Video: Jay Kaplan: Crowdsourcing Cybersecurity [Entire Talk] (November 2024)
Te dni lahko množično predvajate karkoli, vključno z varnostjo.
V Synacku je zgradil avtomatiziran sistem za zaznavanje groženj in ustvaril mrežo stotih varnostnih raziskovalcev po vsem svetu, da bi testiranje penetracije prešli na naslednjo raven. V nedavni razpravi iz San Francisca smo govorili o stanju kibernetske varnosti, hekerjih z belimi klobuki in korakih, ki jih osebno sprejema za zagotovitev svoje varnosti na spletu. Preberite si prepis ali si oglejte spodnji video.
Izmed vaših naslovov je glavni direktor in soustanovitelj morda zelo impresiven, toda stvar, ki me navdušuje, je, da delam kot član rdeče ekipe na ministrstvu za obrambo. Razumem, da nam morda ne boste mogli vsega povedati
Kot član katere koli rdeče ekipe kot del katere koli
To združite z mojim delom na NSA, kjer sem namesto napada v obrambne namene bil na
Zdi se mi, da ste uporabili enak pristop, ga vpeljali v zasebni sektor in verjetno predvidevate, da uporabljate legije hekerjev in mrežno varnost omrežij. Pogovorite se z nami o tem, kako to deluje.
Pristop, ki ga uporabljamo, je bolj pristop, ki temelji na hekerju. Pri tem spodbujamo svetovno mrežo vrhunskih raziskovalcev varnosti belih klobukov v več kot 50 različnih državah in jim učinkovito plačujemo rezultate na podlagi rezultatov, da odkrijemo varnostne ranljivosti pri naših podjetniških kupcih, zdaj pa veliko delamo z vlado tudi.
Celoten cilj tukaj je, da si omislimo več oči. Mislim, ena stvar je imeti enega ali dve osebi, ki si ogledujeta sistem, omrežje, aplikacijo in se skušata rešiti to aplikacijo ranljivosti. Lahko bi rekli, da je mogoče 100, 200 ljudi, vsi
Kdo bi bil tipična stranka? Bi bilo to kot Microsoft, ki pravi, da "zaženemo novo platformo Azure, pridite in poskusite z luknjami v našem sistemu?"
Lahko je kjer koli od velikega tehnološkega podjetja, kot je Microsoft, do velike banke, kjer želijo preizkusiti svoje spletne in mobilne aplikacije, bančne aplikacije. Lahko bi bila tudi zvezna vlada; sodelujemo z ministrstvom za zdravje in službo za notranje prihodke, da zapremo, kje pošljete podatke o davkoplačevalcih, ali z vidika DoD-a, kot so sistemi plač in drugi sistemi, ki hranijo zelo občutljive podatke. Pomembno je, da se te stvari ne ogrožajo, saj smo v preteklosti že vsi videli, da so lahko zelo, zelo škodljive. Končno napredujejo bolj progresivno in se odmaknejo od bolj komoditiziranih rešitev, ki smo jih videli v preteklosti.
Kako najdete ljudi? Predstavljam si, da tega ne objavite na oglasni deski in rečete "Hej, usmerite svojo energijo k temu in potem, če najdete nekaj, nam to sporočite in plačali vam bomo."
V zgodnji
Če pogledate nekaj statističnih podatkov, pravijo, da bomo do leta 2021 imeli 3, 5 milijona odprtih delovnih mest v kibernetski varnosti. Trudimo se rešiti ogromno prekinitev povezave med ponudbo in povpraševanjem. Izkoriščanje množičnega izvajanja za reševanje tega problema je za nas izjemno dobro delovalo, saj nam jih ni treba najeti. So svobodni in resnično samo boljši pogled na to težavo daje boljše rezultate.
Od
Ali lahko ti hekerji z vami zaslužijo več denarja, kot bi ga lahko našli na temnem spletu? Mislim, ali je v tem modelu koristno biti bel klobuk?
Obstaja napačna predstava, da veste, da delujete v Temnem spletu in boste samodejno postali ta bogata oseba.
Veliko se tudi odtrgaš.
Veliko te odtrgajo, toda v resnici so ljudje, s katerimi sodelujemo, zelo profesionalni in etični. Delajo za zelo velike korporacije ali druga varnostna svetovalna podjetja in v njih je veliko etike, ki ne želijo delati nezakonito. Želijo delovati, ljubijo kramp, radi lomijo stvari, vendar to želijo storiti v okolju, kjer vedo, da ne bodo preganjani.
To je lep plus. Kaj vidite kot glavne grožnje
Res zanimivo. Če bi mi vprašanje zastavili pred nekaj leti, bi rekel, da so nacionalne države najbolj dobro opremljene organizacije, ki so uspešne pri kibernetskih napadih. Mislim, da sedijo na zalogah podvigov nič, imajo veliko denarja in veliko sredstev.
Pojasnite to zamisel, da bi sedli na zaloge nič dni. Ker je to izven varnostnega prostora, mislim, da ga povprečen človek ne razume.
Torej učinkovito izkoriščanje nič dni je ranljivost v morda večjem operacijskem sistemu, ki ga morda nihče ne ve, razen te organizacije. Našli so ga, sedijo na njem in to izkoristijo v svojo korist. Glede na to, koliko denarja vložijo v raziskave in razvoj, in glede na to, koliko denarja plačajo svoja sredstva, lahko te stvari najdejo tam, kjer jih nihče drug ne more najti. To je velik razlog, da so tako uspešni pri tem, kar počnejo.
Običajno to počnejo z namenom pridobivanja obveščevalnih podatkov in pomagajo našim odločevalcem pri sprejemanju boljših političnih odločitev. V zadnjih nekaj letih opažamo premik, ko kriminalisti sindicirajo nekatera od teh orodij puščanja v svojo korist. Če na primere tega vidite puščanje posrednikov Shadow Brokers, je zunaj postalo precej strašljivo. Medtem ko prodajalci popravljajo svoje sisteme, podjetja in tamkajšnja podjetja dejansko ne izkoriščajo teh popravkov, zaradi česar so dovzetni za napade in omogočajo, da se slabi fantje prebijejo v njihove organizacije in dajo na primer odkupno programsko opremo, da poskušajo najti denarja iz njih.
Okužba WannaCry je prizadela ogromno število sistemov, ne pa sistemov Windows 10. To je bil podvig, ki so ga zakrpali, če so ga ljudje prenesli in namestili, toda mnogi milijoni ljudi tega niso in to je odprlo vrata.
Točno tako. Upravljanje popravkov je za veliko večino organizacij še vedno težko. Ne vedo, katere različice se izvajajo in katere okence so bile zakrpljene in katere ne, in to je eden od razlogov, da smo ustvarili celoten poslovni model - da bomo imeli več pozornosti na to težavo in bili proaktivni glede razkritja. sisteme, ki niso bili popravljeni, in sporočajo našim strankam: "Hej, bolje popravite te stvari ali pa boste naslednji naslednji prekršek ali napadi, kot je WannaCry, bodo uspešni proti vašim organizacijam." In kupci, ki neprekinjeno uporabljajo naše storitve, so bili to za nas res uspešni primeri uporabe.
Ali prodajate svoje storitve za kratkotrajno testiranje? Ali pa lahko tudi poteka?
Tradicionalno testiranje na penetraciji je bilo pravočasno vrsta posla, kajne? Praviš, da prideš čez teden, dva tedna, daj mi poročilo in potem se vidimo čez leto, ko bomo pripravljeni na našo naslednjo revizijo. Stranke poskušamo preusmeriti v misel, da je infrastruktura zelo dinamična, ves čas izrivate spremembe kode v svojih aplikacijah, kadar koli lahko uvajate nove ranljivosti. Zakaj ne bi na varnostne vidike neprestano gledali tako, kot ste z življenjskim ciklom svojega razvoja?
In programska oprema kot storitev je odličen model. Servis kot storitev je tudi odličen model.
Tako je. Na celotni hrbtni strani tega imamo velike komponente programske opreme, zato imamo celotno platformo, ki omogoča ne le medsebojno delovanje med našimi raziskovalci in strankami, ampak tudi gradimo avtomatizacijo, da rečemo "Hej, da bi naši raziskovalci so bolj učinkoviti in učinkoviti na svojih delovnih mestih, avtomatizirajmo stvari, za katere ne želimo, da bi jih porabili čas. " Prav? Vse nizko viseče sadje, ki jim daje več konteksta okolja, v katerega hodijo, in ugotavljamo, da ta paritev človeka in stroja deluje zelo dobro in je zelo močna v prostoru kibernetske varnosti.
Pred kratkim ste se vrnili iz Black Hat, kjer ste videli veliko strašljivih stvari. Vas je kaj presenetilo?
Veste, v Defconu smo bili zelo osredotočeni na volilne sisteme, in mislim, da smo o tem že veliko videli. Mislim, da je gledanje, kako hitro hekerji lahko prevzamejo nadzor nad enim od teh volilnih sistemov ob fizičnem dostopu, precej strašljivo. Zaradi tega resnično dvomite o prejšnjih volitvah. Glede na to, da ni cel kup sistemov s papirnimi sledmi, mislim, da je to precej strašljiv predlog.
Vendar je bilo poleg tega veliko osredotočenosti na kritično infrastrukturo. Bilo je enega govora, ki se je osredotočil na to, da v glavnem vdrejo v sevalne sisteme, ki zaznavajo sevanje v jedrskih elektrarnah, in na to, kako enostavno je vdreti v te sisteme. Mislim, da so stvari precej strašljive in trdno verjamem, da je naša kritična infrastruktura na precej slabem mestu. Mislim, da je danes večina tega dejansko ogrožena in številni vsadki sedijo po vsej naši kritični infrastrukturi, ki samo čakajo, da jih spodbudimo v primeru, da gremo v vojno z drugo državno državo.
Torej, ko rečete "Naša kritična infrastruktura je danes ogrožena", mislite, da v tovarnah električne energije, v jedrskih elektrarnah, vetrnicah, ki jih je mogoče kadar koli aktivirati, obstajajo kode?
Da. Točno tako. Nimam ničesar, kar bi nujno podkrepilo
Ali lahko tolažimo dejstvo, da imamo verjetno podobne vzvode nad svojimi nasprotniki in da imamo svojo kodo tudi v svoji kritični infrastrukturi, tako da obstaja vsaj uzajamno uničenje, na katerega se lahko zanesemo?
Predvideval bi, da delamo stvari, ki so si zelo podobne.
V redu. Predvidevam, da ne morete povedati vsega, kar bi morda vedeli, toda tolažim se s tem, da se vsaj vodi vojna. Očitno ne želimo, da bi se to na kakršen koli način stopnjevalo, vendar se vsaj borimo na obeh straneh in verjetno bi se morali bolj osredotočiti na obrambo.
Tako je. Mislim, vsekakor bi se morali bolj osredotočiti na obrambo, vendar so naše ofenzivne sposobnosti prav tako pomembne. Veste, ko lahko razumete, kako nas nasprotniki napadajo in kakšne so njihove sposobnosti
Torej, želel sem vas vprašati o temi, ki je bila v novicah v
Torej, težko vem, kajne? In mislim, da moramo glede na to, da moramo podvomiti v povezave s temi organizacijami, biti previdni pri uvajanju, še posebej razširjeni. Nekaj tako razširjene kot protivirusna rešitev, kot je Kaspersky v vseh naših sistemih, vlada previdno in glede na to, da imamo rešitve, domorodne rešitve, enako kot poskušamo zgraditi svoje jedrske bojne glave in naše sisteme protiraketne obrambe v ZDA, morali bi izkoristiti rešitve, ki se v ZDA gradijo nekatere z vidika kibernetske varnosti. Mislim, da to na koncu poskušajo storiti.
Kaj menite, da je varnost številna ena stvar, ki jo večina potrošnikov dela narobe?
Na ravni potrošnikov je le zelo osnovno, kajne? Mislim, da večina ljudi ne izvaja varnostne higiene. Kolesarjenje gesel, uporaba različnih gesel na različnih spletnih mestih, uporaba orodij za upravljanje gesla, dvofaktorska overitev. Ne morem vam povedati, koliko ljudi danes tega ne uporablja in preseneča me, da storitve, ki jih porabniki uporabljajo, ne nasedajo le njim. Mislim, da nekatere banke to počnejo, kar je super videti, vendar kljub temu, da računi v družbenih medijih postanejo ogroženi, ker ljudje nimajo dvofaktorja, je v mojih očeh prav noro.
Dokler ne pridemo do osnovne varnostne higiene, mislim, da ne moremo govoriti o nekaterih naprednejših tehnikah za zaščito.
Torej, povejte mi malo o svojih osebnih varnostnih praksah? Ali uporabljate upravitelja gesel?
Seveda. Seveda. jaz uporabljam
Storitve VPN lahko nekoliko upočasnijo vašo povezavo, vendar jih je relativno enostavno nastaviti in jih lahko dobite za nekaj dolarjev na mesec.
Nastaviti jih je zelo enostavno in želite se obrniti na uglednega ponudnika, ker pošiljate promet
Hkrati pa počnem preproste stvari, kot je posodabljanje sistema, kadar koli je na mojem mobilniku posodobitev
Ni tako noro. V resnici ni tako težko ostati varen kot potrošnik. Ni vam treba uporabljati zelo naprednih tehnik ali rešitev, ki so tam zunaj. Samo pomislite na zdrav razum.
Mislim, da je dvofaktorski sistem, ki zmede veliko ljudi in ustrahuje veliko ljudi. Mislijo, da se bodo morali odjaviti na svojem telefonu vsakič, ko se bodo prijavili v svoj e-poštni račun, in to ne drži. To morate storiti samo enkrat, pooblastite ta prenosnik in s tem se nekdo drug ne more prijaviti v vaš račun iz nobenega drugega prenosnika, kar je velika zaščitna zaščita.
Vsekakor. Ja, iz nekega razloga to prestraši veliko ljudi. Nekatere so postavljene tam, kjer boste morda morali to storiti vsakih 30 dni, vendar
Že dolgo niste bili v tej panogi, a lahko delite, kako ste videli pokrajino
Pravzaprav sem v kibernetski varnosti in se zanj resnično zanimam že morda 15 let. Že od svojega 13. leta sem vodil skupno podjetje za spletno gostovanje. Veliko pozornosti smo namenili varovanju spletnih strani naših strank in administraciji strežnika ter zagotavljanju, da so ti strežniki zaklenjeni. Gledate, kako je znanje napredovalo na strani napadalca. Mislim, da je varnost že sama po sebi industrija, ki se sama razvija, nenehno se razvija in vedno je na voljo nova inovativna rešitev in tehnologija. Mislim, da je vznemirljivo videti hiter inovacijski napredek v tem prostoru. Navdušujoče je videti podjetja, ki izkoriščajo več progresivno nagnjenih rešitev, ki se nekako odmikajo od imen defacto, za katere smo že vsi slišali,
Včasih je šlo predvsem za viruse in morali bi posodobiti svoje definicije, plačali pa boste podjetju, da bo upravljalo to zbirko podatkov za vas, in dokler ste imeli, da ste precej varni pred 90 odstotki groženj. Toda danes so se grožnje razvile veliko hitreje. In tu je sestavni del resničnega sveta, kjer se ljudje izpostavljajo, ker dobijo lažni napad, se odzovejo in predajo svoje poverilnice. Tako se prodre v njihovo organizacijo in to je skoraj bolj izobraževalno vprašanje kot tehnološko.
Mislim, da velika večina uspešnih napadov ni tako naprednih. Najmanj skupni imenovalec varnosti katere koli organizacije
Rad bi raziskal, koliko groženj temelji samo na e-pošti. Na tisoče in tisoče e-poštnih sporočil se dogaja in ljudje klikajo stvari. Ljudje ustvarjajo postopek in vrsto dogodkov, ki spirali izpod nadzora. A pride po e-pošti, ker je e-pošta tako enostavna in vseprisotna in jo ljudje podcenjujejo.
Zdaj začnemo gledati na prehod iz zgolj e-poštnih napadov na družabno lažno predstavljanje (phishing), napade z lažnim lažnim predstavljanjem. Strašljivo je, da je v družabnih medijih vgrajeno zaupanje. Če vidite povezavo, ki prihaja od prijatelja
Naj vas vprašam o varnosti mobilnih naprav. Zgodnje dni smo ljudem povedali, da če imate iOS napravo, verjetno ne potrebujete protivirusnega sistema, če imate napravo Android, jo morda želite namestiti. Ali smo napredovali do točke, ko potrebujemo varnostno programsko opremo na vsakem telefonu?
Mislim, da moramo resnično zaupati varnosti, ki je vključena v same naprave. Glede na to, kako je Apple na primer oblikoval njihov operacijski sistem, tako da je vse precej peskovno, kajne? Aplikacija ne more storiti veliko zunaj meja te aplikacije. Android je zasnovan nekoliko drugače, toda vse, kar moramo zavedati, je, da ko dajemo aplikacijam dostop do stvari, kot so naša lokacija, naš adresar ali kateri koli drugi podatki, ki so na tem telefonu, to takoj odpade za vrata. In nenehno se posodablja, tako da se med premikanjem vaše lokacije pošlje nazaj v oblak kdor je lastnik te aplikacije. Resnično morate razmišljati o "Ali tem ljudem zaupam svoje podatke? Ali zaupam v varnost tega podjetja?" Ker na koncu, če hranijo vaš adresar in vaše občutljive podatke, če jih kdo ogrozi, imajo zdaj dostop do njega.
In to je stalni dostop.
Tako je.
Morate razmišljati zunaj polja. Ker nalagate novo igro, ki je videti kul, če zahtevajo podatke o vaši lokaciji in podatke o koledarju ter popoln dostop do telefona, jim zaupate, da bodo imeli ves ta dostop za vedno.
Točno tako. Mislim, da bi morali resnično razmišljati o tem "Zakaj to sprašujejo? Ali to dejansko potrebujejo?" In v redu je reči "Zavrni" in poglej, kaj se zgodi. Mogoče to ne bo vplivalo na nič, potem pa se morate resnično vprašati: "Zakaj so v resnici zaprosili za to?"
Na tisoče aplikacij je ustvarjenih samo za zbiranje osebnih podatkov, poleg tega ponujajo nekaj vrednosti, da si jih lahko naložite, toda pravi edini namen je zbiranje podatkov o vas in spremljanje vašega telefona.
To je pravzaprav težavna težava, ko opazite, da ti zlonamerni subjekti ustvarjajo aplikacije, ki so podobne drugim aplikacijam. Mogoče se pretvarjajo, da so vaša spletna banka, kadar niso. Pravzaprav samo lažno predstavljajo vaše poverilnice, zato morate biti res previdni.
Rad bi vam postavil vprašanja, ki jih postavljam vsem, ki pridejo na to oddajo. Ali obstaja kakšen tehnološki trend, ki vas najbolj skrbi
Ali je kakšna aplikacija ali storitev ali pripomoček ali pripomoček, ki ga uporabljate vsak dan in vas samo navduši, se čudite?
To je dobro vprašanje. Sem velik ljubitelj Googlovega nabora orodij. Resnično medsebojno delujejo in delujejo izjemno dobro ter se dobro povezujejo, zato sem velik uporabnik Googlovih aplikacij. in to ne samo zato, ker je Google vlagatelj v naše podjetje.
Povsod je malo Googla.
Povsod je malo Googla.
Nekaj je treba povedati, če si vzamete trenutek in jim daste zasluge za to, kar so storili. Resnično so želeli omogočiti iskanje informacij po vsem svetu in jih razumeli, zato so to zelo dobro opravili.
Pravzaprav smo pravkar dobili novo pisarno, digitalno tablo v naši pisarni - Jamboard - in to je ena izmed najbolj kul naprav, ki sem jo videl že dolgo. Samo sposobnost, da nekaj izbrišete, shranite in vrnete nazaj, ali pa sodelujete in sodelujete z nekom na drugem koncu ali s kom v iPadu. Mislim, to je prav neverjetno, in o sodelovanju na daljavo je to še veliko lažje.
Navdušujoče je videti to napredovanje na način, kako lahko sodelujemo. Ni nam treba imeti ljudi, ki so samo v središču v eni pisarni, lahko prinesemo slabe stare ideje in mislim, da je to res kul.
To je zelo, zelo kul izdelek. Testirali smo ga v laboratoriju in imeli smo nekaj težav z nekaj programske opreme, vendar je
Popolnoma se strinjam.
Potrebuje le nekaj posodobitev programske opreme, da jo nekoliko olajšate.
Malo je buggy, vendar je vseeno neverjetno.
Kako vas lahko ljudje dohitijo in spremljajo po spletu ter spremljajo, kaj počnete?
Ja, sem na Twitterju @JayKaplan. Naš blog na spletnem mestu Synack.com/blog je odličen kraj za vas, ko boste lahko prejeli najnovejše novice o kibernetski varnosti in kaj počnemo kot podjetje, in tam imam vsake toliko časa nekaj objav. Tudi na LinkedInu sem, tako pogosto objavljam tam. Trudim se ostati čim bolj aktiven na družbenih medijih. Nisem najboljši.
To traja veliko časa.
Pri tem, vendar se trudim.
Tudi vi imate službo.
Točno tako.
