adevărat încredere în securitatea care este coaptă în dispozitivele în sine. Având în vedere modul în care Apple, de exemplu, și-a proiectat sistemul de operare, astfel încât totul este destul de sandboxed, nu? O aplicație nu poate face o mulțime în afara limitelor respectivei aplicații. Android este conceput puțin diferit, dar ceea ce trebuie să conștientizăm este că atunci când oferim aplicațiilor acces la lucruri precum locația noastră, agenda noastră de adrese sau orice alte date care apar pe acel telefon, aceasta iese imediat pe ușă.. Și este în permanență actualizat, așa că, pe măsură ce mutați, locația dvs. este trimisă înapoi în cloud către oricine deține această aplicație. Trebuie să vă gândiți cu adevărat la "Am încredere în acești oameni cu informațiile mele? Am încredere în securitatea acestei companii?" Pentru că, în cele din urmă, dacă adăpostesc agenda dvs. de adrese și datele dvs. sensibile, dacă le compromite cineva, acum au acces la aceasta.
Și este accesul perpetuu.
Asta e corect.
Trebuie să te gândești în afara cutiei. Doar pentru că descărcați un nou joc care arată minunat, dacă vă solicită informațiile despre locație și informațiile din calendar și accesul complet la telefon, aveți încredere în ele pentru a avea tot acel acces pentru totdeauna.
Este exact corect. Cred că chiar trebuie să te gândești la „De ce cer acest lucru? Au de fapt nevoie de asta?” Și este în regulă să spui „Deny” și să vezi ce se întâmplă. Poate că nu va afecta nimic și atunci trebuie să vă întrebați „Păi de ce au cerut asta cu adevărat?”
Există mii de aplicații care sunt create doar pentru a colecta informații personale, acestea oferă doar o valoare pe deasupra pentru a te descărca, dar adevăratul scop este să colectezi informații despre tine și să-ți monitorizezi telefonul.
De fapt, este o problemă perversivă în care vezi că aceste entități malițioase creează aplicații care arată ca alte aplicații. Poate ei se prefac că sunt banca dvs. online atunci când nu sunt. Sunt de fapt phishing pentru acreditările dvs., așa că trebuie să fiți cu adevărat atenți.
Vreau să vă pun întrebările pe care le pun tuturor celor care vin la acest spectacol. Există o tendință tehnologică specială care te îngrijorează cel mai mult
Există o aplicație sau un serviciu sau un gadget pe care îl folosești în fiecare zi care doar inspiră minunea, care te impresionează?
E o întrebare bună. Sunt un mare fan al suitei de instrumente Google. Ei interacționează cu adevărat și funcționează extrem de bine și se integrează bine împreună, așa că sunt un mare utilizator de aplicații Google. și nu doar pentru că Google este un investitor în compania noastră.
Există un pic de Google peste tot.
Există puțin Google peste tot.
Există ceva de spus pentru că au luat un moment și le-am acordat credit pentru ceea ce au făcut. Ei doreau cu adevărat să facă informațiile din lume căutabile și de înțeles și au făcut o treabă destul de bună în acest sens.
De fapt, tocmai am primit o nouă tablă albă digitală în biroul nostru - Jamboard-ul și este unul dintre cele mai cool dispozitive pe care le-am văzut de mult timp. Doar abilitatea de a borda ceva, de a salva și de a aduce înapoi sau de a interacționa și de a interacționa cu cineva de pe un alt capăt sau cu oricine de pe un iPad. Vreau să spun că este uimitor, iar discuțiile despre colaborare de la distanță îl fac mult mai ușor.
Este interesant să vezi acea progresie în modul în care putem lucra împreună. Nu trebuie să avem oameni doar localizați într-un birou, putem aduce idei vechi proaste și cred că este foarte fain.
Este un produs foarte, foarte fain. L-am testat în laborator și am avut probleme cu unele dintre software, dar este
Total de acord.
Este nevoie doar de câteva actualizări software pentru a-l ușura puțin.
Este puțin buggy, dar este încă uimitor.
Cum pot oamenii să te prindă, să te urmărească online și să urmărească ceea ce faci?
Da, sunt pe Twitter @JayKaplan. Blogul nostru de la Synack.com/blog, acesta este, de asemenea, un loc minunat pentru ca să auziți cele mai recente despre știri despre securitate cibernetică și despre ceea ce facem ca companie și am câteva postări acolo din când în când. De asemenea, sunt pe LinkedIn și postez acolo de fiecare dată. Încerc să rămân cât mai activ pe rețelele de socializare. Nu sunt cel mai bun.
Ia mult timp.
La asta, dar încerc.
Ai o treabă de făcut și tu.
Exact.
