Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Октября 2024)
В эти дни вы можете краудсорсировать практически все, включая безопасность.
В Synack он создал автоматизированную систему обнаружения угроз и сеть сотен исследователей в области безопасности по всему миру, чтобы вывести тестирование проникновения на новый уровень. В недавней дискуссии из Сан-Франциско мы говорили о состоянии кибербезопасности, хакерах в «белых шапках» и о шагах, которые он предпринимает лично для обеспечения своей безопасности в Интернете. Прочитайте стенограмму или посмотрите видео ниже.
Из всех ваших званий генеральный директор и соучредитель могут быть очень впечатляющими, но меня впечатляет работа в качестве члена красной команды в Министерстве обороны. Я понимаю, что вы не сможете рассказать нам всем
Как член любой красной команды как часть любого
Вы соединяете это с моей работой в АНБ, где вместо нападения в оборонительных целях я был на
Мне кажется, что вы применили тот же подход, привели его в частный сектор и, я полагаю, вы используете легионы хакеров и краудсорсинговую сетевую безопасность. Поговорите с нами немного о том, как это работает.
Подход, который мы используем, является скорее хакерским подходом. Мы используем глобальную сеть ведущих исследователей безопасности в более чем 50 странах мира, и мы эффективно платим им на основе результатов, чтобы выявить уязвимости в безопасности наших корпоративных клиентов, и теперь мы выполняем тонну работы с правительством также.
Вся цель здесь - больше взглянуть на проблему. Я имею в виду, что один или два человека смотрят на систему, сеть, приложение и пытаются избавить это приложение от уязвимостей. Другое дело, может быть, 100, 200 человек, каждый
Кто будет типичным клиентом? Будет ли это похоже на Microsoft, которая говорит: «Мы запускаем новую платформу Azure, приходите и пытайтесь пробить дыры в нашей системе?»
Это может быть любая крупная технологическая компания, такая как Microsoft, в крупном банке, где они хотят протестировать свои онлайн и мобильные приложения, банковские приложения. Это также может быть федеральное правительство; мы работаем с Министерством обороны и Службой внутренних доходов, чтобы заблокировать, куда вы отправляете информацию о налогоплательщике, или с точки зрения Министерства финансов, например, системы начисления заработной платы и других систем, в которых хранятся очень конфиденциальные данные. Важно, чтобы эти вещи не были скомпрометированы, как мы все видели в прошлом, это может быть очень, очень разрушительным. Наконец, они принимают более прогрессивный подход к решению проблемы, отказываясь от более коммодитизированных решений, которые мы видели в прошлом.
Как вы находите людей? Я полагаю, вы не просто публикуете это на доске объявлений и говорите: «Эй, направьте свою энергию на это, а затем, если вы найдете что-то, дайте нам знать, и мы заплатим вам».
В начале
Если вы посмотрите на некоторые статистические данные, они говорят, что к 2021 году у нас будет 3, 5 миллиона открытых рабочих мест по кибербезопасности. Существует огромный разрыв спроса и предложения, который мы пытаемся решить. Использование краудсорсинга для решения этой проблемы нам очень помогло, потому что нам не нужно нанимать их. Они внештатны и на самом деле просто больше смотрят на эту проблему, что приводит к лучшим результатам.
из
Могут ли эти хакеры заработать с вами больше денег, чем они могли бы сделать самостоятельно в Темной Паутине? Я имею в виду, выгодно ли быть белой шляпой в этой модели?
Существует распространенное заблуждение, что вы знаете, что вы работаете в Темной Паутине, и вы автоматически станете этим богатым человеком.
Тебя тоже много срывают.
Вас сильно обдирают, но реальность такова, что люди, с которыми мы работаем, очень профессиональны и этичны. Они работают в очень крупных корпорациях или других консалтинговых фирмах по безопасности, и есть люди, в которых есть много этических норм, которые они не хотят делать незаконно. Они хотят действовать, они любят взламывать, они любят ломать вещи, но они хотят делать это в среде, где они знают, что не будут преследоваться по закону.
Это хороший плюс. Что вы видите в качестве основных угроз
Это действительно интересно. Если бы вы задали мне вопрос пару лет назад, я бы сказал, что национальные государства являются наиболее хорошо оснащенными организациями, которые успешно справляются с кибератаками. Я имею в виду, что они сидят на складах эксплойтов нулевого дня, у них много денег и много ресурсов.
Объясните, что идея сидеть на этих запасах нулевых дней. Поскольку это то, что находится за пределами пространства безопасности, я не думаю, что обычный человек действительно понимает.
Таким образом, эксплойт нулевого дня - это уязвимость, возможно, в основной операционной системе, о которой, возможно, никто не знает, кроме этой одной организации. Они нашли это, они сидят на этом, и они используют это в своих интересах. Учитывая, сколько денег они вкладывают в исследования и разработки, а также сколько денег они платят за свои ресурсы, они могут найти эти вещи там, где их никто не сможет найти. Это большая причина, почему они так успешны в том, что они делают.
Обычно они делают это с целью получения разведданных и помогают нашим лицам, принимающим решения, принимать лучшие политические решения. За последние пару лет мы наблюдаем сдвиг, когда преступные синдикаты используют в своих интересах некоторые из этих инструментов утечки. Если вы посмотрите на утечку Shadow Brokers в качестве яркого примера этого, это становится довольно страшным. В то время как производители исправляют свои системы, предприятия и компании фактически не пользуются этими исправлениями, оставляя их уязвимыми для атак и позволяя плохим парням проникать в их организации и, например, вымогать вымогателей, пытаясь получить деньги из них.
Заражение WannaCry затронуло огромное количество систем, но не Windows 10. Это была эксплойт, который был исправлен, если люди скачали и установили, но многие миллионы людей этого не сделали, и это открыло дверь.
Это точно верно. Управление исправлениями - действительно сложная вещь для подавляющего большинства организаций. У них нет информации о том, какие версии запущены, какие ящики были исправлены, а какие нет, и это одна из причин, по которой мы создали всю нашу бизнес-модель - уделить больше внимания этой проблеме, проявляя инициативу в отношении раскрытия информации. системы, которые не были исправлены, и говорят нашим клиентам: «Эй, тебе лучше исправить это, или ты будешь следующим крупным нарушением, или атаки, подобные WannaCry, будут успешными против твоих организаций». И это клиенты, которые используют наши услуги на постоянной основе, это был действительно успешный пример использования для нас.
Вы продаете свои услуги для краткосрочного тестирования? Или может продолжаться?
Традиционно тестирование на проникновение являлось типом вовлечения, верно? Вы говорите, что приходите на неделю, две недели, дайте мне отчет, а потом мы увидимся через год, когда мы будем на следующей проверке. Мы пытаемся убедить клиентов в том, что инфраструктура очень динамична, вы постоянно вносите изменения в свои приложения, вы можете в любое время вводить новые уязвимости. Почему бы не взглянуть на эти вещи с точки зрения безопасности постоянно так же, как в жизненном цикле разработки?
И программное обеспечение как услуга - отличная модель. Сервис как услуга также отличная модель.
Верно. У нас есть большие программные компоненты, лежащие в основе всего этого, поэтому у нас есть целая платформа, которая облегчает не только взаимодействие между нашими исследователями и нашими клиентами, но мы также встраиваем автоматизацию, чтобы сказать: «Эй, чтобы сделать наши исследователи работают эффективнее и эффективнее, давайте автоматизировать то, на что мы не хотим, чтобы они проводили время ». Правильно? Все это низко висящие фрукты, дающие им больше контекста окружающей среды, в которую они идут, и мы обнаруживаем, что такое сочетание человека и машины работает очень хорошо и очень мощно в пространстве кибербезопасности.
Вы только что вернулись из Black Hat не так давно, где вы видели много страшных вещей, я бы подумал. Было ли там что-нибудь, что вас удивило?
Вы знаете, в Defcon было большое внимание к системам голосования, и я думаю, что мы все видели много прессы об этом. Я думаю, просто увидеть, как быстро хакеры могут взять под контроль одну из этих систем голосования при физическом доступе, довольно страшно. Это заставляет вас действительно подвергать сомнению результаты предыдущих выборов. Видя, что не так много систем, имеющих бумажные следы, я думаю, что это довольно пугающее предложение.
Но помимо этого, большое внимание было уделено критически важной инфраструктуре. Был один разговор, который был сосредоточен на взломе радиационных систем, которые обнаруживают радиацию на атомных электростанциях, и на том, как легко взломать эти системы. Я имею в виду, что все это довольно страшно, и я твердо верю, что наша критическая инфраструктура находится в довольно плохом месте. Я думаю, что большая часть этого сегодня фактически скомпрометирована, и по всей нашей критической инфраструктуре установлено множество имплантатов, которые просто ждут, когда их задействуют в случае, если мы вступим в войну с другим национальным государством.
Поэтому, когда вы говорите: «Наша критическая инфраструктура сегодня находится под угрозой», вы имеете в виду, что на электрических заводах, на атомных электростанциях, ветряных мельницах, размещенных там иностранными державами, есть код, который может быть активирован в любое время?
Да. Это точно верно. У меня нет ничего, чтобы поддержать это
Можем ли мы утешиться тем фактом, что у нас, вероятно, есть аналогичные рычаги воздействия на наших противников и наш код также находится в их критической инфраструктуре, так что, по крайней мере, возможно, существует взаимно гарантированное уничтожение, на которое мы можем положиться?
Я бы предположил, что мы делаем вещи, которые очень похожи.
Хорошо. Я предполагаю, что вы не можете сказать все, что могли знать, но я утешаюсь тем, что, по крайней мере, ведется война. Мы, очевидно, не хотим, чтобы это усиливалось каким-либо образом или в какой-либо форме, но, по крайней мере, мы сражаемся с обеих сторон, и нам, вероятно, следует больше сосредоточиться на обороне.
Верно. Я имею в виду, что мы определенно должны уделять больше внимания обороне, но наши наступательные способности так же важны. Вы знаете, будучи в состоянии понять, как наши противники атакуют нас и каковы их возможности
Итак, я хотел бы спросить вас о теме, которая была в новостях в
Так что трудно понять, верно? И я думаю, учитывая тот факт, что мы должны ставить под сомнение связи с этими организациями, мы должны просто быть осторожными в развертывании, особенно в широком распространении. Что-то столь же широко распространенное, как антивирусное решение, такое как Kaspersky, во всех наших системах, правительство проявляет осторожность, и, учитывая, что у нас есть решения, собственные решения, то же самое, что мы пытаемся создать наши ядерные боеголовки и наши системы противоракетной обороны в США, мы должны воспользоваться преимуществами решений, которые в настоящее время строятся в США с точки зрения кибербезопасности. Я думаю, это то, что они в конечном итоге пытаются сделать.
Как вы думаете, что вещь номер один, что большинство потребителей делают неправильно с точки зрения безопасности?
На потребительском уровне это просто очень просто, верно? Я думаю, что большинство людей не соблюдают гигиену безопасности. Зацикливание паролей, использование разных паролей на разных сайтах, использование инструментов управления паролями, двухфакторная аутентификация. Я не могу сказать вам, сколько людей сегодня просто не используют его, и меня удивляет, что сервисы, которыми пользуются потребители, не просто навязывают его им. Я думаю, что некоторые банки начинают это делать, и это замечательно видеть, но все же видеть, как учетные записи в социальных сетях подвергаются риску, потому что люди не имеют двухфакторных факторов, это просто безумие в моих глазах.
Итак, пока мы не пройдем базовую гигиену безопасности, я не думаю, что мы можем начать говорить о некоторых из более продвинутых методов защиты.
Итак, расскажите мне немного о вашей личной безопасности? Вы используете менеджер паролей?
Конечно. Конечно. я использую
VPN-сервисы могут немного замедлить ваше соединение, но их относительно легко настроить, и вы можете получить их за пару долларов в месяц.
Они очень просты в настройке, и вы хотите пойти с надежным поставщиком, потому что вы отправляете трафик
В то же время, просто делая простые вещи, такие как обновление моей системы, в любое время на моем мобильном телефоне происходит обновление
Это не так безумно. На самом деле не так сложно оставаться в безопасности как потребитель. Вам не нужно использовать очень продвинутые методы или решения, которые существуют. Просто подумай о здравом смысле.
Я думаю, что двухфакторная система - это система, которая сбивает с толку многих людей и запугивает многих. Они думают, что им придется проверять телефон каждый раз, когда они входят в свою учетную запись электронной почты, но это не так. Вы просто должны сделать это один раз, вы авторизуете этот ноутбук, и, делая это, кто-то другой не сможет войти в вашу учетную запись с любого другого ноутбука, что является огромной защитой.
Абсолютно. Да, по некоторым причинам это пугает многих людей. Некоторые из них установлены там, где вам, возможно, придется делать это каждые 30 дней или около того, но
Вы не были в этой отрасли так долго, но можете ли вы поделиться тем, как вы видели пейзаж
Я на самом деле был в кибербезопасности и действительно заинтересован в этом в течение 15 лет. С тех пор, как мне было 13 лет, я управлял компанией, предоставляющей общий веб-хостинг. Большое внимание уделялось защите сайтов наших клиентов, администрированию серверов и обеспечению того, чтобы эти серверы были заблокированы. Вы смотрите на то, как знание прогрессировало на сторону атакующего. Я думаю, что безопасность - это зарождающаяся отрасль сама по себе, она постоянно развивается, и всегда есть множество новых инновационных решений и технологий. Я думаю, что интересно наблюдать за быстрыми темпами инноваций в этом пространстве. Приятно видеть, что компании пользуются преимуществами прогрессивно ориентирующихся решений, как бы отходя от названий де-факто, о которых мы все слышали,
Раньше было так, что речь шла в основном о вирусах, и вам нужно было обновить свои определения, и вы заплатили бы компании за управление этой базой данных за вас, и если у вас это было, вы были в значительной степени защищены от 90 процентов угроз., Но угрозы развились намного быстрее сегодня. И в этом есть реальная составляющая, когда люди разоблачают себя, потому что они получают фишинговую атаку, они отвечают и сдают свои учетные данные. Вот как проникает в их организацию, и это почти что образовательная проблема, а не технологическая проблема.
Я думаю, что подавляющее большинство успешных атак не настолько развиты. Наименьший общий знаменатель безопасности любой организации
Я хотел бы увидеть исследование о том, сколько угроз основано только на электронной почте. Только тысячи и тысячи электронных писем выходят, и люди нажимают на вещи. Люди создают процесс и серию событий, которые выходят из-под контроля. Но это приходит через электронную почту, потому что электронная почта настолько проста и вездесуща, и люди ее недооценивают.
Сейчас мы начинаем видеть, как он переходит от просто атак по электронной почте к социальным фишинговым атакам и атакам с использованием фишинга. Что пугает, так это то, что в социальных сетях заложено неотъемлемое доверие. Если вы видите ссылку от друга
Позвольте мне спросить вас о безопасности мобильных устройств. В первые дни мы говорили людям, что если у вас есть устройство iOS, вам, вероятно, не нужен антивирус, если у вас есть устройство Android, возможно, вы хотите его установить. Мы достигли такого уровня, когда нам нужно программное обеспечение для обеспечения безопасности на каждом телефоне?
Я думаю, что мы должны действительно доверять безопасности, встроенной в сами устройства. Учитывая то, как Apple, например, спроектировала свою операционную систему, чтобы все было достаточно изолированно, не так ли? Приложение не может делать многое за пределами этого приложения. Android спроектирован немного по-другому, но мы должны понять, что когда мы даем приложениям доступ к таким вещам, как наше местоположение, наша адресная книга или любые другие данные, которые находятся на этом телефоне, они сразу же выходят за дверь, И оно постоянно обновляется, поэтому по мере вашего перемещения ваше местоположение отправляется обратно в облако тому, кому принадлежит это приложение. Вы должны подумать: «Доверяю ли я этим людям мою информацию? Доверяю ли я безопасности этой компании?» Потому что, в конечном счете, если они содержат вашу адресную книгу и ваши конфиденциальные данные, если кто-то скомпрометирует их, они теперь получат к ней доступ.
И это вечный доступ.
Верно.
Вы должны мыслить нестандартно. Просто потому, что вы загружаете новую игру, которая выглядит круто, если они запрашивают информацию о вашем местоположении и календаре, а также предоставляют полный доступ к телефону, вы доверяете им, что у вас есть все эти права навсегда.
Это точно верно. Я думаю, вам действительно нужно подумать: «Почему они спрашивают об этом? Им это действительно нужно?» И можно сказать «Запретить» и посмотреть, что получится. Может быть, это ни на что не повлияет, и тогда вам действительно стоит задуматься: «Ну, почему они действительно просили об этом?»
Существуют тысячи приложений, которые создаются только для сбора личной информации, они просто предлагают какую-то ценность для того, чтобы вы могли загрузить ее, но единственной целью является сбор информации о вас и мониторинг вашего телефона.
На самом деле это распространенная проблема, когда вы видите, как эти вредоносные объекты создают приложения, похожие на другие приложения. Может быть, они притворяются вашим онлайн-банком, когда это не так. Они на самом деле просто фишинг ваших учетных данных, так что вы действительно должны быть осторожны.
Я хочу задать вам вопросы, которые я задаю всем, кто приходит на это шоу. Есть ли особая технологическая тенденция, которая беспокоит вас больше всего,
Есть ли какое-либо приложение, сервис или гаджет, которым вы пользуетесь каждый день, и это просто внушает удивление, которое впечатляет вас?
Это хороший вопрос. Я большой поклонник набора инструментов Google. Они действительно взаимодействуют, работают очень хорошо и хорошо интегрируются друг с другом, поэтому я большой пользователь приложений Google. и это не только потому, что Google является инвестором в нашей компании.
Там немного Google везде.
Везде немного гугла.
Есть кое-что, что можно сказать, чтобы уделить минуту и отдать им должное за то, что они сделали. Они действительно хотели сделать информацию в мире доступной для поиска и понимания, и они проделали довольно хорошую работу в этом направлении.
На самом деле в нашем офисе только что появилась новая доска, цифровая доска - Jamboard - и это одно из самых крутых устройств, которые я видел за долгое время. Просто возможность вывесить что-нибудь на доске, сохранить и восстановить, или взаимодействовать и взаимодействовать с кем-то на другом конце или с кем-то на iPad. Я имею в виду, что это просто потрясающе, и говорить о сотрудничестве удаленно, это делает его намного проще.
Приятно видеть этот прогресс в том, как мы можем работать вместе. Нам не нужно, чтобы люди просто располагались в одном офисе, мы можем привносить старые плохие идеи, и я думаю, что это действительно круто.
Это очень, очень крутой продукт. Мы проверили это в лаборатории, и у нас были некоторые проблемы с некоторыми программами, но это
Абсолютно согласен.
Нужно всего лишь пару обновлений программного обеспечения, чтобы сделать его немного проще.
Это немного глючит, но все равно удивительно.
Как люди могут догнать вас, следовать за вами в Интернете и отслеживать, что вы делаете?
Да, я в Твиттере @JayKaplan. Наш блог на Synack.com/blog также является отличным местом для того, чтобы вы могли узнать последние новости о кибербезопасности и о том, что мы делаем как компания, и я время от времени размещаю там несколько публикаций. Я тоже на LinkedIn, часто пишу там. Я стараюсь оставаться настолько активным в социальных сетях, насколько могу. Я не самый лучший.
Это занимает много времени.
На это, но я пытаюсь.
У тебя тоже есть работа.
Именно так.
