วีดีโอ: Jay Kaplan: In Hackers We Trust (กันยายน 2024)
คุณสามารถ crowdsource เกี่ยวกับอะไรก็ได้ในวันนี้รวมถึงความปลอดภัย
ที่ Synack เขาสร้างระบบตรวจจับภัยคุกคามอัตโนมัติและสร้างเครือข่ายนักวิจัยด้านความปลอดภัยหลายร้อยรายทั่วโลกเพื่อทำการทดสอบการเจาะระบบในระดับต่อไป ในการสนทนาเมื่อเร็ว ๆ นี้จากซานฟรานซิสโกเราได้พูดคุยเกี่ยวกับสถานะของการรักษาความปลอดภัยทางอินเทอร์เน็ตแฮกเกอร์หมวกขาวและขั้นตอนที่เขาใช้เป็นการส่วนตัวเพื่อรับรองความปลอดภัยออนไลน์ของเขา อ่านบทบรรยายหรือดูวิดีโอด้านล่าง
ในทุกเรื่องของคุณซีอีโอและผู้ร่วมก่อตั้งอาจจะประทับใจมาก แต่สิ่งที่ทำให้ฉันประทับใจคือการทำงานในฐานะสมาชิกของทีมสีแดงที่กระทรวงกลาโหม ฉันเข้าใจว่าคุณอาจไม่สามารถบอกเราได้ทั้งหมด
ในฐานะสมาชิกของทีมสีแดงใด ๆ ที่เป็นส่วนหนึ่งของใด ๆ
คุณเป็นคู่กับงานของฉันที่ NSA ซึ่งแทนที่จะโจมตีเพื่อวัตถุประสงค์ในการป้องกันฉันอยู่ใน
ฉันคิดว่าคุณได้ใช้วิธีการแบบเดียวกันนำมาสู่ภาคเอกชนและคุณก็เดาว่าคุณใช้แฮกเกอร์และการรักษาความปลอดภัยเครือข่ายการระดมทุนแบบพยุหเสนา พูดคุยกับเราเล็กน้อยเกี่ยวกับวิธีการทำงาน
วิธีการที่เราดำเนินการนั้นเป็นวิธีที่ขับเคลื่อนโดยแฮ็กเกอร์มากกว่า สิ่งที่เราทำคือยกระดับเครือข่ายทั่วโลกของนักวิจัยด้านความปลอดภัยหมวกขาวชั้นนำในกว่า 50 ประเทศและเราจ่ายเงินอย่างมีประสิทธิภาพบนพื้นฐานของผลการค้นพบช่องโหว่ด้านความปลอดภัยทั่วทั้งลูกค้าองค์กรของเราและตอนนี้เรากำลังทำงานกับรัฐบาลมากมาย เช่นกัน
เป้าหมายทั้งหมดที่นี่คือการได้รับปัญหามากขึ้น ฉันหมายความว่าการมีคนหนึ่งหรือสองคนกำลังดูระบบเครือข่ายแอปพลิเคชันและพยายามกำจัดช่องโหว่ของแอปพลิเคชันนั้น เป็นอีกเรื่องหนึ่งที่อาจพูดได้ 100, 200 คนทุกคน
ใครจะเป็นลูกค้าทั่วไป มันจะเป็นเหมือน Microsoft ที่บอกว่า "เรากำลังเปิดตัวแพลตฟอร์ม Azure ใหม่มาลองและเจาะรูในระบบของเราหรือไม่"
สามารถอยู่ที่ใดก็ได้จาก บริษัท เทคโนโลยีขนาดใหญ่เช่น Microsoft ไปจนถึงธนาคารขนาดใหญ่ที่พวกเขาต้องการทดสอบแอปพลิเคชันออนไลน์และมือถือแอปพลิเคชันธนาคาร มันอาจเป็นรัฐบาลกลาง เรากำลังทำงานร่วมกับกระทรวงและบริการสรรพากรเพื่อล็อคตำแหน่งที่คุณส่งข้อมูลผู้เสียภาษีหรือจากมุมมองของกระทรวงเช่นระบบบัญชีเงินเดือนและระบบอื่น ๆ ที่มีข้อมูลที่ละเอียดอ่อนมาก เป็นสิ่งสำคัญที่สิ่งเหล่านี้จะไม่ถูกทำลายอย่างที่เราเคยเห็นในอดีตอาจเป็นเรื่องที่สร้างความเสียหายได้อย่างมาก ในที่สุดพวกเขาก็ใช้วิธีการที่ก้าวหน้ายิ่งขึ้นในการแก้ปัญหาย้ายออกไปจากโซลูชันที่มีการซื้อขายเพิ่มขึ้นที่เราเคยเห็นในอดีต
คุณจะหาคนได้อย่างไร ฉันคิดว่าคุณไม่ได้โพสต์ไว้ในกระดานข้อความและพูดว่า "เฮ้พาพลังงานไปสู่สิ่งนี้แล้วถ้าคุณพบบางอย่างแจ้งให้เราทราบแล้วเราจะจ่ายให้คุณ"
ในช่วงแรก ๆ
ถ้าคุณดูสถิติบางอย่างพวกเขาบอกว่าภายในปี 2564 เราจะมีงานด้านความปลอดภัยทางอินเทอร์เน็ตเปิด 3.5 ล้านงาน มีอุปทานและอุปสงค์จำนวนมากตัดการเชื่อมต่อและความท้าทายที่เรากำลังพยายามแก้ไข การใช้ crowdsourcing เพื่อแก้ปัญหานี้ได้ผลดีมากสำหรับเราเพราะเราไม่ต้องจ้างพวกเขา พวกเขาเป็นอิสระและจริง ๆ แล้วเพิ่งได้รับการเพิ่มเติมเกี่ยวกับปัญหานี้ให้ผลลัพธ์ที่ดีกว่า
ของ
แฮกเกอร์เหล่านี้สามารถสร้างรายได้กับคุณมากกว่าที่พวกเขาจะทำได้ด้วยตัวเองบน Dark Web หรือไม่? ฉันหมายถึงมันเป็นผลกำไรที่จะเป็นหมวกสีขาวในรุ่นนี้หรือไม่?
มีความเข้าใจผิดทั่วไปที่คุณรู้ว่าคุณทำงานใน Dark Web และคุณจะเป็นคนร่ำรวยโดยอัตโนมัติ
คุณยังได้รับ ripped off มาก
คุณถูกฉีกออกไปมาก แต่ความจริงคือคนที่เราทำงานด้วยมีความเป็นมืออาชีพและมีจริยธรรม พวกเขากำลังทำงานให้กับ บริษัท ขนาดใหญ่มากหรือ บริษัท ที่ปรึกษาด้านความปลอดภัยอื่น ๆ และมีคนที่มีจริยธรรมมากมายในตัวพวกเขาที่พวกเขาไม่ต้องการทำสิ่งผิดกฎหมาย พวกเขาต้องการที่จะกระทำพวกเขารักการแฮ็กพวกเขารักที่จะทำลายสิ่งต่าง ๆ แต่พวกเขาต้องการทำในสภาพแวดล้อมที่พวกเขารู้ว่าพวกเขาจะไม่ถูกดำเนินคดี
นั่นเป็นข้อดีที่ดี สิ่งใดที่คุณเห็นว่าเป็นภัยคุกคามที่สำคัญ
มันน่าสนใจจริงๆ หากคุณถามคำถามฉันเมื่อสองสามปีก่อนฉันจะบอกว่ารัฐชาติเป็นองค์กรที่มีอุปกรณ์ครบครันที่สุดที่จะประสบความสำเร็จในการโจมตีทางไซเบอร์ ฉันหมายความว่าพวกเขากำลังนั่งอยู่บนคลังเก็บของหาประโยชน์จาก zero-day พวกเขามีเงินจำนวนมากและทรัพยากรมากมาย
อธิบายแนวคิดของการนั่งบนคลังสินค้าเหล่านั้นในเวลาไม่กี่วัน เพราะนั่นคือสิ่งที่อยู่นอกพื้นที่รักษาความปลอดภัยฉันไม่คิดว่าคนทั่วไปจะเข้าใจจริงๆ
ดังนั้นการใช้ประโยชน์จาก zero-day อย่างมีประสิทธิภาพจึงเป็นจุดอ่อนในระบบปฏิบัติการหลักที่อาจไม่มีใครรู้เรื่องอื่นนอกจากองค์กรหนึ่ง พวกเขาพบว่าพวกเขากำลังนั่งอยู่บนมันและพวกเขาใช้มันเพื่อประโยชน์ของพวกเขา เมื่อพิจารณาจากจำนวนเงินที่พวกเขาใช้ในการวิจัยและพัฒนาและได้รับเงินจำนวนเท่าใดพวกเขาจึงมีความสามารถในการค้นหาสิ่งเหล่านี้ที่ไม่มีใครสามารถค้นหาได้ นั่นเป็นเหตุผลใหญ่ว่าทำไมพวกเขาประสบความสำเร็จในสิ่งที่พวกเขาทำ
โดยปกติแล้วพวกเขากำลังทำสิ่งนี้เพื่อจุดประสงค์ในการรับข่าวกรองและช่วยผู้ตัดสินใจในการตัดสินใจทางนโยบายที่ดีขึ้น เราเห็นการเปลี่ยนแปลงในช่วงสองสามปีที่ผ่านมาซึ่งองค์กรอาชญากรรมกำลังใช้ประโยชน์จากเครื่องมือรั่วเหล่านี้เพื่อประโยชน์ของพวกเขา หากคุณดูที่ Shadow Brokers รั่วไหลเป็นตัวอย่างที่ดีของมันก็น่ากลัวออกมี ในขณะที่ผู้ขายกำลังทำการปะแก้ระบบของพวกเขาองค์กรและ บริษัท ต่าง ๆ ไม่ได้ใช้ประโยชน์จากแพทช์เหล่านั้นทำให้พวกเขาอ่อนแอต่อการถูกโจมตีและทำให้คนร้ายสามารถบุกเข้ามาในองค์กรของพวกเขาและวางแรนซัมแวร์ เงินออกจากพวกเขา
การติดเชื้อ WannaCry ส่งผลกระทบต่อระบบจำนวนมาก แต่ไม่ใช่ระบบ Windows 10 มันเป็นการหาประโยชน์ที่ได้รับการติดตั้งถ้าผู้คนดาวน์โหลดและติดตั้ง แต่หลายล้านคนไม่ได้และนั่นเปิดประตู
ถูกต้องแล้ว การจัดการแพทช์เป็นสิ่งที่ยากยิ่งสำหรับองค์กรส่วนใหญ่ พวกเขาไม่ได้จัดการกับเวอร์ชันที่กำลังทำงานอยู่และกล่องใดที่ได้รับการแก้ไขและกล่องที่ยังไม่ได้และเป็นหนึ่งในเหตุผลที่เราสร้างรูปแบบธุรกิจทั้งหมดของเรา - รับทราบปัญหานี้มากขึ้นเป็นเชิงรุกเกี่ยวกับการเปิดเผย ระบบที่ยังไม่ได้รับการติดตั้งและบอกกับลูกค้าของเรา: "เฮ้คุณแก้ไขสิ่งเหล่านี้ได้ดีขึ้นหรือคุณจะเป็นการฝ่าฝืนหรือการโจมตีครั้งใหญ่ครั้งต่อไปอย่าง WannaCry จะประสบความสำเร็จกับองค์กรของคุณ" และเป็นลูกค้าที่ใช้บริการของเราอย่างต่อเนื่องนี่เป็นกรณีการใช้งานที่ประสบความสำเร็จอย่างแท้จริงสำหรับเรา
คุณขายบริการของคุณเพื่อการทดสอบระยะสั้นหรือไม่? หรืออาจจะต่อเนื่องเช่นกัน?
การทดสอบการเจาะแบบเดิมเป็นประเภทของการมีส่วนร่วมในเวลาใช่ไหม? คุณบอกว่ามาเป็นเวลาหนึ่งสัปดาห์สองสัปดาห์ให้ฉันรายงานแล้วเราจะเห็นคุณอีกหนึ่งปีต่อมาเมื่อเราพร้อมสำหรับการตรวจสอบต่อไปของเรา เราพยายามที่จะทำให้ลูกค้าเปลี่ยนไปสู่ความคิดที่ว่าโครงสร้างพื้นฐานนั้นมีความเคลื่อนไหวสูงคุณกำลังผลักดันการเปลี่ยนแปลงโค้ดในแอปพลิเคชั่นของคุณตลอดเวลาคุณสามารถแนะนำช่องโหว่ใหม่ได้ตลอดเวลา ทำไมไม่ลองดูสิ่งนี้จากมุมมองด้านความปลอดภัยอย่างต่อเนื่องเช่นเดียวกับที่คุณมีในวงจรการพัฒนาของคุณ
และซอฟต์แวร์ในฐานะบริการเป็นรูปแบบที่ยอดเยี่ยม บริการเป็นบริการยังเป็นแบบอย่างที่ดี
ถูกตัอง. เรามีส่วนประกอบซอฟต์แวร์ขนาดใหญ่ที่อยู่ด้านหลังทั้งหมดดังนั้นเราจึงมีแพลตฟอร์มทั้งหมดที่อำนวยความสะดวกไม่เพียง แต่การมีปฏิสัมพันธ์ระหว่างนักวิจัยและลูกค้าของเราเท่านั้น แต่เรายังสร้างระบบอัตโนมัติในการพูดว่า "เฮ้เพื่อที่จะทำให้ นักวิจัยของเรามีประสิทธิภาพและประสิทธิผลในการทำงานมากขึ้นเรามาทำสิ่งที่เราไม่ต้องการให้พวกเขาใช้เวลาโดยอัตโนมัติ " ขวา? ผลไม้แขวนลอยต่ำทั้งหมดให้บริบทของสิ่งแวดล้อมที่พวกเขาเดินเข้ามามากขึ้นและเราพบว่าการจับคู่ระหว่างมนุษย์กับเครื่องจักรทำงานได้ดีมากและมีประสิทธิภาพมากในพื้นที่รักษาความปลอดภัยทางไซเบอร์
คุณเพิ่งกลับมาจาก Black Hat เมื่อไม่นานมานี้ที่คุณเห็นสิ่งที่น่ากลัวมากมายฉันจะจินตนาการ มีอะไรบ้างที่ทำให้คุณประหลาดใจ
คุณรู้ไหมว่า Defcon ให้ความสำคัญกับระบบการลงคะแนนและฉันคิดว่าเราทุกคนเห็นข่าวมากมายเกี่ยวกับเรื่องนี้ ฉันคิดว่าแค่เห็นว่าแฮ็กเกอร์สามารถควบคุมระบบการลงคะแนนได้เร็วแค่ไหนเนื่องจากการเข้าถึงทางกายภาพนั้นค่อนข้างน่ากลัว มันทำให้คุณถามถึงผลการเลือกตั้งที่ผ่านมาจริงๆ เมื่อเห็นว่ามีระบบไม่มากนักที่มีเส้นทางกระดาษฉันคิดว่านั่นเป็นข้อเสนอที่น่ากลัวทีเดียว
แต่นอกเหนือจากนั้นก็มีการมุ่งเน้นโครงสร้างพื้นฐานที่สำคัญเป็นอย่างมาก มีการพูดคุยอย่างหนึ่งที่มุ่งเน้นไปที่การแฮ็กระบบรังสีที่ตรวจจับรังสีที่โรงไฟฟ้านิวเคลียร์โดยทั่วไปและวิธีที่ง่ายที่จะเจาะเข้าไปในระบบเหล่านั้น ฉันหมายถึงสิ่งที่น่ากลัวและฉันเชื่อมั่นอย่างยิ่งว่าโครงสร้างพื้นฐานที่สำคัญของเราอยู่ในสถานที่ที่ไม่ดีนัก ฉันคิดว่าส่วนใหญ่ของมันถูกบุกรุกจริง ๆ ในวันนี้และมีการปลูกฝังจำนวนมากนั่งอยู่บนโครงสร้างพื้นฐานที่สำคัญของเราเพียงแค่รอให้มีการใช้ประโยชน์ในกรณีที่เราไปทำสงครามกับรัฐชาติอื่น
ดังนั้นเมื่อคุณพูดว่า "โครงสร้างพื้นฐานที่สำคัญของเราถูกบุกรุกในวันนี้" คุณหมายถึงว่ามีรหัสนั่งอยู่ที่โรงงานไฟฟ้าที่โรงไฟฟ้านิวเคลียร์ฟาร์มกังหันลมที่ถูกวางไว้ที่นั่นโดยอำนาจต่างประเทศที่สามารถเปิดใช้งานได้ตลอดเวลา?
ใช่. ถูกต้องแล้ว ฉันไม่มีอะไรจำเป็นต้องสำรอง
เราสามารถใช้ความสะดวกสบายใด ๆ ในความจริงที่ว่าเราอาจมีเลเวอเรจที่คล้ายคลึงกันมากกว่าคู่ต่อสู้ของเราและมีรหัสของเราในโครงสร้างพื้นฐานที่สำคัญของพวกเขาด้วยดังนั้นอย่างน้อยที่สุดก็อาจมีการทำลายล้าง
ฉันคิดว่าเรากำลังทำสิ่งที่คล้ายกันมาก
ถูก ฉันคิดว่าคุณไม่สามารถพูดทุกสิ่งที่คุณอาจจะรู้ แต่อย่างน้อยฉันก็รู้สึกสบายใจที่สงครามกำลังยืดเยื้อ เห็นได้ชัดว่าเราไม่ต้องการให้สิ่งนี้เพิ่มขึ้นในรูปร่างหรือรูปแบบใด ๆ แต่อย่างน้อยเราก็กำลังต่อสู้กับทั้งสองฝ่ายและเราน่าจะเน้นการป้องกันมากขึ้น
ถูกตัอง. ฉันหมายถึงเราควรเน้นการป้องกันมากขึ้น แต่ความสามารถที่น่ารังเกียจของเรานั้นสำคัญ คุณรู้ว่าสามารถเข้าใจได้ว่าศัตรูของเราโจมตีเราและขีดความสามารถของพวกเขาอย่างไร
ดังนั้นฉันอยากถามคุณเกี่ยวกับหัวข้อที่อยู่ในข่าว
ดังนั้นยากที่จะรู้ใช่มั้ย และฉันคิดว่าเมื่อเราต้องตั้งคำถามถึงความสัมพันธ์กับองค์กรเหล่านี้เราต้องระวังเรื่องการปรับใช้โดยเฉพาะการปรับใช้อย่างกว้างขวาง สิ่งที่แพร่หลายในฐานะโซลูชั่นแอนติไวรัสอย่าง Kaspersky ในทุกระบบของเรารัฐบาลกำลังระวังและเนื่องจากเรามีทางออกโซลูชั่นที่ผลิตเองเช่นเดียวกับที่เราพยายามสร้างหัวรบนิวเคลียร์และระบบป้องกันขีปนาวุธของเราใน สหรัฐอเมริกาเราควรใช้ประโยชน์จากโซลูชั่นที่สร้างขึ้นในสหรัฐอเมริกาจากมุมมองด้านความมั่นคงปลอดภัยทางไซเบอร์ ฉันคิดว่านั่นคือสิ่งที่พวกเขากำลังพยายามทำในที่สุด
คุณคิดว่าอะไรเป็นสิ่งอันดับหนึ่งที่ผู้บริโภคส่วนใหญ่ทำผิดจากมุมมองด้านความปลอดภัย?
ในระดับผู้บริโภคมันธรรมดามากใช่มั้ย ฉันคิดว่าคนส่วนใหญ่ไม่ฝึกสุขอนามัยความปลอดภัย ขี่จักรยานรหัสผ่านใช้รหัสผ่านที่แตกต่างกันในเว็บไซต์ต่าง ๆ ใช้เครื่องมือการจัดการรหัสผ่านรับรองความถูกต้องสองปัจจัย ฉันไม่สามารถบอกคุณได้ว่าวันนี้มีกี่คนที่ไม่ได้ใช้และมันทำให้ฉันประหลาดใจที่บริการที่ผู้บริโภคใช้ไม่ได้บังคับพวกเขา ฉันคิดว่าธนาคารบางแห่งเริ่มที่จะทำเช่นนั้นซึ่งดีมากที่จะเห็น แต่ก็ยังเห็นว่าบัญชีโซเชียลมีเดียได้รับความเสียหายเพราะผู้คนไม่มีปัจจัยสองประการ
ดังนั้นจนกว่าเราจะผ่านขั้นพื้นฐานด้านสุขอนามัยความปลอดภัยฉันไม่คิดว่าเราจะเริ่มพูดคุยเกี่ยวกับเทคนิคขั้นสูงเพื่อป้องกันตัวเอง
ดังนั้นบอกฉันเล็กน้อยเกี่ยวกับการปฏิบัติด้านความปลอดภัยส่วนบุคคลของคุณ? คุณใช้โปรแกรมจัดการรหัสผ่านหรือไม่?
แน่นอน. แน่นอน. ฉันใช้
บริการ VPN อาจทำให้การเชื่อมต่อของคุณช้าลงเล็กน้อย แต่พวกเขาค่อนข้างง่ายในการติดตั้งและคุณสามารถรับหนึ่งสองสามดอลลาร์ต่อเดือน
ติดตั้งง่ายและคุณต้องการไปกับผู้ให้บริการที่มีชื่อเสียงเพราะคุณกำลังส่งปริมาณข้อมูล
ในเวลาเดียวกันเพียงทำสิ่งง่าย ๆ เช่นอัปเดตระบบของฉันทุกครั้งที่มีการอัปเดตบนมือถือของฉัน
มันไม่ได้บ้าอย่างนั้น มันไม่ยากเลยที่จะรักษาความปลอดภัยในฐานะผู้บริโภค คุณไม่จำเป็นต้องใช้เทคนิคขั้นสูงหรือวิธีแก้ปัญหาที่มีอยู่ แค่คิดเกี่ยวกับสามัญสำนึก
ฉันคิดว่าสองปัจจัยคือระบบที่สร้างความสับสนให้กับผู้คนจำนวนมากและข่มขู่ผู้คนจำนวนมาก พวกเขาคิดว่าพวกเขาจะต้องเช็คเอาต์ทางโทรศัพท์ทุกครั้งที่ลงชื่อเข้าใช้บัญชีอีเมลของพวกเขาและนั่นไม่ใช่กรณี คุณต้องทำเพียงครั้งเดียวคุณอนุญาตให้แล็ปท็อปนั้นและการทำเช่นนั้นทำให้คนอื่นไม่สามารถลงชื่อเข้าใช้บัญชีของคุณจากแล็ปท็อปอื่นซึ่งเป็นเครื่องป้องกันขนาดใหญ่
อย่างแน่นอน ใช่ด้วยเหตุผลบางอย่างมันทำให้ผู้คนจำนวนมากตกใจ บางคนมีการตั้งค่าที่คุณอาจต้องทำทุก ๆ 30 วัน แต่
คุณไม่ได้อยู่ในอุตสาหกรรมนี้มานาน แต่คุณสามารถแบ่งปันว่าคุณได้เห็นภูมิทัศน์อย่างไร
จริง ๆ แล้วฉันเคยอยู่ในโลกไซเบอร์และมีความสนใจจริง ๆ เป็นเวลา 15 ปี นับตั้งแต่ฉันอายุ 13 ปีและฉันบริหาร บริษัท เว็บโฮสติ้งที่ใช้ร่วมกัน มีการมุ่งเน้นไปที่การปกป้องเว็บไซต์ของลูกค้าของเราและการดูแลเซิร์ฟเวอร์และทำให้แน่ใจว่าเซิร์ฟเวอร์เหล่านั้นถูกล็อค คุณดูว่าความรู้ก้าวหน้าไปถึงฝั่งของผู้โจมตีอย่างไร ฉันคิดว่าการรักษาความปลอดภัยเป็นอุตสาหกรรมที่เพิ่งตั้งขึ้นใหม่ในความถูกต้องของตัวเองมันมีการพัฒนาอยู่ตลอดเวลาและมีโซลูชั่นและเทคโนโลยีนวัตกรรมใหม่ ๆ อยู่เสมอ ฉันคิดว่ามันน่าตื่นเต้นที่ได้เห็นนวัตกรรมที่รวดเร็วในพื้นที่นี้ เป็นเรื่องที่น่าตื่นเต้นที่ บริษัท ต่างๆจะได้รับประโยชน์จากวิธีการแก้ปัญหาแบบเอนเอียงมากขึ้นเรื่อย ๆ การย้ายออกจากชื่อ defacto ที่เราเคยได้ยินมา
มันเคยเป็นเรื่องเกี่ยวกับไวรัสเป็นส่วนใหญ่และคุณจะต้องอัปเดตคำจำกัดความของคุณและคุณจะจ่ายให้ บริษัท เพื่อจัดการฐานข้อมูลนั้นสำหรับคุณและตราบใดที่คุณมีความปลอดภัยจาก 90 เปอร์เซ็นต์ของภัยคุกคาม . แต่วันนี้ภัยคุกคามพัฒนาขึ้นเร็วกว่ามาก และมีองค์ประกอบในโลกแห่งความเป็นจริงที่ผู้คนจะเปิดเผยตัวเองเพราะพวกเขาได้รับการโจมตีแบบฟิชชิงพวกเขาตอบสนองและส่งมอบสิทธิของพวกเขา นั่นเป็นวิธีที่องค์กรของพวกเขาถูกแทรกซึมและนั่นเป็นปัญหาด้านการศึกษามากกว่าเรื่องเทคโนโลยี
ฉันคิดว่าการโจมตีส่วนใหญ่ที่ประสบความสำเร็จนั้นไม่ใช่ขั้นสูง ตัวหารร่วมน้อยที่สุดของความปลอดภัยขององค์กรใด ๆ
ฉันชอบที่จะดูงานวิจัยเกี่ยวกับจำนวนภัยคุกคามที่เป็นเพียงอีเมล แค่ออกไปหลายพันอีเมลออกไปและผู้คนคลิกที่สิ่งต่างๆ ผู้คนสร้างกระบวนการและชุดของเหตุการณ์ที่ไม่สามารถควบคุมได้ แต่มันมาทางอีเมลเพราะอีเมลนั้นง่ายและแพร่หลายและคนดูถูกดูแคลน
เราเริ่มเห็นแล้วว่ามันเปลี่ยนจากการโจมตีทางอีเมลเป็นฟิชชิงทางสังคม สิ่งที่น่ากลัวเกี่ยวกับเรื่องนี้ก็คือมีความไว้วางใจที่แฝงอยู่ในสื่อสังคมออนไลน์ หากคุณเห็นลิงค์มาจากเพื่อนของ
ให้ฉันถามคุณเกี่ยวกับความปลอดภัยของมือถือ วันแรกเราบอกคนอื่นว่าคุณมีอุปกรณ์ iOS คุณอาจไม่ต้องการแอนติไวรัสถ้าคุณมีอุปกรณ์ Android บางทีคุณอาจต้องการติดตั้ง เราก้าวหน้าไปจนถึงจุดที่เราต้องการซอฟต์แวร์ความปลอดภัยในโทรศัพท์ทุกรุ่นหรือไม่?
ฉันคิดว่าเราต้องเชื่อมั่นในความปลอดภัยที่อบเข้าสู่อุปกรณ์ด้วยตัวเอง ยกตัวอย่างเช่นที่ Apple ได้ออกแบบระบบปฏิบัติการของพวกเขาดังนั้นทุกสิ่งจึงถูกบรรจุไว้ในกล่อง แอปพลิเคชันไม่สามารถทำอะไรได้มากมายนอกเหนือจากขอบเขตของแอปพลิเคชันนั้น Android ได้รับการออกแบบแตกต่างกันเล็กน้อย แต่สิ่งที่เราต้องรู้ก็คือเมื่อเราให้แอปพลิเคชันเข้าถึงสิ่งต่าง ๆ เช่นที่ตั้งของเราสมุดที่อยู่ของเราหรือข้อมูลอื่น ๆ ที่อยู่ในโทรศัพท์นั้นซึ่งกำลังจะออกไปทันที . และมีการปรับปรุงอยู่ตลอดเวลาดังนั้นเมื่อคุณย้ายตำแหน่งของคุณจะถูกส่งกลับไปยังคลาวด์เพื่อใครก็ตามที่เป็นเจ้าของแอปพลิเคชันนี้ คุณต้องคิดจริงๆเกี่ยวกับ "ฉันเชื่อถือคนเหล่านี้ด้วยข้อมูลของฉันหรือไม่ฉันเชื่อมั่นในความปลอดภัยของ บริษัท นี้หรือไม่?" เพราะในที่สุดหากพวกเขากำลังจัดเก็บสมุดที่อยู่ของคุณและข้อมูลที่ละเอียดอ่อนของคุณหากใครก็ตามที่เข้าไปบุกรุกพวกเขาตอนนี้พวกเขาสามารถเข้าถึงได้
และมันเข้าถึงได้ตลอด
ถูกตัอง.
คุณต้องคิดนอกกรอบ เพียงเพราะคุณกำลังดาวน์โหลดเกมใหม่ที่ดูเท่ห์ถ้าพวกเขาขอข้อมูลตำแหน่งของคุณและข้อมูลปฏิทินของคุณและเข้าถึงโทรศัพท์ได้อย่างสมบูรณ์คุณจะเชื่อใจพวกเขาว่ามีการเข้าถึงทั้งหมดตลอดไป
ถูกต้องแล้ว ฉันคิดว่าคุณต้องคิดเกี่ยวกับ "ทำไมพวกเขาขอสิ่งนี้? พวกเขาต้องการสิ่งนี้จริง ๆ ?" และมันก็โอเคที่จะพูดว่า "ปฏิเสธ" และดูว่าเกิดอะไรขึ้น อาจจะไม่ส่งผลกระทบอะไรเลยและคุณต้องสงสัยว่า "ทำไมพวกเขาถึงถามอย่างนั้น?"
มีแอพนับพันที่ถูกสร้างขึ้นเพื่อรวบรวมข้อมูลส่วนบุคคลพวกเขาเพียงแค่ให้คุณค่าบางอย่างเพื่อให้คุณดาวน์โหลด แต่วัตถุประสงค์ที่แท้จริงคือการรวบรวมข้อมูลของคุณและตรวจสอบโทรศัพท์ของคุณ
จริงๆแล้วมันเป็นปัญหาที่แพร่หลายที่คุณเห็นเอนทิตีที่เป็นอันตรายเหล่านี้ในการสร้างแอพที่ดูเหมือนแอพอื่น ๆ บางทีพวกเขาแกล้งทำเป็นธนาคารออนไลน์ของคุณเมื่อพวกเขาไม่ ที่จริงแล้วพวกเขาแค่ฟิชชิ่งสำหรับข้อมูลประจำตัวของคุณดังนั้นคุณต้องระมัดระวังจริงๆ
ฉันต้องการถามคำถามที่ฉันถามทุกคนที่มาในรายการนี้ มีแนวโน้มเทคโนโลยีเฉพาะที่ทำให้คุณกังวลมากที่สุดหรือไม่
มีแอพหรือบริการหรือแกดเจ็ตที่คุณใช้ทุกวันที่สร้างแรงบันดาลใจให้คุณหรือไม่
นั่นเป็นคำถามที่ดี ฉันเป็นแฟนตัวยงของชุดเครื่องมือของ Google พวกเขามีปฏิสัมพันธ์และทำงานได้ดีมากและรวมเข้าด้วยกันเป็นอย่างดีดังนั้นฉันจึงเป็นผู้ใช้ Google Apps รายใหญ่ และไม่ใช่เพียงเพราะ Google เป็นนักลงทุนใน บริษัท ของเรา
มี Google นิดหน่อยในทุกที่
มี Google เล็กน้อยทุกที่
มีบางอย่างที่ต้องบอกว่าสละเวลาสักครู่และให้เครดิตพวกเขาสำหรับสิ่งที่พวกเขาทำ พวกเขาต้องการทำให้ข้อมูลของโลกสามารถค้นหาและเข้าใจได้และพวกเขาก็ทำได้ดีมาก
จริงๆแล้วเราเพิ่งได้ไวท์บอร์ดใหม่ไวท์บอร์ดดิจิตอลในออฟฟิศของเรา - Jamboard - และเป็นหนึ่งในอุปกรณ์ที่เจ๋งที่สุดที่ฉันเคยเห็นมานาน เพียงแค่ความสามารถในการเขียนไวท์บอร์ดบางสิ่งออกมาบันทึกและนำมันกลับมาหรือโต้ตอบและมีส่วนร่วมกับใครบางคนในอีกปลายหนึ่งหรือทุกคนบน iPad ฉันหมายความว่ามันยอดเยี่ยมมากและพูดคุยเกี่ยวกับการทำงานร่วมกันจากระยะไกลมันทำให้ง่ายขึ้นมาก
มันน่าตื่นเต้นที่ได้เห็นความก้าวหน้าในวิธีที่เราสามารถทำงานร่วมกันได้ เราไม่จำเป็นต้องมีคนตั้งอยู่ใจกลางในที่ทำงานเดียวเราสามารถนำความคิดเก่า ๆ ที่ไม่ดีมาใช้ได้และฉันคิดว่ามันเจ๋งจริงๆ
เป็นผลิตภัณฑ์ที่ยอดเยี่ยมมาก เราทดสอบในห้องปฏิบัติการและเรามีปัญหาบางอย่างกับซอฟต์แวร์บางอย่าง แต่มันเป็น
เห็นด้วยอย่างยิ่ง.
เพียงแค่ต้องการอัปเดตซอฟต์แวร์สองสามตัวเพื่อให้ง่ายขึ้นเล็กน้อย
มันเป็นรถเล็ก ๆ น้อย ๆ แต่ก็ยังน่าทึ่ง
คนอื่นจะติดตามคุณและติดตามคุณทางออนไลน์และติดตามสิ่งที่คุณทำอยู่ได้อย่างไร
ใช่ฉันพูดเบาและรวดเร็ว @JayKaplan บล็อกของเราที่ Synack.com/blog นั่นเป็นสถานที่ที่ดีสำหรับคุณที่จะได้ยินข่าวล่าสุดเกี่ยวกับความปลอดภัยทางไซเบอร์และสิ่งที่เราทำในฐานะ บริษัท และฉันมีการโพสต์ข้อความบางครั้ง ฉันอยู่ใน LinkedIn ด้วยเช่นกันโพสต์ที่นั่นบ่อย ๆ ฉันพยายามใช้งานโซเชียลมีเดียอย่างต่อเนื่อง ฉันไม่ได้ดีที่สุด
ใช้เวลานานมาก
ที่มัน แต่ฉันพยายาม
คุณมีงานที่ต้องทำเช่นกัน
เผง