Video: Jay Kaplan: Crowdsourcing Cybersecurity [Entire Talk] (Oktober 2024)
Du kan samle inn omtrent hva som helst i disse dager, inkludert sikkerhet.
Hos Synack bygde han et automatisert trusseldeteksjonssystem og et skapt nettverk av hundrevis av sikkerhetsforskere over hele kloden for å ta penetrasjonstesting til neste nivå. I en nylig diskusjon fra San Francisco, snakket vi om cybersecurity-tilstanden, hackere av hvite hatter og trinnene han tar personlig for å sikre sikkerheten hans på nettet. Les utskriften eller se videoen nedenfor.
Av alle titlene dine kan administrerende direktør og medgründer være veldig imponerende, men det som imponerer meg er å jobbe som medlem av et rødt team på Department of Defense. Jeg forstår at du kanskje ikke kan fortelle oss alle
Som medlem av et hvilket som helst rødt lag som en del av noe
Du parer det sammen med arbeidet mitt på NSA, der jeg i stedet for å angripe til defensive formål var på
Det ser ut til at du har tatt den samme tilnærmingen, brakt den inn i privat sektor, og du antar at du bruker legioner av hackere og skaffer nettverkssikkerhet. Snakk litt med oss om hvordan det fungerer.
Tilnærmingen vi tar er mer en hacker-drevet tilnærming. Det vi gjør er å utnytte et globalt nettverk av topp hvithat-sikkerhetsforskere i over 50 forskjellige land, og vi betaler dem effektivt på et resultatbasis for å avdekke sikkerhetsproblemer i våre bedriftskunder, og nå jobber vi massevis av jobben med regjeringen også.
Hele målet her er å få flere øyne på problemet. Jeg mener det er en ting å ha en eller to personer som ser på et system, et nettverk, et program og prøver å kvitte seg med den applikasjonen av sårbarheter. Det er en annen å si kanskje 100, 200 mennesker, alle sammen
Hvem vil være den typiske kunden? Ville det være som en Microsoft som sier "Vi lanserer en ny Azure-plattform, kommer og prøver å pirke hull i systemet vårt?"
Det kan være hvor som helst fra et stort teknologiselskap som Microsoft til en stor bank der de vil teste sine online og mobile applikasjoner, bankapplikasjoner. Det kan også være den føderale regjeringen; vi jobber med DoD og Internal Revenue Service for å låse deg der du sender inn skattyterinformasjon, eller fra DoDs perspektiv ting som lønnssystemer og andre systemer som inneholder veldig sensitive data. Det er viktig at disse tingene ikke blir kompromittert, som vi alle tidligere har sett at det kan være veldig, veldig skadelig. De tar endelig en mer progressiv tilnærming til å løse problemet, og beveger seg bort fra de mer kommodiserte løsningene vi har sett tidligere.
Hvordan finner du mennesker? Jeg kan tenke meg at du ikke bare legger det på et tavla og sier "Hei, rett energiene dine mot dette, og hvis du finner noe, gi oss beskjed, så betaler vi deg."
Tidlig
Hvis du ser på noen av statistikkene, sier de at innen 2021 vil vi ha 3, 5 millioner åpne nettbaserte sikkerhetsjobber. Det er en enorm tilkobling og utfordring fra tilbud og etterspørsel som vi prøver å løse. Å bruke crowddsourcing for å løse dette problemet har fungert enormt bra for oss fordi vi ikke trenger å ansette dem. De er frilans, og egentlig bare å få flere øyne på dette problemet gir bedre resultater.
Av
Kan disse hackerne tjene mer penger med deg enn de kunne gjort på egen hånd på Dark Web? Jeg mener, er det lønnsomt å være en hvit hatt i denne modellen?
Det er en vanlig misforståelse at du vet at du opererer i Dark Web og at du automatisk vil bli denne rike personen.
Du blir også dratt av mye.
Du blir dratt av mye, men virkeligheten er at menneskene vi jobber med er meget profesjonelle og etiske. De jobber for veldig store selskaper, eller andre sikkerhetskonsulentfirmaer, og det er mennesker som har mye etikk i seg at de ikke vil gjøre ting ulovlig. De vil handle, de elsker hacking, de elsker å bryte ting, men de vil gjøre det i et miljø der de vet at de ikke vil bli tiltalt.
Det er et fint pluss. Hva ser du på som de største truslene
Det er virkelig interessant. Hvis du ville ha stilt meg spørsmålet for et par år siden, vil jeg si nasjonalstatene er de mest velutstyrte organisasjonene som kan lykkes med cyberangrep. Jeg mener at de sitter på lagre med null dagers utnyttelse, de har mye penger og mye ressurser.
Forklar den ideen om å sitte på lagrene på null dager. Fordi det er noe som utenfor sikkerhetsrommet, tror jeg ikke den gjennomsnittlige personen virkelig forstår det.
Så en dagers utnyttelse effektivt er en sårbarhet i kanskje et stort operativsystem som kanskje ingen vet om andre enn den ene organisasjonen. De fant det, de sitter på det, og de bruker det til sin fordel. Gitt hvor mye penger de legger i forskning og utvikling, og gitt hvor mye penger de betaler ressursene sine, har de en mulighet til å finne disse tingene der ingen andre kan finne dem. Det er en stor grunn til at de er så vellykkede med det de gjør.
Vanligvis gjør de dette med det formål å oppnå etterretningstjenester og hjelpe våre beslutningstakere med å ta bedre politiske beslutninger. Vi ser et skifte de siste par årene der kriminalsyndikater drar nytte av noen av disse lekkasjeverktøyene til fordel for dem. Hvis du ser på Shadow Brokers-lekkasjen som et godt eksempel på det, blir det ganske skummelt der ute. Mens leverandører lapper systemene sine, drar ikke bedriftene og selskapene der ute faktisk fordel av de lappene og etterlater dem mottagelige for angrepene og gjør det mulig for skurkene å bryte seg inn i organisasjonene sine og legge ut ransomware, som et eksempel, for å prøve å få penger ut av dem.
WannaCry-infeksjonen påvirket et enormt antall systemer, men ikke Windows 10-systemer. Det var en utnyttelse som hadde blitt lappet hvis folk hadde lastet ned og installert, men mange millioner mennesker hadde ikke gjort det og som åpnet døren.
Det er helt riktig. Patch management er en virkelig vanskelig ting fremdeles for de aller fleste organisasjoner. De har ikke tak i hvilke versjoner som kjører, og hvilke bokser som har blitt lappet og hvilke som ikke har det, og det er en av grunnene til at vi opprettet hele vår forretningsmodell - å få flere øyne på dette problemet, være proaktive for å avdekke systemene som ikke har blitt oppdatert, og som forteller kundene våre: "Hei, bør du ordne disse tingene, ellers vil du bli det neste store bruddet eller angrep som WannaCry kommer til å bli vellykket mot organisasjonene dine." Og det er kunder som bruker tjenestene våre fortløpende, dette har vært en virkelig vellykket brukssak for oss.
Selger du tjenestene dine for kortvarig testing? Eller kan det være pågående også?
Tradisjonelt har penetrasjonstesting vært en tidsmessig type engasjement, ikke sant? Du sier kom inn i en uke, to uker, gi meg en rapport, så ser vi deg et år senere når vi er oppe til neste revisjon. Vi prøver å flytte kundene til mentaliteten om at infrastrukturen er svært dynamisk, du skyver ut kodeendringer til applikasjonene dine hele tiden, og du kan introdusere nye sårbarheter når som helst. Hvorfor ikke se på disse tingene fra et sikkerhetsperspektiv kontinuerlig på samme måte som du er med utviklingslivssyklusen din?
Og programvare som tjeneste er en flott modell. Tjeneste som tjeneste er også en flott modell.
Det er riktig. Vi har store programvarekomponenter på baksiden av dette, så vi har en hel plattform som letter ikke bare samspillet mellom forskerne og kundene våre, men vi bygger også automatisering for å si "Hei, for å lage forskerne våre er mer effektive og effektive på jobbene sine. La oss automatisere de tingene vi ikke vil at de skal bruke tid på. " Ikke sant? All den lavt hengende frukten, noe som gir dem mer kontekst av miljøet de går inn i, og vi finner ut at den sammenkoblingen av menneske og maskin fungerer ekstremt bra, og at den er veldig kraftig på nettets sikkerhet.
Du kom akkurat tilbake fra Black Hat for ikke så lenge siden, der du så mye skumle greier, kunne jeg tenke meg. Var det noe der som overrasket deg?
Du vet, det var et stort fokus hos Defcon på stemmesystemer, og jeg tror vi alle har sett mye press om det. Jeg tror det er ganske skummelt å se hvor raskt hackerne er i stand til å ta kontroll over et av disse stemmesystemene gitt fysisk tilgang. Det får deg til å stille spørsmål ved tidligere valgresultater. Ser det at det ikke er en hel masse systemer som har papirstier, synes jeg det er et ganske skummelt forslag.
Men utover det var det mye fokus på kritisk infrastruktur. Det var en snakk som fokuserte på i utgangspunktet å hacking av strålingssystemene som oppdager stråling ved kjernekraftverk og hvor lett det er å slags bryte inn i disse systemene. Jeg mener at ting er ganske skummelt, og jeg tror bestemt at den kritiske infrastrukturen vår er på et ganske dårlig sted. Jeg tror det meste faktisk er kompromittert i dag, og det er en rekke implantater som sitter over hele vår kritiske infrastruktur og bare venter på å bli utnyttet i tilfelle vi går i krig med en annen nasjonalstat.
Så når du sier "Vår kritiske infrastruktur er kompromittert i dag", mener du at det er kode som sitter ved elektriske fabrikker, ved kjernefysiske generasjonsanlegg, vindmølleparker som ble plassert der av utenlandske makter som kunne aktiveres når som helst?
Ja. Det er helt riktig. Jeg har ikke noe nødvendigvis å støtte det
Kan vi trøste oss med det faktum at vi sannsynligvis har en lignende innflytelse over våre motstandere og har koden vår i deres kritiske infrastruktur så i det minste er det kanskje en gjensidig forsikret ødeleggelse vi kan stole på?
Jeg antar at vi gjør ting som er veldig like.
Greit. Jeg antar at du ikke kan si alt du kanskje vet, men jeg trøster meg med at i det minste at krigen utføres. Vi ønsker tydeligvis ikke at dette skal eskalere på noen måte eller form, men i det minste kjemper vi på begge sider, og vi burde nok fokusere mer på forsvar.
Det er riktig. Jeg mener, vi burde absolutt fokusere mer på forsvar, men våre offensive evner er like viktige. Du vet å kunne forstå hvordan våre motstandere angriper oss og hva deres evner
Så jeg ønsket å spørre deg om et tema som har vært i nyhetene i
Så, vanskelig å vite rett? Og jeg tror gitt at vi må stille spørsmål ved båndene til disse organisasjonene, må vi bare være forsiktige med distribusjon, spesielt utbredt distribusjon. Noe så utbredt som en antivirusløsning som Kaspersky på alle systemene våre, regjeringen er nøye, og gitt at vi har løsninger, hjemmelagte løsninger, på samme måte som vi prøver å bygge våre kjernefysiske stridshoder og våre missilforsvarssystemer i USA, vi bør dra nytte av løsningene som bygges i USA, noen fra et cybersecurity-perspektiv. Jeg tror det er det de til slutt prøver å gjøre.
Hva tror du er den viktigste tingen som de fleste forbrukere gjør galt fra et sikkerhetsperspektiv?
På forbrukernivå er det bare veldig grunnleggende, ikke sant? Jeg tror de fleste ikke praktiserer sikkerhetshygiene. Sykle passord, bruker forskjellige passord på forskjellige nettsteder, bruker passordbehandlingsverktøy, tofaktorautentiseringer. Jeg kan ikke fortelle deg hvor mange som i dag bare ikke bruker det, og det overrasker meg at tjenestene som forbrukerne bruker ikke bare tvinger det til dem. Jeg tror noen av bankene begynner å gjøre det, noe som er flott å se, men å se at kontoer på sosiale medier fortsatt blir kompromittert fordi folk ikke har tofaktorer på er bare sprøtt i mine øyne.
Så inntil vi kommer forbi den grunnleggende sikkerhetshygienen, tror jeg ikke vi kan begynne å snakke om noen av de mer avanserte teknikkene for å beskytte seg selv.
Så fortell meg litt om din personlige sikkerhetspraksis? Bruker du en passordbehandling?
Selvfølgelig. Selvfølgelig. jeg bruker
VPN-tjenester kan redusere forbindelsen din litt, men de er relativt enkle å konfigurere, og du kan få en for et par dollar i måneden.
De er superenkle å sette opp, og du vil gå med en anerkjent leverandør fordi du sender trafikk
Samtidig er det bare å gjøre enkle ting som å oppdatere systemet mitt, når som helst det er en oppdatering på mobilen
Det er ikke så sprøtt. Det er virkelig ikke så vanskelig å være trygg som forbruker. Du trenger ikke å bruke veldig avanserte teknikker eller løsninger som finnes der ute. Bare tenk på sunn fornuft.
Jeg tror to-faktor er et system som forvirrer mange mennesker og skremmer mange mennesker. De tror at de blir nødt til å sjekke av på telefonen hver gang de logger seg på e-postkontoen sin, og det er ikke tilfelle. Du må bare gjøre det en gang, du autoriserer den bærbare datamaskinen, og ved å gjøre det kan noen andre ikke logge seg på kontoen din fra noen annen bærbar PC, noe som er en enorm beskyttelse.
Absolutt. Ja, av en eller annen grunn skremmer det mange mennesker. Noen av dem er satt opp der du kanskje må gjøre det hver 30. dag eller så, men
Du har ikke vært i denne bransjen så lenge, men kan du dele hvordan du har sett landskapet
Jeg har faktisk vært i cybersecurity og virkelig interessert i det i kanskje 15 år. Helt siden jeg var 13 år og drev et delt webhotellfirma. Det var mye fokus på å beskytte kundenes nettsteder og serveradministrasjon, og sørge for at serverne ble låst. Du ser på hvordan kunnskap har kommet til angriperens side. Jeg tror sikkerhet er en begynnende industri i seg selv, den utvikler seg hele tiden, og det er alltid en rekke nye innovative løsninger og teknologi. Jeg synes det er spennende å se det raske innovasjonshastigheten i dette rommet. Det er spennende å se selskaper dra nytte av flere av de gradvis benyttede løsningene, på en måte å bevege seg bort fra defacto-navnene som vi alle har hørt om,
Det pleide å være at det meste handlet om virus, og at du må oppdatere definisjonene dine, og du ville betale et selskap for å administrere den databasen for deg, og så lenge du hadde at du stort sett var trygg mot 90 prosent av truslene. Men truslene utviklet seg mye raskere i dag. Og det er en komponent i den virkelige verden der folk utsetter seg for fordi de får et phishing-angrep, de svarer og overlater legitimasjonen. Det er slik organisasjonen deres blir penetrert, og det er nesten mer et pedagogisk spørsmål enn et teknologisk spørsmål.
Jeg tror de aller fleste angrep som er vellykket ikke er så avanserte. Den minst fellesnevneren for enhver organisasjons sikkerhet
Jeg vil gjerne se forskning på hvor mange trusler som bare er e-postbasert. Bare tusenvis og tusenvis av e-postmeldinger som går ut og folk som klikker på ting. Mennesker som skaper en prosess og en serie hendelser som går ut av kontroll. Men det kommer via e-post fordi e-post er så enkelt og allestedsnærværende og folk undervurderer det.
Vi begynner å se at det nå går over fra bare e-postbaserte angrep til sosial phishing, spyd-phishing-angrep. Det som er skummelt med det, er at det er en iboende tillit bakt inn i sosiale medier. Hvis du ser en lenke fra en venn av en
La meg spørre deg om mobilsikkerhet. Tidlige dager fortalte vi folk at hvis du har en iOS-enhet, trenger du sannsynligvis ikke antivirus, hvis du har en Android-enhet, kanskje du vil installere den. Har vi kommet til et punkt der vi trenger sikkerhetsprogramvare på hver telefon?
Jeg tror vi virkelig må stole på sikkerheten som er bakt inn i enhetene selv. Gitt hvordan Apple for eksempel har designet operativsystemet sitt slik at alt er ganske sandkasset, ikke sant? En applikasjon kan ikke gjøre mye utenfor rammen for den applikasjonen. Android er designet litt annerledes, men det vi trenger å innse er at når vi gir applikasjoner tilgang til ting som vår beliggenhet, adresseboken vår eller andre data som er på den telefonen, så går den øyeblikkelig ut døra.. Og den blir kontinuerlig oppdatert, så når du flytter posisjonen din blir sendt tilbake opp i skyen til hvem som eier dette programmet. Du må virkelig tenke på "Stoler jeg på disse menneskene med informasjonen min? Stoler jeg på sikkerheten til dette selskapet?" For til slutt hvis de huser adresseboken din og sensitive data, hvis noen kompromitterer dem, har de nå tilgang til den.
Og det er evig tilgang.
Det er riktig.
Du må tenke utenfor boksen. Bare fordi du laster ned et nytt spill som ser kult ut, hvis de ber om stedsinformasjon og kalenderinformasjon og fullstendig tilgang til telefonen, stoler du på at de har all den tilgangen for alltid.
Det er helt riktig. Jeg tror du virkelig trenger å tenke på "Hvorfor ber de om dette? Trenger de dette?" Og det er greit å si "Nekt" og se hva som skjer. Kanskje det ikke vil påvirke noe, og da må du virkelig lure på "Vel, hvorfor ba de virkelig om det?"
Det er tusenvis av apper som er opprettet bare for å samle personlig informasjon, de tilbyr bare litt verdi på toppen av det for å få deg til å laste ned den, men det virkelige eneste formålet er å samle informasjon om deg og overvåke telefonen din.
Det er faktisk et gjennomgripende problem der du ser at disse ondsinnede enhetene lager apper som ser ut som andre apper. Kanskje later de til å være nettbanken din når de ikke er det. De er faktisk bare phishing etter legitimasjon, så du må virkelig være forsiktig.
Jeg vil stille deg spørsmålene jeg stiller alle som kommer på dette showet. Er det en spesiell teknologisk trend som bekymrer deg mest for det
Er det en app, eller en tjeneste, eller en dings du bruker hver dag som bare inspirerer til undring, som imponerer deg?
Det er et godt spørsmål. Jeg er en stor tilhenger av Googles pakke med verktøy. De samhandler virkelig og fungerer ekstremt bra og integrerer godt sammen, så jeg er en stor bruker av Google-apper. og det er ikke bare fordi Google er en investor i selskapet vårt.
Det er litt Google overalt.
Det er litt Google overalt.
Det er noe å si for å ta et øyeblikk og gi dem æren for det de har gjort. De ønsket virkelig å gjøre verdens informasjon søkbar og forståelig, og de har gjort en ganske god jobb med det.
Vi har faktisk nettopp fått en ny tavle, digital tavle på kontoret - Jamboard - og det er et av de kuleste enhetene jeg har sett på lenge. Bare muligheten til å tavle noe ut, lagre det og ta det opp igjen, eller samhandle og engasjere seg med noen i en annen ende, eller noen på en iPad. Jeg mener det er bare fantastisk, og hvis du snakker om samarbeid eksternt, gjør det det så mye enklere.
Det er spennende å se den progresjonen på den måten at vi kan samarbeide. Vi trenger ikke å ha folk bare sentralt på ett kontor, vi kan ta med dårlige gamle ideer, og jeg synes det er veldig kult.
Det er veldig, veldig kult produkt. Vi testet det i laboratoriet, og vi hadde litt problemer med noe av programvaren, men det er det
Absolutt enig.
Den trenger bare et par programvareoppdateringer for å gjøre det litt enklere.
Det er litt buggy, men det er fremdeles fantastisk.
Hvordan kan folk få tak i deg, og følge deg på nettet, og følge med på hva du gjør?
Ja, jeg er på Twitter @JayKaplan. Bloggen vår på Synack.com/blog, det er også et flott sted for deg å høre det siste om cybersecurity-nyheter, og hva vi gjør som selskap, og jeg har noen innlegg der en gang i blant. Jeg er på LinkedIn også, og legger ut der så ofte. Jeg prøver å være så aktiv på sosiale medier som jeg kan. Jeg er ikke den beste.
Det tar mye tid.
På det, men jeg prøver.
Du har også en jobb å gjøre.
Nøyaktig.