Video: Jay Kaplan: Crowdsourcing Cybersecurity [Entire Talk] (Oktober 2024)
Du kan skaffe stort set alt omkring i disse dage, inklusive sikkerhed.
Hos Synack byggede han et automatiseret trusselsdetekteringssystem og et oprettet netværk af hundreder af sikkerhedsforskere over hele kloden for at tage penetrationstest til næste niveau. I en nylig diskussion fra San Francisco talte vi om cybersikkerhed, hvide hathacker og de skridt, han personligt tager for at sikre sin sikkerhed online. Læs transkriptionen eller se videoen nedenfor.
Af alle dine titler kan administrerende direktør og medstifter være meget imponerende, men det, der imponerer mig, arbejder som medlem af et rødt hold på Department of Defense. Jeg forstår, at du muligvis ikke kan fortælle os alle
Som medlem af ethvert rødt hold som en del af ethvert
Du parrer det sammen med mit arbejde på NSA, hvor jeg i stedet for at angribe til defensive formål var på
Det ser ud til, at du har taget den samme tilgang, bragt den ind i den private sektor, og du antager, at jeg ansætter legioner af hackere og skaber netværkssikkerhed. Tal med os lidt om, hvordan det fungerer.
Den tilgang, vi tager, er mere en hacker-drevet tilgang. Det, vi gør, er at udnytte et globalt netværk af topsikkerhedsforskere i hvid hat i over 50 forskellige lande, og vi betaler dem effektivt på et resultatbasis for at afdække sikkerhedssårbarheder på tværs af vores virksomhedskunder, og nu arbejder vi masser af arbejder med regeringen såvel.
Hele målet her er at få flere øjne på problemet. Jeg mener, det er en ting at have en eller to personer, der kigger på et system, et netværk, en applikation og forsøger at fjerne den applikation af sårbarheder. Det er en anden at sige måske 100, 200 mennesker, alle sammen
Hvem ville være den typiske kunde? Ville det være som en Microsoft, der siger "Vi lancerer en ny Azure-platform, kommer og prøv at stikke huller i vores system?"
Det kan være hvor som helst fra et stort teknologiselskab som Microsoft til en stor bank, hvor de vil teste deres online og mobile applikationer, bankapplikationer. Det kan også være den føderale regering; vi arbejder med DoD og Internal Revenue Service for at låse ned, hvor du sender skatteyderoplysninger, eller fra DoD's perspektiv ting som lønsystemer og andre systemer, der huser meget følsomme data. Det er vigtigt, at disse ting ikke kompromitteres, som vi alle tidligere har set, det kan være meget, meget ødelæggende. De indtager endelig en mere progressiv tilgang til at løse problemet og flytter væk fra de mere Commoditized-løsninger, som vi har set tidligere.
Hvordan finder du mennesker? Jeg kan forestille mig, at du ikke bare lægger det på et opslagstavle og siger "Hej, diriger dine energier mod dette, og hvis du finder noget, så lad os vide det, og vi betaler dig."
I de tidlige
Hvis man ser på nogle af statistikkerne, siger de, at vi inden år 2021 har 3, 5 millioner åbne cybersecurity-job. Der er en massiv udbud og efterspørgsel frakobling og udfordring, som vi prøver at løse. Brug af crowddsourcing til at løse dette problem har fungeret enormt godt for os, fordi vi ikke behøver at ansætte dem. De er freelance og får bare flere øjne til dette problem til bedre resultater.
Af
Kan disse hackere tjene flere penge med dig, end de kunne ud på egen hånd på Dark Web? Jeg mener, er det rentabelt at være en hvid hat i denne model?
Der er en almindelig misforståelse om, at du ved, at du opererer i det mørke web, og at du automatisk bliver denne rige person.
Du bliver også flået meget af.
Du bliver flået meget af, men virkeligheden er, at de mennesker, vi arbejder med, er meget professionelle og etiske. De arbejder for meget store virksomheder eller andre sikkerhedskonsulentfirmaer, og der er mennesker, der har en masse etik i dem, at de ikke ønsker at gøre tingene ulovligt. De vil handle, de elsker at hacking, de elsker at bryde ting, men de vil gøre det i et miljø, hvor de ved, at de ikke vil blive retsforfulgt.
Det er et dejligt plus. Hvad ser du som de største trusler?
Det er virkelig interessant. Hvis du ville have stillet mig spørgsmålet for et par år siden, ville jeg sige, at nationalstaterne er de mest veludstyrede organisationer, der har succes med cyberangreb. Jeg mener, de sidder på lagre med nul-dages udnyttelse, de har mange penge og en masse ressourcer.
Forklar den idé om at sidde på disse lagre på nul dage. Fordi det er noget, der uden for sikkerhedsrummet, tror jeg ikke, at den gennemsnitlige person virkelig forstår det.
Så en nul-dages udnyttelse effektivt er en sårbarhed i måske et større operativsystem, som måske ingen kender til andre end den ene organisation. De fandt det, de sidder på det, og de bruger det til deres fordel. I betragtning af hvor mange penge de lægger på forskning og udvikling, og i betragtning af hvor mange penge de betaler deres ressourcer, har de en evne til at finde disse ting, hvor ingen andre kan finde dem. Det er en stor grund til, at de er så succesrige, hvad de gør.
Normalt gør de dette med henblik på efterretningsgevinst og hjælper vores beslutningstagere med at træffe bedre politiske beslutninger. Vi ser et skift i de sidste par år, hvor kriminalsyndikater drager fordel af nogle af disse lækeværktøjer til deres fordel. Hvis du ser på Shadow Brokers lækage som et fremragende eksempel på det, bliver det ret skræmmende derude. Mens leverandører lapper deres systemer, drager virksomhederne og virksomhederne derude ikke rent faktisk fordel af disse programrettelser, der efterlader dem modtagelige for angrebene og gør det muligt for de onde at bryde ind i deres organisationer og lægge ransomware, som et eksempel, til at prøve at få penge ud af dem.
WannaCry-infektionen påvirkede et enormt antal systemer, men ikke Windows 10-systemer. Det var en udnyttelse, der var blevet lappet, hvis folk havde downloadet og installeret, men mange millioner mennesker havde ikke gjort det, og det åbnede døren.
Det er nøjagtigt rigtigt. Patch management er en virkelig vanskelig ting stadig for langt de fleste organisationer. De har ikke noget at håndtere, hvilke versioner der kører, og hvilke bokse der er blevet lappet, og hvilke der ikke har gjort det, og det er en af grundene til, at vi skabte hele vores forretningsmodel - at få flere øjne på dette problem, være proaktive med hensyn til at afsløre systemerne, der ikke er blevet lappet, og fortæller vores kunder: "Hej, skal du rette disse ting, ellers bliver du det næste store krænkelse eller angreb som WannaCry vil få succes mod dine organisationer." Og det er kunder, der kontinuerligt bruger vores tjenester, dette har været en rigtig vellykket brugssag for os.
Sælger du dine tjenester til kortvarig test? Eller kan det også være løbende?
Traditionelt har penetrationstest været en point-in-time-type engagement, ikke? Du siger, kom ind i en uge, to uger, giv mig en rapport, så ser vi dig et år senere, når vi er klar til vores næste revision. Vi forsøger at flytte kunder til den mentalitet, at infrastrukturen er meget dynamisk, du skubber kodeændringer ud til dine applikationer hele tiden, og du kan introducere nye sårbarheder til enhver tid. Hvorfor ikke se på disse ting fra et sikkerhedsperspektiv kontinuerligt på samme måde som du er med din udviklingslivscyklus?
Og software som en service er en fantastisk model. Service som service er også en god model.
Det er rigtigt. Vi har store softwarekomponenter på bagsiden af dette, så vi har en hel platform, der ikke kun letter samspillet mellem vores forskere og vores kunder, men vi bygger også automatisering for at sige "Hej, for at gøre vores forskere er mere effektive og effektive på deres job, lad os automatisere de ting, som vi ikke ønsker, at de skal bruge tid på. " Ret? Al den lavt hængende frugt, hvilket giver dem mere kontekst af det miljø, de går ind i, og vi finder ud af, at sammenkoblingen af mand og maskine fungerer ekstremt godt, og det er meget magtfuldt i cybersikkerhedsrummet.
Du kom lige tilbage fra Black Hat for ikke så længe siden, hvor du så en masse uhyggelige ting, kunne jeg forestille mig. Var der noget der overraskede dig?
Du ved, der var et stort fokus hos Defcon på afstemningssystemer, og jeg tror, vi alle har set masser af presse om det. Jeg synes, det er temmelig skræmmende at se, hvor hurtigt hackerne er i stand til at tage kontrol over et af disse afstemningssystemer givet fysisk adgang. Det får dig til at stille spørgsmålstegn ved tidligere valgresultater. Når jeg ser, at der ikke er en hel masse systemer, der har papirstier, synes jeg det er et temmelig skræmmende forslag.
Men ud over det var der meget fokus på kritisk infrastruktur. Der var en snak, der fokuserede på dybest set at hacking af strålingssystemerne, der detekterer stråling ved kernekraftværker, og hvor let det er at slags bryde ind i disse systemer. Jeg mener, at ting er ret skræmmende, og jeg er overbevist om, at vores kritiske infrastruktur er på et ret dårligt sted. Jeg tror, at det meste af det faktisk er kompromitteret i dag, og der er en række implantater, der sidder over hele vores kritiske infrastruktur, der bare venter på at blive gearet, hvis vi går i krig med en anden nationalstat.
Så når du siger "Vores kritiske infrastruktur er kompromitteret i dag", mener du, at der er kode, der sidder på elektriske fabrikker, ved nukleare produktionsanlæg, vindmølleparker, der blev anbragt der af udenlandske kræfter, der kunne aktiveres når som helst?
Ja. Det er nøjagtigt rigtigt. Jeg har ikke nødvendigvis noget til at bakke op for det
Kan vi trøste os med det faktum, at vi sandsynligvis har en lignende gearing over vores modstandere og har vores kode også i deres kritiske infrastruktur, så i det mindste er der måske en gensidigt sikret ødelæggelse, vi kan stole på?
Jeg antager, at vi gør ting, der er meget ens.
Okay. Jeg antager, at du ikke kan sige alt hvad du måske ved, men jeg trøster mig i det mindste med, at krigen føres. Vi ønsker naturligvis ikke, at dette skal eskalere på nogen måde form eller form, men i det mindste kæmper vi på begge sider, og vi burde sandsynligvis fokusere mere på forsvar.
Det er rigtigt. Jeg mener, vi burde bestemt fokusere mere på forsvar, men vores offensive evner er lige så vigtige. Du ved, at være i stand til at forstå, hvordan vores modstandere angriber os, og hvad deres evner
Så jeg ville spørge dig om et emne, der har været i nyhederne i
Så svært at vide, ikke? Og jeg tror, i betragtning af at vi er nødt til at stille spørgsmålstegn ved båndene til disse organisationer, er vi bare nødt til at være forsigtige med udrulningen, især udbredt distribution. Noget så udbredt som en antivirusløsning som Kaspersky på alle vores systemer, regeringen er ved at være omhyggelig, og i betragtning af at vi har løsninger, hjemmearbejde løsninger, på samme måde som vi forsøger at opbygge vores nukleare sprænghoveder og vores missilforsvarssystemer i USA, vi bør drage fordel af de løsninger, der er ved at blive bygget i USA, nogle fra et cybersikkerhedsperspektiv. Jeg tror, det er, hvad de i sidste ende prøver at gøre.
Hvad synes du er den første ting, som de fleste forbrugere gør forkert ud fra et sikkerhedsmæssigt perspektiv?
På forbrugerniveau er det bare meget grundlæggende, ikke? Jeg tror, at de fleste ikke praktiserer sikkerhedshygiejne. Cykling af adgangskoder, brug af forskellige adgangskoder på forskellige websteder, ved hjælp af adgangskodehåndteringsværktøjer, to-faktor-godkendelser. Jeg kan ikke fortælle dig, hvor mange mennesker i dag bare ikke bruger det, og det overrasker mig, at de tjenester, som forbrugerne bruger, ikke bare tvinger det til dem. Jeg tror, at nogle af bankerne begynder at gøre det, hvilket er dejligt at se, men stadig at se konti på sociale medier blive kompromitteret, fordi folk ikke har to-faktorer på, er bare lidt skøre i mine øjne.
Så indtil vi kommer forbi den grundlæggende sikkerhedshygiejne, tror jeg ikke, vi kan begynde at tale om nogle af de mere avancerede teknikker til at beskytte sig selv.
Så fortæl mig lidt om din personlige sikkerhedspraksis? Bruger du en adgangskodemanager?
Selvfølgelig. Selvfølgelig. Jeg bruger
VPN-tjenester bremser muligvis din forbindelse lidt, men de er relativt lette at konfigurere, og du kan få en for et par dollars om måneden.
De er super enkle at konfigurere, og du vil gå med en velrenommeret udbyder, fordi du sender trafik
På samme tid er det bare at lave enkle ting som at opdatere mit system, når som helst der er en opdatering på min mobil
Det er ikke så skør. Det er virkelig ikke så svært at være sikker som forbruger. Du behøver ikke bruge meget avancerede teknikker eller løsninger der er derude. Bare tænk på sund fornuft.
Jeg tror, at to-faktor er et system, der forvirrer mange mennesker og skræmmer en masse mennesker. De tror, at de bliver nødt til at tjekke af på deres telefon, hver gang de logger på deres e-mail-konto, og det er ikke tilfældet. Du skal bare gøre det en gang, du autoriserer den bærbare computer, og ved at gøre det kan en anden ikke logge på din konto fra nogen anden bærbar computer, hvilket er en enorm beskyttelse.
Absolut. Ja, af en eller anden grund skræmmer det mange mennesker. Nogle af dem er konfigureret, hvor du muligvis skal gøre det hver 30. dag eller deromkring, men
Du har ikke været i denne branche så længe, men kan du fortælle, hvordan du har set landskabet
Jeg har faktisk været i cybersikkerhed og virkelig interesseret i det i måske 15 år. Lige siden jeg var 13 år gammel og drev jeg en delt webhostingfirma. Der var meget fokus på at beskytte vores kunders websteder og serveradministration og sikre, at disse servere blev låst. Du ser på, hvordan viden er kommet frem til angriberens side. Jeg tror, at sikkerhed er en begyndende branche i sig selv, den udvikler sig konstant, og der er altid en masse nye innovative løsninger og teknologi. Jeg synes det er spændende at se det hurtige tempo i innovationen i dette rum. Det er spændende at se virksomheder drage fordel af flere af de gradvis tilbagelagte løsninger, slags flytte væk fra de defacto navne, som vi alle har hørt om,
Det plejede at være, at det mest drejede sig om vira, og at du bliver nødt til at opdatere dine definitioner, og du ville betale et firma for at administrere denne database for dig, og så længe du havde, var du temmelig sikker mod 90 procent af truslerne. Men truslerne udviklede sig meget hurtigere i dag. Og der er en komponent i den virkelige verden, hvor mennesker udsætter sig selv, fordi de får et phishing-angreb, de reagerer og udleverer deres legitimationsoplysninger. Sådan får deres organisation gennemtrængt, og det er næsten mere et uddannelsesmæssigt spørgsmål end et teknologisk spørgsmål.
Jeg tror, at langt de fleste af de angreb, der er succesrige, ikke er så avancerede. Den mindst fællesnævner for enhver organisations sikkerhed
Jeg ville meget gerne se research om, hvor mange trusler der kun er e-mail-baseret. Blot tusinder og tusinder af e-mails der går ud, og folk klikker på tingene. Mennesker, der skaber en proces og en række begivenheder, der spirer ud af kontrol. Men det kommer via e-mail, fordi e-mail er så let og allestedsnærværende, og folk undervurderer det.
Vi begynder at se, at det nu er overgang fra bare e-mail-baserede angreb til social phishing, spyd-phishing-angreb. Det, der er skræmmende ved det, er, at der er en iboende tillid, der er bagt på sociale medier. Hvis du ser et link fra en ven af en
Lad mig spørge dig om mobilsikkerhed. Tidlige dage fortalte vi folk, hvis du har en iOS-enhed, at du sandsynligvis ikke har brug for antivirus, hvis du har en Android-enhed, måske vil du installere den. Er vi kommet videre til et punkt, hvor vi har brug for sikkerhedssoftware på enhver telefon?
Jeg tror, vi må virkelig stole på den sikkerhed, der er bagt i selve enhederne. I betragtning af hvordan Apple for eksempel har designet deres operativsystem, så alt er temmelig sandkasse, ikke? En applikation kan ikke gøre en hel masse uden for rammerne af den applikation. Android er designet lidt anderledes, men hvad vi skal indse er, at når vi giver applikationer adgang til ting som vores placering, vores adressebog eller andre data, der findes på den telefon, går det straks ud af døren.. Og den bliver konstant opdateret, så når du flytter din placering bliver sendt tilbage op i skyen til den, der ejer denne applikation. Du skal virkelig tænke over "Stoler jeg på disse mennesker med mine oplysninger? Stoler jeg på dette selskabs sikkerhed?" For i sidste ende, hvis de huser din adressebog og dine følsomme data, hvis nogen går på kompromis med dem, har de nu adgang til den.
Og det er evig adgang.
Det er rigtigt.
Du skal tænke uden for kassen. Bare fordi du downloader et nyt spil, der ser fedt ud, hvis de beder om dine placeringsoplysninger og dine kalenderoplysninger og fuldstændig adgang til telefonen, har du tillid til, at de har al denne adgang for evigt.
Det er nøjagtigt rigtigt. Jeg tror, du virkelig har brug for at tænke over "Hvorfor beder de om dette? Har de faktisk brug for dette?" Og det er okay at sige "Afvis" og se, hvad der sker. Måske vil det ikke påvirke noget, og så er du virkelig nødt til at spekulere på "Nå, hvorfor bad de virkelig om det?"
Der er tusinder af apps, der oprettes bare for at indsamle personlige oplysninger, de tilbyder bare en vis værdi oven på det for at få dig til at downloade det, men det virkelige eneste formål er at samle oplysninger om dig og overvåge din telefon.
Det er faktisk et gennemgribende problem, hvor du ser disse ondsindede enheder skaber apps, der ligner andre apps. Måske foregiver de at være din online bank, når de ikke er det. De er faktisk bare phishing efter dine legitimationsoplysninger, så du skal virkelig være forsigtig.
Jeg vil stille dig de spørgsmål, jeg stiller alle, der kommer på dette show. Er der en særlig teknologisk tendens, der bekymrer dig mest for det
Er der en app, eller en tjeneste eller en gadget, du bruger hver dag, der bare inspirerer undring, der imponerer dig?
Det er et godt spørgsmål. Jeg er en stor fan af Googles pakke med værktøjer. De interagerer virkelig og fungerer ekstremt godt og integrerer godt sammen, så jeg er en stor Google apps-bruger. og det er ikke kun fordi Google er en investor i vores virksomhed.
Der er en lille smule Google overalt.
Der er en lille Google overalt.
Der er noget, der skal siges for at tage et øjeblik og give dem æren for, hvad de har gjort. De ville virkelig gøre verdens information søgbar og forståelig, og de har gjort et ret godt stykke arbejde for det.
Vi har faktisk lige fået en ny tavle, digital tavle på vores kontor - Jamboard - og det er et af de sejeste enheder, jeg har set på længe. Bare muligheden for at tavle noget ud, gemme det og bringe det op igen, eller interagere og engagere sig med nogen i en anden ende eller nogen på en iPad. Jeg mener, det er bare forbløffende, og når jeg taler om samarbejde på afstand, gør det det bare så meget lettere.
Det er spændende at se denne progression på den måde, vi kan arbejde sammen. Vi behøver ikke at have folk lige centralt beliggende på et kontor, vi kan medbringe dårlige gamle ideer, og jeg synes, det er virkelig sejt.
Det er meget, meget cool produkt. Vi testede det i laboratoriet, og vi havde nogle problemer med noget af softwaren, men det er
Helt enig.
Det skal bare et par softwareopdateringer for at gøre det lidt lettere.
Det er lidt buggy, men det er stadig forbløffende.
Hvordan kan folk indhente dig og følge dig online og holde styr på, hvad du laver?
Ja, jeg er på Twitter @JayKaplan. Vores blog på Synack.com/blog, det er også et godt sted for dig at høre det nyeste inden for cybersecurity-nyheder, og hvad vi laver som firma, og jeg har nogle stillinger derinde hver gang imellem. Jeg er også på LinkedIn, og poster derinde så ofte. Jeg prøver at forblive så aktiv på sociale medier, som jeg kan. Jeg er ikke den bedste.
Det tager meget tid.
På det, men jeg prøver.
Du har også et job at gøre.
Nemlig.
