Videó: Jay Kaplan Interview With CyberHub (November 2024)
Napjainkban szinte bármit megszerezhet a forrásokból, ideértve a biztonságot is.
A Synacknál automata fenyegetés-felderítő rendszert és több száz biztonsági kutató hálózatát hozta létre a világ minden tájáról, hogy a penetrációs tesztet a következő szintre vigye. A San Francisco-i nemrégiben megbeszélésben beszéltünk a kiberbiztonság állapotáról, a fehér kalapok hackereiről és az általa személyesen tett lépéseiről, hogy biztonságát online biztosítsa. Olvassa el az átiratot, vagy nézze meg az alábbi videót.
Az összes rangja közül az ügyvezető igazgató és az alapító talán nagyon lenyűgöző, de engem lenyűgöző az a tény, hogy a Védelmi Minisztérium vörös csapatának tagjaként dolgozom. Megértem, hogy lehet, hogy nem tudod mindent elmondani
Bármely piros csapat tagjaként
Ezt párosítod az NSA-nál végzett munkámmal, ahol ahelyett, hogy védekező célból támadtam volna, az én voltam
Úgy tűnik számomra, hogy ugyanezt a megközelítést választotta, behozta a magánszektorba, és azt hiszem, hackerek légióit foglalkoztat és tömeges forrásból származó hálózati biztonságot alkalmaz. Beszéljen egy kicsit arról, hogy ez hogyan működik.
Az általunk alkalmazott megközelítés inkább egy hackerek által vezérelt megközelítés. Amit csinálunk, a világ legjelentősebb, fehér sapkákkal foglalkozó biztonsági kutatóinak globális hálózatát kihasználva, több mint 50 különböző országban, és eredményességük szerint fizetünk nekik, hogy felfedezzük vállalati ügyfeleink biztonsági réseit, és most egy csomó munkát folytatunk a kormányzattal is.
A teljes cél itt az, hogy több figyelmet kapjunk a problémára. Úgy értem, egy dolog, ha egy vagy két ember megnéz egy rendszert, egy hálózatot, egy alkalmazást, és megpróbálja megszabadulni a biztonsági rések ezen alkalmazásától. Még egyszer azt mondani, hogy talán 100, 200 ember, mindenki
Ki lenne a tipikus vevő? Olyan lenne, mint egy Microsoft, amely azt mondja: "Új Azure platformot indítunk, gyere és próbáljon meg lyukakat dugni a rendszerünkbe?"
Bárhol, olyan nagy technológiai vállalattól kezdve, mint a Microsoft, egy nagy bankig, ahol tesztelni akarják online és mobil alkalmazásukat, banki alkalmazásukat. Lehet, hogy a szövetségi kormány is; együtt dolgozunk a DoD-vel és a Belső Bevételi Szolgálattal annak érdekében, hogy bezárjuk az adófizetőkre vonatkozó információkat, vagy a DoD szempontjából olyan dolgokat, mint a bérszámfejtési rendszerek és más rendszerek, amelyek nagyon érzékeny adatokat tartalmaznak. Fontos, hogy ezek a dolgok ne kerüljenek veszélybe, mivel a múltban mindannyian láttuk, hogy ezek nagyon, nagyon károsak lehetnek. Végül fokozatosabb megközelítést alkalmaznak a probléma megoldására, és elmozdulnak a múltban látott sokkal inkább kompatibilis megoldásoktól.
Hogyan találsz embereket? Gondolom, hogy nem csak feladja egy üzenőfalra, és azt mondja: "Hé, irányítsd az energiáidat erre, és ha találsz valamit, tudassa velünk, és mi fizetni fogunk."
A korai
Ha megnézzük néhány statisztikát, azt mondják, hogy 2021-re 3, 5 millió nyitott kiberbiztonsági munkahely lesz. Van egy hatalmas kínálat és kereslet leválasztás és kihívás, amelyeket megpróbálunk megoldani. A tömegforrás felhasználása e probléma megoldására rendkívül jól működött számunkra, mert nem kell őket felvennünk. Szabadúszók és tényleg csak jobban megfigyelik ezt a problémát, és jobb eredményekhez vezetnek.
Nak, -nek
Lehet, hogy ezek a hackerek több pénzt keresnek veled, mint amennyit saját maguk tudnának kihozni a Sötét Interneten? Úgy értem, nyereséges-e fehér kalapot lenni ebben a modellben?
Általános tévhit, hogy tudod, a Sötét Interneten működik, és automatikusan ez a gazdag ember leszel.
Ön is sokat szakadt.
Sokat szakítanak el, de a valóság az, hogy az emberekkel nagyon profi és etikus dolgozunk. Nagyon nagy vállalatoknál vagy más biztonsági tanácsadó cégeknél dolgoznak, és vannak olyan emberek, akikben nagyon sok etika van, hogy nem akarnak illegálisan cselekedni. Meg akarnak cselekedni, szeretik a hackelést, szeretnek megsérteni a dolgokat, de olyan környezetben akarják megcsinálni, ahol tudják, hogy nem fogják üldözni.
Ez egy jó plusz. Mit lát a legfontosabb veszélyeknek?
Nagyon érdekes. Ha pár évvel ezelőtt feltetted volna a kérdést, azt mondanám, hogy a nemzetállamok a legjobban felszerelt szervezetek, amelyek sikeresek lehetnek az internetes támadások során. Úgy értem, hogy a nulla napos kirakodások készleteiben ülnek, rengeteg pénzük és sok forrás van.
Magyarázza el azt a gondolatot, hogy üljön a nulla napos készleteken. Mivel ez valami olyan, ami kívül esik a biztonsági téren, nem hiszem, hogy az átlagember valóban megérti.
Tehát a nulla napos hatékonyságú kihasználás valószínűleg egy olyan jelentős operációs rendszer sebezhetősége, amelyet talán senki sem tud más szervezetről. Megtalálták, ülnek rajta, és előnyeikre kihasználják. Tekintettel arra, hogy mennyi pénzt fordítanak kutatásra és fejlesztésre, és hogy mennyi pénzt fizetnek forrásaikkal, képesek megtalálni ezeket a dolgokat, ahol senki más nem találja meg őket. Ez egy nagy ok, miért olyan sikeresek abban, amit csinálnak.
Általában ezt intelligencia-megszerzés céljából teszik, és segítik a döntéshozóinkat a jobb politikai döntések meghozatalában. Az elmúlt néhány évben elmozdulást tapasztalunk, ahol a bűncselekmény-szindikátusok ezeknek a szivárgásellenes eszközöknek az előnyeit kihasználják. Ha erre a példa erre az Árnyékközvetítők szivárgása, akkor nagyon ijesztő lesz odakinn. Miközben az eladók javítják a rendszereiket, az ott működő vállalkozások és cégek nem használják ki azokat a javításokat, amelyek hajlamosak lennének a támadásokra, és lehetővé teszik a rossz fiúk számára, hogy betörjenek szervezetükbe és példaként ransomware szoftvereket tegyenek ki pénz belőlük.
A WannaCry fertőzés hatalmas számú rendszert érintett, de a Windows 10 rendszereket nem. Ez volt egy kizsákmányolás, amelyet javítottak, ha az emberek letöltöttek és telepítettek, de sok millió embernek nem volt, és ez kinyitotta az ajtót.
Pontosan így van. A javításkezelés nagyon nehéz dolog a szervezetek túlnyomó többsége számára. Nem tudják kezelni, hogy mely verziók futnak, és melyik dobozokat javították meg, és melyeket nem, és ez az egyik oka annak, hogy létrehoztuk az egész üzleti modellünket - hogy jobban szemügyre vegyük ezt a problémát, proaktívan járjunk a felfedezésük során. a még nem javított rendszereket, és azt mondja ügyfeleinknek: "Hé, jobb, ha javítod meg ezeket a dolgokat, különben a következő nagy megsértés vagy támadás leszel, mint például a WannaCry, és sikeresek lesznek a szervezeted ellen." És ügyfeleink folyamatosan alkalmazzák szolgáltatásainkat, ez nagyon sikeres használati eset volt számunkra.
Értékesíti szolgáltatásait rövid távú tesztelés céljából? Vagy folyamatban is lehet?
A penetráció tesztelése hagyományosan point-in-time típusú elkötelezettség volt, nem? Azt mondod, gyere egy hétre, két hétre, adj nekem jelentést, majd egy évvel később találkozunk, amikor készen állunk a következő ellenőrzésre. Igyekszünk áttérni az ügyfelek azon gondolkodásmódjára, hogy az infrastruktúra nagyon dinamikus, folyamatosan kipróbálja az alkalmazáskód-változtatásokat, bármikor új biztonsági réseket vezethet be. Miért ne nézi ezeket a dolgokat biztonsági szempontból ugyanúgy, mint a fejlesztési életciklus során?
És a szoftver mint szolgáltatás kiváló modell. A szolgáltatás mint szolgáltatás szintén remek modell.
Úgy van. Vannak nagy szoftverkomponensek, amelyek ennek hátterében ülnek, tehát van egy egész platformunk, amely nemcsak megkönnyíti a kutatók és az ügyfelek közötti interakciót, hanem éppen az automatizálás mellett azt is mondja, hogy "Hé, hogy kutatóink hatékonyabbak és eredményesebbek munkájukban, automatizáljuk azokat a dolgokat, amelyekre nem akarjuk, hogy időt töltsenek rá. " Jobb? Az összes alacsonyan lógó gyümölcs, amely több környezetet ad nekik a környezetben, amelybe járnak, és azt találtuk, hogy az ember és a gép párosítása rendkívül jól működik, és nagyon erőteljes a kiberbiztonsági térben.
Nemrég jött vissza a Black Hat-ból, ahol sok félelmetes dolgot láttál. Volt ott valami, ami meglepte?
Tudod, a Defcon nagy hangsúlyt fektetett a szavazási rendszerekre, és azt hiszem, mindannyian rengeteg sajtót láttunk erről. Úgy gondolom, hogy nagyon félelmetes látni, hogy a hackerek milyen gyorsan képesek átvenni a szavazási rendszerek egyikének irányítását, fizikai hozzáférésükkel. Ez tényleg megkérdőjelezi a korábbi választási eredményeket. Látva, hogy nincs egy csomó olyan rendszer, ahol papírvonalak vannak, azt hiszem, ez egy nagyon ijesztő javaslat.
De azon túl sok figyelmet szenteltek a kritikus infrastruktúrának. Volt egy beszélgetés, amely a nukleáris erőművek sugárzását észlelő sugárzási rendszerek alapvető hackelésére összpontosított, és hogy milyen könnyű behatolni ezekbe a rendszerekbe. Úgy értem, hogy a cucc nagyon félelmetes, és szilárdan hiszem, hogy a kritikus infrastruktúránk nagyon rossz helyen van. Úgy gondolom, hogy manapság valójában veszélyeztetett, és számos implantátum ül az egész kritikus infrastruktúránkon, és csak arra vár, hogy kihasználják a tőkeáttételt, ha háborúba kerülünk egy másik nemzetállammal.
Tehát amikor azt mondja: "A kritikus infrastruktúránk ma veszélyben van", akkor arra gondolsz, hogy az elektromos gyárakban, atomerőműveknél, szélmalomtelepeken kód ül, amelyet idegen hatalmak helyeztek el, és amelyeket bármikor aktiválni lehet?
Igen. Pontosan így van. Nincs semmi szükségszerűen ezt alátámasztani
Mi megnyugtathatunk-e valamit abban a tényben, hogy valószínűleg hasonló tőkeáttétellel rendelkezünk ellenfeleink felett, és kódjuk is a kritikus infrastruktúrájukban is van, tehát legalább van egy kölcsönösen biztosított pusztítás, amelyre támaszkodhatunk?
Feltételezem, hogy nagyon hasonló dolgokat csinálunk.
Oké. Feltételezem, hogy nem mondhat el mindent, amit tudhat, de engem vigasztal legalább abban, hogy a háború folyik. Nyilvánvalóan nem akarjuk, hogy ez bármilyen formában vagy formában eszkalálódjon, de legalább harcolunk mindkét oldalon, és valószínűleg inkább a védelemre kell összpontosítanunk.
Úgy van. Úgy értem, határozottan inkább a védelemre kellene összpontosítanunk, de támadó képességeink ugyanolyan fontosak. Tudod, hogy megérted, hogy ellenfeleink hogyan támadnak bennünket és milyen képességeik vannak
Tehát egy olyan témáról akartam kérdezni, amely már szerepelt a
Szóval, nehéz tudni, igaz? És úgy gondolom, hogy figyelembe véve azt a tényt, hogy meg kell kérdőjeleznünk az ezekkel a szervezetekkel fennálló kapcsolatokat, csak óvatosan kell eljárnunk a telepítés, különösen a széles körű telepítés szempontjából. Valami olyan széles körben elterjedt, mint egy antivírus-megoldás, mint például a Kaspersky az összes rendszerünkben, a kormány óvatos, és mivel van megoldásaink, saját fejlesztésű megoldásaink, ugyanúgy, ahogyan megpróbáljuk felépíteni a nukleáris harci fejeinket, és a rakétavédelmi rendszereinket a USA-ban, kiber-biztonsági szempontból ki kell használnunk az Egyesült Államokban épülő megoldásokat. Azt hiszem, végül ezt próbálják megtenni.
Véleménye szerint mi az a szám, amit a legtöbb fogyasztó biztonsági szempontból rosszul tesz?
Fogyasztói szinten ez csak nagyon alapvető, igaz? Azt hiszem, a legtöbb ember nem gyakorolja a biztonsági higiéniát. Kerékpáros jelszavak, különböző jelszavak használata a különböző webhelyeken, jelszókezelő eszközök használata, két tényezős hitelesítés. Nem tudom megmondani, hány ember manapság csak nem használja, és meglepő, hogy a szolgáltatások, amelyeket a fogyasztók használnak, nem csak rájuk kényszerítik. Úgy gondolom, hogy néhány bank már elkezdi ezt csinálni, ami nagyszerű látni, de még mindig látom, hogy a szociális média fiókjai kompromittálódnak, mert az embereknek nincs két tényezője: ez csak egy őrült a szememben.
Tehát, amíg el nem tértünk az alapvető biztonsági higiénián, nem hiszem, hogy elkezdhetnénk néhány fejlettebb technikáról beszélni, hogy megvédjük magukat.
Szóval, mesélj nekem egy kis személyes biztonsági gyakorlatáról? Használ egy jelszókezelőt?
Természetesen. Természetesen. használom
A VPN-szolgáltatások kicsit lelassíthatják a kapcsolatot, de viszonylag könnyen beállíthatók, és havonta néhány dollárért beszerezhetők.
Rendkívül könnyen beállíthatók, és jó hírű szolgáltatóval szeretne kapcsolatba lépni, mert forgalmat küld
Ugyanakkor egyszerű műveleteket végez, például a rendszer frissítését, bármikor frissítést kapok a mobilomban
Nem olyan őrült. Valójában nem olyan nehéz, hogy biztonságban maradjunk, mint fogyasztó. Nem kell nagyon fejlett technikákat vagy megoldásokat alkalmaznia, amelyek ott vannak. Gondolj csak a józan észre.
Úgy gondolom, hogy a két tényező egy olyan rendszer, amely sok embert összezavar, és sok embert megfélemlít. Úgy gondolják, hogy minden alkalommal ellenőrizniük kell telefonját, amikor belépnek az e-mail fiókba, és nem ez a helyzet. Csak egyszer kell megtennie, engedélyezve ezt a laptopot, és ezzel valaki más nem tud bejelentkezni a fiókjába más laptop segítségével, ami óriási biztosíték.
Teljesen. Igen, valamilyen okból sok embert megijeszteni. Néhányan ott vannak felállítva, ahol valószínűleg kb. 30 naponta meg kell tennie, de
Régóta nem voltál ebben az iparágban, de megoszthatja, hogyan látta a tájat
Valójában 15 évig kiberbiztonsággal foglalkoztam és nagyon érdekel. 13 éves korom óta egy közös web hosting társaságot működtettem. Nagyon nagy hangsúlyt fektettek ügyfeleink webhelyeinek és a szerver adminisztrációjának védelmére, valamint a szerver lezárásának ellenőrzésére. Megnézheti, hogyan fejlődött az ismeret a támadó oldalán. Úgy gondolom, hogy a biztonság önmagában egy kialakulóban lévő iparág, folyamatosan fejlődik, és mindig van egy sor új innovatív megoldás és technológia. Szerintem izgalmas látni az innováció gyors ütemét ezen a téren. Izgalmas látni, hogy a vállalatok kihasználják a fokozatosan hajlamos megoldások előnyeit, elmozdulnak a defacto nevektől, amelyekről mindannyian hallottunk,
Régebben volt, hogy leginkább a vírusokra vonatkozik, és frissítenie kellene a definíciókat, és fizetnie kellene egy vállalkozásnak az adatbázis kezelése érdekében az Ön számára, és mindaddig, amíg voltál, nagyjából biztonságban voltak a fenyegetések 90 százalékától. De a fenyegetések ma sokkal gyorsabban fejlődtek ki. És van egy valós összetevő, ahol az emberek ki vannak téve maguknak, mert adathalász támadást kapnak, válaszolnak és átadják a hitelesítő adataikat. Így hatol be a szervezetükbe, és ez szinte inkább oktatási, mint technológiai kérdés.
Úgy gondolom, hogy a sikeres támadások túlnyomó többsége nem olyan fejlett. Bármely szervezet biztonságának legkevésbé közös nevezője
Szeretnék kutatni, hogy hány fenyegetés csak e-mail alapú. Csak ezrek és ezrek e-mailek kimennek, és az emberek rákattintanak a dolgokra. Az emberek létrehoznak egy folyamatot és egy esemény sorozatot, amelyek spirálisan irányulnak. De e-mailen keresztül érkezik, mert az e-mail annyira egyszerű és mindenütt jelen van, és az emberek alábecsülik.
Most kezdjük látni, hogy ez csak az e-mail alapú támadásoktól a közösségi adathalász, lándzsákos adathalász támadásokig terjed. Ami félelmetes, hogy egy veleszületett bizalom süt a szociális médiabe. Ha linket látsz egy barátjának
Hadd kérdezzem önöket a mobil biztonságról. A kezdetektől azt mondtuk az embereknek, hogy ha van iOS-eszköze, akkor valószínűleg nincs szüksége antivírusra, ha van Android-eszköz, akkor esetleg telepíteni akarja. Haladtunk olyan pontra, ahol minden telefonra biztonsági szoftverre van szükségünk?
Azt hiszem, hogy valóban bíznunk kell a biztonságban, amelyet maguk az eszközök készítenek be. Tekintettel arra, hogy az Apple hogyan tervezte meg például az operációs rendszerüket, így minden nagyon homokozóban van, ugye? Az alkalmazás nem végezhet sokat az alkalmazás határain kívül. Az Android kicsit másképp van kialakítva, de fel kell ismernünk, hogy amikor alkalmazásokhoz hozzáférést biztosítunk például a helyünkhöz, a címjegyzékhez vagy a telefonon található bármely más adathoz, az azonnal kijön az ajtón.. És folyamatosan frissül, tehát ha mozog, a helyét visszateszi a felhőbe, bárki számára is, aki ezt az alkalmazást birtokolja. Tényleg gondolkodnia kell a következő kérdésben: "Megbízom-e ezeket az embereket az adataimmal? Bízom-e a vállalat biztonságában?" Mert végül, ha a címjegyzékét tárolják, és az érzékeny adatait, ha valaki veszélyezteti őket, most hozzáférhetnek hozzá.
És ez állandó hozzáférés.
Úgy van.
A dobozon kívül kell gondolkodnia. Csak azért, mert letölt egy új játékot, amely jól néz ki, ha megkérik a tartózkodási hely és a naptár adatait, és teljes hozzáférést kapnak a telefonhoz, bízod benne, hogy örökké meg fogják kapni ezt a hozzáférést.
Pontosan így van. Azt hiszem, valóban gondolkodnia kell a következő kérdésben: "Miért kérik ezt? Valóban szükségük van erre?" És rendben van azt mondani, hogy "tagadom", és megnézem, mi történik. Lehet, hogy nem fog semmire hatni, és akkor tényleg el kell gondolkoznia: "Nos, miért kérdezték igazán?"
Több ezer olyan alkalmazás van létrehozva, amely csak a személyes adatok gyűjtésére szolgál, és csak bizonyos értéket képvisel rajta, hogy letölthesse őket, de az igazi célja az, hogy információkat gyűjtsön rólad és ellenőrizze telefonját.
Valójában átfogó probléma, amikor ezeket a rosszindulatú entitásokat olyan alkalmazásokat hozza létre, amelyek hasonlóak más alkalmazásokhoz. Lehet, hogy úgy tesznek, mintha online bankod lennének, ha nem. Valójában csak adathalászatot végeznek a hitelesítő adataiért, tehát nagyon óvatosnak kell lennie.
Szeretném feltenni a kérdéseket, amelyeket felteszek mindenkinek, akik részt vesznek a show-n. Van egy speciális technológiai trend, amely leginkább aggasztja Önt
Van-e alkalmazás, szolgáltatás vagy szerkentyű, amelyet minden nap használsz, és amely csak csoda, és amely hatással van rád?
Ez egy jó kérdés. Nagyon rajongom a Google eszközkészletét. Valóban kölcsönhatásba lépnek, rendkívül jól működnek, és jól integrálódnak egymáshoz, tehát nagy Google Apps-felhasználó vagyok. és nem csak azért, mert a Google befektető a cégünkbe.
Van egy kicsit a Google mindenhol.
Van egy kis Google mindenhol.
Van valami, amit el kell mondani egy pillanatra, és hitelt ad nekik azért, amit tett. Nagyon szerették volna a világ információit kereshetővé és érthetővé tenni, és nagyon jó munkát végeztek ezzel.
Valójában csak egy új táblát, digitális táblát kapott az irodánkban - a Jamboard - és ez az egyik legmenőbb eszköz, amelyet hosszú ideje láttam. Csak az a képesség, hogy valamit támaszkodjon táblára, mentse le, hozza vissza, vagy interakcióba lépjen, és kapcsolatba lépjen valakivel a másik végén, vagy valakivel az iPad-en. Úgy értem, hogy ez csodálatos, és távolról beszélve az együttműködésről, ez csak sokkal könnyebbé teszi.
Izgalmas látni azt a fejlődést, amellyel együtt tudunk dolgozni. Nem kell, hogy az emberek csak egy irodában legyenek központilag, a régi régi ötleteket hozhatjuk, és azt hiszem, ez nagyon jó.
Nagyon, nagyon jó termék. Kipróbáltuk a laboratóriumban, és némi bajunk volt néhány szoftverrel, de az
Teljesen egyetértek.
Csak egy pár szoftverfrissítésre van szüksége, hogy egy kicsit könnyebbé váljon.
Ez egy kicsit hibás, de mégis csodálatos.
Hogyan tudnak az emberek utolérni, követni téged online, és nyomon követni, amit csinálsz?
Igen, a Twitter @JayKaplan vagyok. A Synack.com/blog weboldalunkon szintén remek hely hallgatni a legfrissebb kiberbiztonsági híreket, valamint azt, amit cégként csinálunk, és néha van néhány hozzászólás is. Én is a LinkedIn-en vagyok, oly gyakran küldök ott. Próbálom a lehető legjobban aktív maradni a közösségi médiában. Nem vagyok a legjobb.
Sok időbe telik.
Meg, de próbálok.
Neked is kell tenned a munkát.
Pontosan.
