jay kaplan ของ Synack มีกองทัพแฮกเกอร์สีขาว

คุณสามารถ crowdsource เกี่ยวกับอะไรก็ได้ในวันนี้รวมถึงความปลอดภัย

ในตอนนี้ของ Fast Forward ฉันพูดกับ Jay Kaplan ผู้บริหารสูงสุด และผู้ร่วมก่อตั้งของ Synack ก่อนที่จะก่อตั้ง Synack เจย์เคยทำงานในตำแหน่งที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์หลายครั้งที่กระทรวงกลาโหมและในฐานะที่เป็นผู้หาประโยชน์เครือข่ายคอมพิวเตอร์อาวุโสและนักวิเคราะห์ช่องโหว่ที่สำนักงานความมั่นคงแห่งชาติ

ที่ Synack เขาสร้างระบบตรวจจับภัยคุกคามอัตโนมัติและสร้างเครือข่ายนักวิจัยด้านความปลอดภัยหลายร้อยรายทั่วโลกเพื่อทำการทดสอบการเจาะระบบในระดับต่อไป ในการสนทนาเมื่อเร็ว ๆ นี้จากซานฟรานซิสโกเราได้พูดคุยเกี่ยวกับสถานะของการรักษาความปลอดภัยทางอินเทอร์เน็ตแฮกเกอร์หมวกขาวและขั้นตอนที่เขาใช้เป็นการส่วนตัวเพื่อรับรองความปลอดภัยออนไลน์ของเขา อ่านบทบรรยายหรือดูวิดีโอด้านล่าง

ในทุกเรื่องของคุณซีอีโอและผู้ร่วมก่อตั้งอาจจะประทับใจมาก แต่สิ่งที่ทำให้ฉันประทับใจคือการทำงานในฐานะสมาชิกของทีมสีแดงที่กระทรวงกลาโหม ฉันเข้าใจว่าคุณอาจไม่สามารถบอกเราได้ทั้งหมด ของ รายละเอียด แต่นั่นหมายความว่าอย่างไร

ในฐานะสมาชิกของทีมสีแดงใด ๆ ที่เป็นส่วนหนึ่งของใด ๆ องค์กร คุณต้องรับผิดชอบในการทำตัวเหมือนผู้โจมตีเหมือนปฏิปักษ์ที่เราทุกคนพยายามป้องกันจากทุก ๆ วัน ดังนั้นงานของฉันที่ DoD จึงมุ่งเน้นไปที่ระบบ DoD สีแดงที่ใกล้เคียงกันมาก ไม่ว่าจะเป็นระบบทหารเครือข่ายอุปกรณ์ที่ติดตั้งในสนามไม่ว่าจะเป็นอะไรก็ตามเราต้องการให้แน่ใจว่าปลอดภัยและไม่เสี่ยงต่อการละเมิดจริง

คุณเป็นคู่กับงานของฉันที่ NSA ซึ่งแทนที่จะโจมตีเพื่อวัตถุประสงค์ในการป้องกันฉันอยู่ใน โจมตี ด้านเพื่อวัตถุประสงค์ที่ไม่เหมาะสม คุณแต่งงานกับทั้งสองตำแหน่งด้วยกันมันช่วยให้เราทำแนวคิดทั้งหมดของซินแนคและโมเดลธุรกิจที่เรามีอยู่ในปัจจุบัน

ฉันคิดว่าคุณได้ใช้วิธีการแบบเดียวกันนำมาสู่ภาคเอกชนและคุณก็เดาว่าคุณใช้แฮกเกอร์และการรักษาความปลอดภัยเครือข่ายการระดมทุนแบบพยุหเสนา พูดคุยกับเราเล็กน้อยเกี่ยวกับวิธีการทำงาน

วิธีการที่เราดำเนินการนั้นเป็นวิธีที่ขับเคลื่อนโดยแฮ็กเกอร์มากกว่า สิ่งที่เราทำคือยกระดับเครือข่ายทั่วโลกของนักวิจัยด้านความปลอดภัยหมวกขาวชั้นนำในกว่า 50 ประเทศและเราจ่ายเงินอย่างมีประสิทธิภาพบนพื้นฐานของผลการค้นพบช่องโหว่ด้านความปลอดภัยทั่วทั้งลูกค้าองค์กรของเราและตอนนี้เรากำลังทำงานกับรัฐบาลมากมาย เช่นกัน

เป้าหมายทั้งหมดที่นี่คือการได้รับปัญหามากขึ้น ฉันหมายความว่าการมีคนหนึ่งหรือสองคนกำลังดูระบบเครือข่ายแอปพลิเคชันและพยายามกำจัดช่องโหว่ของแอปพลิเคชันนั้น เป็นอีกเรื่องหนึ่งที่อาจพูดได้ 100, 200 คนทุกคน ดู ที่อุปกรณ์ไอทีชิ้นนี้หรืออะไรก็ตามที่เป็นไปได้และลองคิดดูว่าช่องโหว่คืออะไรและเมื่อคุณจ่ายเงินให้คุณสำเร็จ มันเป็นการเปลี่ยนกระบวนทัศน์ที่ยิ่งใหญ่มาก ๆ และใช้งานได้ดีในทางปฏิบัติ

ใครจะเป็นลูกค้าทั่วไป มันจะเป็นเหมือน Microsoft ที่บอกว่า "เรากำลังเปิดตัวแพลตฟอร์ม Azure ใหม่มาลองและเจาะรูในระบบของเราหรือไม่"

สามารถอยู่ที่ใดก็ได้จาก บริษัท เทคโนโลยีขนาดใหญ่เช่น Microsoft ไปจนถึงธนาคารขนาดใหญ่ที่พวกเขาต้องการทดสอบแอปพลิเคชันออนไลน์และมือถือแอปพลิเคชันธนาคาร มันอาจเป็นรัฐบาลกลาง เรากำลังทำงานร่วมกับกระทรวงและบริการสรรพากรเพื่อล็อคตำแหน่งที่คุณส่งข้อมูลผู้เสียภาษีหรือจากมุมมองของกระทรวงเช่นระบบบัญชีเงินเดือนและระบบอื่น ๆ ที่มีข้อมูลที่ละเอียดอ่อนมาก เป็นสิ่งสำคัญที่สิ่งเหล่านี้จะไม่ถูกทำลายอย่างที่เราเคยเห็นในอดีตอาจเป็นเรื่องที่สร้างความเสียหายได้อย่างมาก ในที่สุดพวกเขาก็ใช้วิธีการที่ก้าวหน้ายิ่งขึ้นในการแก้ปัญหาย้ายออกไปจากโซลูชันที่มีการซื้อขายเพิ่มขึ้นที่เราเคยเห็นในอดีต

คุณจะหาคนได้อย่างไร ฉันคิดว่าคุณไม่ได้โพสต์ไว้ในกระดานข้อความและพูดว่า "เฮ้พาพลังงานไปสู่สิ่งนี้แล้วถ้าคุณพบบางอย่างแจ้งให้เราทราบแล้วเราจะจ่ายให้คุณ"

ในช่วงแรก ๆ วัน เห็นได้ชัดว่าเราใช้ประโยชน์จากเครือข่ายของเราค่อนข้างหนัก เรานำคนที่เรารู้จักมาและนั่นก็เติบโตขึ้นอย่างเป็นธรรมชาติและเราก็เริ่มนำคนทั่วโลกที่ฝึกความปลอดภัยทางโลกไซเบอร์และแม้แต่คนที่ไม่จำเป็นต้องทำในโลกไซเบอร์ในเวลากลางวัน เรามีนักพัฒนาจำนวนมากซึ่งเป็นส่วนหนึ่งของเครือข่ายของเราวิศวกรเป็นส่วนหนึ่งของ บริษัท เทคโนโลยีขนาดใหญ่ พลังของสิ่งที่เราทำคือการมอบความหลากหลายของทรัพยากรให้ลูกค้าเข้าถึงความสามารถที่พวกเขาจะไม่สามารถเข้าถึงได้

ถ้าคุณดูสถิติบางอย่างพวกเขาบอกว่าภายในปี 2564 เราจะมีงานด้านความปลอดภัยทางอินเทอร์เน็ตเปิด 3.5 ล้านงาน มีอุปทานและอุปสงค์จำนวนมากตัดการเชื่อมต่อและความท้าทายที่เรากำลังพยายามแก้ไข การใช้ crowdsourcing เพื่อแก้ปัญหานี้ได้ผลดีมากสำหรับเราเพราะเราไม่ต้องจ้างพวกเขา พวกเขาเป็นอิสระและจริง ๆ แล้วเพิ่งได้รับการเพิ่มเติมเกี่ยวกับปัญหานี้ให้ผลลัพธ์ที่ดีกว่า

ของ หลักสูตร ความจริงของเครือข่ายนั้นมีความสำคัญอย่างยิ่งต่อธุรกิจของเราเช่นกัน เราต้องรู้ว่าเราสามารถไว้วางใจพวกเขาได้ดังนั้นเราจึงต้องทำให้นักวิจัยของเราผ่านการตรวจสอบประวัติอย่างเข้มงวดและการตรวจสอบ ID และเรายังทำการตรวจสอบปริมาณข้อมูลของพวกเขาเพื่อให้แน่ใจว่าพวกเขาปฏิบัติตามขอบเขตและกฎของการมีส่วนร่วม แต่มันน่าตื่นเต้นมากที่ได้เห็นกลไกในการมีส่วนร่วมในรูปแบบ crowdsource แต่มีการควบคุมอย่างมากมายในการช่วยให้องค์กรที่เกี่ยวข้องสามารถเข้าถึงวิธีการประเภทนี้ได้

แฮกเกอร์เหล่านี้สามารถสร้างรายได้กับคุณมากกว่าที่พวกเขาจะทำได้ด้วยตัวเองบน Dark Web หรือไม่? ฉันหมายถึงมันเป็นผลกำไรที่จะเป็นหมวกสีขาวในรุ่นนี้หรือไม่?

มีความเข้าใจผิดทั่วไปที่คุณรู้ว่าคุณทำงานใน Dark Web และคุณจะเป็นคนร่ำรวยโดยอัตโนมัติ

คุณยังได้รับ ripped off มาก

คุณถูกฉีกออกไปมาก แต่ความจริงคือคนที่เราทำงานด้วยมีความเป็นมืออาชีพและมีจริยธรรม พวกเขากำลังทำงานให้กับ บริษัท ขนาดใหญ่มากหรือ บริษัท ที่ปรึกษาด้านความปลอดภัยอื่น ๆ และมีคนที่มีจริยธรรมมากมายในตัวพวกเขาที่พวกเขาไม่ต้องการทำสิ่งผิดกฎหมาย พวกเขาต้องการที่จะกระทำพวกเขารักการแฮ็กพวกเขารักที่จะทำลายสิ่งต่าง ๆ แต่พวกเขาต้องการทำในสภาพแวดล้อมที่พวกเขารู้ว่าพวกเขาจะไม่ถูกดำเนินคดี

นั่นเป็นข้อดีที่ดี สิ่งใดที่คุณเห็นว่าเป็นภัยคุกคามที่สำคัญ ใน ความปลอดภัยวันนี้? เราควรกังวลเกี่ยวกับองค์กรอาชญากรรมหรือไม่? นักแสดงในประเทศ? คุณเห็นภัยคุกคามส่วนใหญ่จากที่ไหน

มันน่าสนใจจริงๆ หากคุณถามคำถามฉันเมื่อสองสามปีก่อนฉันจะบอกว่ารัฐชาติเป็นองค์กรที่มีอุปกรณ์ครบครันที่สุดที่จะประสบความสำเร็จในการโจมตีทางไซเบอร์ ฉันหมายความว่าพวกเขากำลังนั่งอยู่บนคลังเก็บของหาประโยชน์จาก zero-day พวกเขามีเงินจำนวนมากและทรัพยากรมากมาย

อธิบายแนวคิดของการนั่งบนคลังสินค้าเหล่านั้นในเวลาไม่กี่วัน เพราะนั่นคือสิ่งที่อยู่นอกพื้นที่รักษาความปลอดภัยฉันไม่คิดว่าคนทั่วไปจะเข้าใจจริงๆ

ดังนั้นการใช้ประโยชน์จาก zero-day อย่างมีประสิทธิภาพจึงเป็นจุดอ่อนในระบบปฏิบัติการหลักที่อาจไม่มีใครรู้เรื่องอื่นนอกจากองค์กรหนึ่ง พวกเขาพบว่าพวกเขากำลังนั่งอยู่บนมันและพวกเขาใช้มันเพื่อประโยชน์ของพวกเขา เมื่อพิจารณาจากจำนวนเงินที่พวกเขาใช้ในการวิจัยและพัฒนาและได้รับเงินจำนวนเท่าใดพวกเขาจึงมีความสามารถในการค้นหาสิ่งเหล่านี้ที่ไม่มีใครสามารถค้นหาได้ นั่นเป็นเหตุผลใหญ่ว่าทำไมพวกเขาประสบความสำเร็จในสิ่งที่พวกเขาทำ

โดยปกติแล้วพวกเขากำลังทำสิ่งนี้เพื่อจุดประสงค์ในการรับข่าวกรองและช่วยผู้ตัดสินใจในการตัดสินใจทางนโยบายที่ดีขึ้น เราเห็นการเปลี่ยนแปลงในช่วงสองสามปีที่ผ่านมาซึ่งองค์กรอาชญากรรมกำลังใช้ประโยชน์จากเครื่องมือรั่วเหล่านี้เพื่อประโยชน์ของพวกเขา หากคุณดูที่ Shadow Brokers รั่วไหลเป็นตัวอย่างที่ดีของมันก็น่ากลัวออกมี ในขณะที่ผู้ขายกำลังทำการปะแก้ระบบของพวกเขาองค์กรและ บริษัท ต่าง ๆ ไม่ได้ใช้ประโยชน์จากแพทช์เหล่านั้นทำให้พวกเขาอ่อนแอต่อการถูกโจมตีและทำให้คนร้ายสามารถบุกเข้ามาในองค์กรของพวกเขาและวางแรนซัมแวร์ เงินออกจากพวกเขา

การติดเชื้อ WannaCry ส่งผลกระทบต่อระบบจำนวนมาก แต่ไม่ใช่ระบบ Windows 10 มันเป็นการหาประโยชน์ที่ได้รับการติดตั้งถ้าผู้คนดาวน์โหลดและติดตั้ง แต่หลายล้านคนไม่ได้และนั่นเปิดประตู

ถูกต้องแล้ว การจัดการแพทช์เป็นสิ่งที่ยากยิ่งสำหรับองค์กรส่วนใหญ่ พวกเขาไม่ได้จัดการกับเวอร์ชันที่กำลังทำงานอยู่และกล่องใดที่ได้รับการแก้ไขและกล่องที่ยังไม่ได้และเป็นหนึ่งในเหตุผลที่เราสร้างรูปแบบธุรกิจทั้งหมดของเรา - รับทราบปัญหานี้มากขึ้นเป็นเชิงรุกเกี่ยวกับการเปิดเผย ระบบที่ยังไม่ได้รับการติดตั้งและบอกกับลูกค้าของเรา: "เฮ้คุณแก้ไขสิ่งเหล่านี้ได้ดีขึ้นหรือคุณจะเป็นการฝ่าฝืนหรือการโจมตีครั้งใหญ่ครั้งต่อไปอย่าง WannaCry จะประสบความสำเร็จกับองค์กรของคุณ" และเป็นลูกค้าที่ใช้บริการของเราอย่างต่อเนื่องนี่เป็นกรณีการใช้งานที่ประสบความสำเร็จอย่างแท้จริงสำหรับเรา

คุณขายบริการของคุณเพื่อการทดสอบระยะสั้นหรือไม่? หรืออาจจะต่อเนื่องเช่นกัน?

การทดสอบการเจาะแบบเดิมเป็นประเภทของการมีส่วนร่วมในเวลาใช่ไหม? คุณบอกว่ามาเป็นเวลาหนึ่งสัปดาห์สองสัปดาห์ให้ฉันรายงานแล้วเราจะเห็นคุณอีกหนึ่งปีต่อมาเมื่อเราพร้อมสำหรับการตรวจสอบต่อไปของเรา เราพยายามที่จะทำให้ลูกค้าเปลี่ยนไปสู่ความคิดที่ว่าโครงสร้างพื้นฐานนั้นมีความเคลื่อนไหวสูงคุณกำลังผลักดันการเปลี่ยนแปลงโค้ดในแอปพลิเคชั่นของคุณตลอดเวลาคุณสามารถแนะนำช่องโหว่ใหม่ได้ตลอดเวลา ทำไมไม่ลองดูสิ่งนี้จากมุมมองด้านความปลอดภัยอย่างต่อเนื่องเช่นเดียวกับที่คุณมีในวงจรการพัฒนาของคุณ

และซอฟต์แวร์ในฐานะบริการเป็นรูปแบบที่ยอดเยี่ยม บริการเป็นบริการยังเป็นแบบอย่างที่ดี

ถูกตัอง. เรามีส่วนประกอบซอฟต์แวร์ขนาดใหญ่ที่อยู่ด้านหลังทั้งหมดดังนั้นเราจึงมีแพลตฟอร์มทั้งหมดที่อำนวยความสะดวกไม่เพียง แต่การมีปฏิสัมพันธ์ระหว่างนักวิจัยและลูกค้าของเราเท่านั้น แต่เรายังสร้างระบบอัตโนมัติในการพูดว่า "เฮ้เพื่อที่จะทำให้ นักวิจัยของเรามีประสิทธิภาพและประสิทธิผลในการทำงานมากขึ้นเรามาทำสิ่งที่เราไม่ต้องการให้พวกเขาใช้เวลาโดยอัตโนมัติ " ขวา? ผลไม้แขวนลอยต่ำทั้งหมดให้บริบทของสิ่งแวดล้อมที่พวกเขาเดินเข้ามามากขึ้นและเราพบว่าการจับคู่ระหว่างมนุษย์กับเครื่องจักรทำงานได้ดีมากและมีประสิทธิภาพมากในพื้นที่รักษาความปลอดภัยทางไซเบอร์

คุณเพิ่งกลับมาจาก Black Hat เมื่อไม่นานมานี้ที่คุณเห็นสิ่งที่น่ากลัวมากมายฉันจะจินตนาการ มีอะไรบ้างที่ทำให้คุณประหลาดใจ

คุณรู้ไหมว่า Defcon ให้ความสำคัญกับระบบการลงคะแนนและฉันคิดว่าเราทุกคนเห็นข่าวมากมายเกี่ยวกับเรื่องนี้ ฉันคิดว่าแค่เห็นว่าแฮ็กเกอร์สามารถควบคุมระบบการลงคะแนนได้เร็วแค่ไหนเนื่องจากการเข้าถึงทางกายภาพนั้นค่อนข้างน่ากลัว มันทำให้คุณถามถึงผลการเลือกตั้งที่ผ่านมาจริงๆ เมื่อเห็นว่ามีระบบไม่มากนักที่มีเส้นทางกระดาษฉันคิดว่านั่นเป็นข้อเสนอที่น่ากลัวทีเดียว

แต่นอกเหนือจากนั้นก็มีการมุ่งเน้นโครงสร้างพื้นฐานที่สำคัญเป็นอย่างมาก มีการพูดคุยอย่างหนึ่งที่มุ่งเน้นไปที่การแฮ็กระบบรังสีที่ตรวจจับรังสีที่โรงไฟฟ้านิวเคลียร์โดยทั่วไปและวิธีที่ง่ายที่จะเจาะเข้าไปในระบบเหล่านั้น ฉันหมายถึงสิ่งที่น่ากลัวและฉันเชื่อมั่นอย่างยิ่งว่าโครงสร้างพื้นฐานที่สำคัญของเราอยู่ในสถานที่ที่ไม่ดีนัก ฉันคิดว่าส่วนใหญ่ของมันถูกบุกรุกจริง ๆ ในวันนี้และมีการปลูกฝังจำนวนมากนั่งอยู่บนโครงสร้างพื้นฐานที่สำคัญของเราเพียงแค่รอให้มีการใช้ประโยชน์ในกรณีที่เราไปทำสงครามกับรัฐชาติอื่น

ดังนั้นเมื่อคุณพูดว่า "โครงสร้างพื้นฐานที่สำคัญของเราถูกบุกรุกในวันนี้" คุณหมายถึงว่ามีรหัสนั่งอยู่ที่โรงงานไฟฟ้าที่โรงไฟฟ้านิวเคลียร์ฟาร์มกังหันลมที่ถูกวางไว้ที่นั่นโดยอำนาจต่างประเทศที่สามารถเปิดใช้งานได้ตลอดเวลา?

ใช่. ถูกต้องแล้ว ฉันไม่มีอะไรจำเป็นต้องสำรอง ขึ้น แต่เพิ่งได้รับความรู้เกี่ยวกับสถานะของความปลอดภัยทางอินเทอร์เน็ตภายในองค์กรโครงสร้างพื้นฐานที่สำคัญเหล่านี้ฉันไม่สงสัยเลยว่ามีเปอร์เซ็นต์ที่ใหญ่มาก เป็น ประนีประนอมในวันนี้ทำให้เราอยู่ในตำแหน่งที่น่ากลัวในอนาคต

เราสามารถใช้ความสะดวกสบายใด ๆ ในความจริงที่ว่าเราอาจมีเลเวอเรจที่คล้ายคลึงกันมากกว่าคู่ต่อสู้ของเราและมีรหัสของเราในโครงสร้างพื้นฐานที่สำคัญของพวกเขาด้วยดังนั้นอย่างน้อยที่สุดก็อาจมีการทำลายล้าง

ฉันคิดว่าเรากำลังทำสิ่งที่คล้ายกันมาก

ถูก ฉันคิดว่าคุณไม่สามารถพูดทุกสิ่งที่คุณอาจจะรู้ แต่อย่างน้อยฉันก็รู้สึกสบายใจที่สงครามกำลังยืดเยื้อ เห็นได้ชัดว่าเราไม่ต้องการให้สิ่งนี้เพิ่มขึ้นในรูปร่างหรือรูปแบบใด ๆ แต่อย่างน้อยเราก็กำลังต่อสู้กับทั้งสองฝ่ายและเราน่าจะเน้นการป้องกันมากขึ้น

ถูกตัอง. ฉันหมายถึงเราควรเน้นการป้องกันมากขึ้น แต่ความสามารถที่น่ารังเกียจของเรานั้นสำคัญ คุณรู้ว่าสามารถเข้าใจได้ว่าศัตรูของเราโจมตีเราและขีดความสามารถของพวกเขาอย่างไร จะต้องมี วิธีการที่ไม่เหมาะสมและนั่นคือเหตุผลที่ NSA ทำในสิ่งที่พวกเขาทำและองค์กรข่าวกรองอื่น ๆ มีความสามารถคล้ายกัน

ดังนั้นฉันอยากถามคุณเกี่ยวกับหัวข้อที่อยู่ในข่าว ล่าสุด สองสามเดือนและนั่นคือบทบาทของ บริษัท เทคโนโลยีต่างประเทศ เทคโนโลยีของพวกเขาถูกฝังอยู่ในโครงสร้างพื้นฐานของเราเป็น บริษัท ของเราเข้าไปในหน่วยงานราชการของเราและจากนั้นทุก ๆ หกเดือนหรือมากกว่านั้นมีเรื่องราวที่กล่าวว่า "โอ้เราไม่ควรไว้วางใจโครงสร้างพื้นฐานโทรคมนาคมของ Huawei" เมื่อเร็ว ๆ นี้ มีเรื่องเล่ากันว่าบางทีเราควรดูซอฟต์แวร์รักษาความปลอดภัย Kaspersky Labs เพราะพวกเขาได้ทำงานกับ Russian Security Services คุณใช้ความสัมพันธ์แบบนั้นกับอะไรบ้าง? เป็น บริษัท อิสระเหล่านี้หรือเป็น บริษัท ในเครือของรัฐที่ดำเนินกิจการอยู่หรือไม่?

ดังนั้นยากที่จะรู้ใช่มั้ย และฉันคิดว่าเมื่อเราต้องตั้งคำถามถึงความสัมพันธ์กับองค์กรเหล่านี้เราต้องระวังเรื่องการปรับใช้โดยเฉพาะการปรับใช้อย่างกว้างขวาง สิ่งที่แพร่หลายในฐานะโซลูชั่นแอนติไวรัสอย่าง Kaspersky ในทุกระบบของเรารัฐบาลกำลังระวังและเนื่องจากเรามีทางออกโซลูชั่นที่ผลิตเองเช่นเดียวกับที่เราพยายามสร้างหัวรบนิวเคลียร์และระบบป้องกันขีปนาวุธของเราใน สหรัฐอเมริกาเราควรใช้ประโยชน์จากโซลูชั่นที่สร้างขึ้นในสหรัฐอเมริกาจากมุมมองด้านความมั่นคงปลอดภัยทางไซเบอร์ ฉันคิดว่านั่นคือสิ่งที่พวกเขากำลังพยายามทำในที่สุด

คุณคิดว่าอะไรเป็นสิ่งอันดับหนึ่งที่ผู้บริโภคส่วนใหญ่ทำผิดจากมุมมองด้านความปลอดภัย?

ในระดับผู้บริโภคมันธรรมดามากใช่มั้ย ฉันคิดว่าคนส่วนใหญ่ไม่ฝึกสุขอนามัยความปลอดภัย ขี่จักรยานรหัสผ่านใช้รหัสผ่านที่แตกต่างกันในเว็บไซต์ต่าง ๆ ใช้เครื่องมือการจัดการรหัสผ่านรับรองความถูกต้องสองปัจจัย ฉันไม่สามารถบอกคุณได้ว่าวันนี้มีกี่คนที่ไม่ได้ใช้และมันทำให้ฉันประหลาดใจที่บริการที่ผู้บริโภคใช้ไม่ได้บังคับพวกเขา ฉันคิดว่าธนาคารบางแห่งเริ่มที่จะทำเช่นนั้นซึ่งดีมากที่จะเห็น แต่ก็ยังเห็นว่าบัญชีโซเชียลมีเดียได้รับความเสียหายเพราะผู้คนไม่มีปัจจัยสองประการ

ดังนั้นจนกว่าเราจะผ่านขั้นพื้นฐานด้านสุขอนามัยความปลอดภัยฉันไม่คิดว่าเราจะเริ่มพูดคุยเกี่ยวกับเทคนิคขั้นสูงเพื่อป้องกันตัวเอง

ดังนั้นบอกฉันเล็กน้อยเกี่ยวกับการปฏิบัติด้านความปลอดภัยส่วนบุคคลของคุณ? คุณใช้โปรแกรมจัดการรหัสผ่านหรือไม่?

แน่นอน. แน่นอน. ฉันใช้ OnePassword ดังนั้น เป็นพื้น ทุกเว็บไซต์เดียวที่ฉันเข้าชมและบัญชีที่ฉันสร้างมีรหัสผ่านที่แตกต่างกันอย่างน้อย 16 ตัวอักษรเสมอ ฉันเปลี่ยนรหัสผ่านเหล่านั้นเป็นประจำและรหัสผ่านเหล่านั้นถูกสร้างขึ้นโดยอัตโนมัติ ฉันใช้ VPN บนเครือข่ายที่ไม่มีการป้องกัน บริษัท ของเรามีโซลูชัน VPN ดังนั้น ตลอดเวลา ฉันใช้เครือข่ายไร้สายฉันไม่กลัวที่จะใช้เครือข่ายไร้สายตราบใดที่การเชื่อมต่อเหล่านั้นผ่านอุโมงค์ที่ปลอดภัย

บริการ VPN อาจทำให้การเชื่อมต่อของคุณช้าลงเล็กน้อย แต่พวกเขาค่อนข้างง่ายในการติดตั้งและคุณสามารถรับหนึ่งสองสามดอลลาร์ต่อเดือน

ติดตั้งง่ายและคุณต้องการไปกับผู้ให้บริการที่มีชื่อเสียงเพราะคุณกำลังส่งปริมาณข้อมูล ตลอด ผู้ให้บริการนั้น คุณเพียงแค่ต้องการให้แน่ใจว่าพวกเขามีชื่อเสียงที่ดีและคุณสามารถไว้วางใจพวกเขาด้วยการเข้าชมของคุณ

ในเวลาเดียวกันเพียงทำสิ่งง่าย ๆ เช่นอัปเดตระบบของฉันทุกครั้งที่มีการอัปเดตบนมือถือของฉัน อุปกรณ์ หรือคอมพิวเตอร์ของฉันฉันใช้ประโยชน์จากมัน ฉันหมายความว่ามีสาเหตุที่พวกเขาผลักดันการอัปเดตนั้นออกไปดังนั้นมันจึงเป็นแค่พื้นฐาน และ แน่นอน คุณกำลังตรวจสอบรายงานเครดิตและบัตรเครดิตของคุณและสัญญาณของกิจกรรมที่น่าสงสัยที่คุณเพิ่งตรวจสอบ

มันไม่ได้บ้าอย่างนั้น มันไม่ยากเลยที่จะรักษาความปลอดภัยในฐานะผู้บริโภค คุณไม่จำเป็นต้องใช้เทคนิคขั้นสูงหรือวิธีแก้ปัญหาที่มีอยู่ แค่คิดเกี่ยวกับสามัญสำนึก

ฉันคิดว่าสองปัจจัยคือระบบที่สร้างความสับสนให้กับผู้คนจำนวนมากและข่มขู่ผู้คนจำนวนมาก พวกเขาคิดว่าพวกเขาจะต้องเช็คเอาต์ทางโทรศัพท์ทุกครั้งที่ลงชื่อเข้าใช้บัญชีอีเมลของพวกเขาและนั่นไม่ใช่กรณี คุณต้องทำเพียงครั้งเดียวคุณอนุญาตให้แล็ปท็อปนั้นและการทำเช่นนั้นทำให้คนอื่นไม่สามารถลงชื่อเข้าใช้บัญชีของคุณจากแล็ปท็อปอื่นซึ่งเป็นเครื่องป้องกันขนาดใหญ่

อย่างแน่นอน ใช่ด้วยเหตุผลบางอย่างมันทำให้ผู้คนจำนวนมากตกใจ บางคนมีการตั้งค่าที่คุณอาจต้องทำทุก ๆ 30 วัน แต่ ยังคง มันไม่ยุ่งยากอย่างที่คิดและเป็นข้อได้เปรียบด้านความปลอดภัยที่ยิ่งใหญ่สำหรับการติดตั้ง ฉันอยากจะแนะนำให้วางปัจจัยสองอย่างในสถานที่

คุณไม่ได้อยู่ในอุตสาหกรรมนี้มานาน แต่คุณสามารถแบ่งปันว่าคุณได้เห็นภูมิทัศน์อย่างไร เปลี่ยนแปลง ตั้งแต่คุณเริ่ม? อย่างไร ภัยคุกคามทางไซเบอร์มี วิวัฒนาการในเวลานั้น?

จริง ๆ แล้วฉันเคยอยู่ในโลกไซเบอร์และมีความสนใจจริง ๆ เป็นเวลา 15 ปี นับตั้งแต่ฉันอายุ 13 ปีและฉันบริหาร บริษัท เว็บโฮสติ้งที่ใช้ร่วมกัน มีการมุ่งเน้นไปที่การปกป้องเว็บไซต์ของลูกค้าของเราและการดูแลเซิร์ฟเวอร์และทำให้แน่ใจว่าเซิร์ฟเวอร์เหล่านั้นถูกล็อค คุณดูว่าความรู้ก้าวหน้าไปถึงฝั่งของผู้โจมตีอย่างไร ฉันคิดว่าการรักษาความปลอดภัยเป็นอุตสาหกรรมที่เพิ่งตั้งขึ้นใหม่ในความถูกต้องของตัวเองมันมีการพัฒนาอยู่ตลอดเวลาและมีโซลูชั่นและเทคโนโลยีนวัตกรรมใหม่ ๆ อยู่เสมอ ฉันคิดว่ามันน่าตื่นเต้นที่ได้เห็นนวัตกรรมที่รวดเร็วในพื้นที่นี้ เป็นเรื่องที่น่าตื่นเต้นที่ บริษัท ต่างๆจะได้รับประโยชน์จากวิธีการแก้ปัญหาแบบเอนเอียงมากขึ้นเรื่อย ๆ การย้ายออกจากชื่อ defacto ที่เราเคยได้ยินมา Symantecs และ McAfees ของโลกและก้าวไปสู่ ​​บริษัท ใหม่บางแห่งที่อยู่ข้างนอกโดยตระหนักว่าพวกเขาจะต้องมีนวัตกรรมด้วยวิธีที่พวกเขาเข้าใกล้โลกไซเบอร์ และหากไม่ใช่ผู้โจมตีจะก้าวไปข้างหน้าหนึ่งก้าว

มันเคยเป็นเรื่องเกี่ยวกับไวรัสเป็นส่วนใหญ่และคุณจะต้องอัปเดตคำจำกัดความของคุณและคุณจะจ่ายให้ บริษัท เพื่อจัดการฐานข้อมูลนั้นสำหรับคุณและตราบใดที่คุณมีความปลอดภัยจาก 90 เปอร์เซ็นต์ของภัยคุกคาม . แต่วันนี้ภัยคุกคามพัฒนาขึ้นเร็วกว่ามาก และมีองค์ประกอบในโลกแห่งความเป็นจริงที่ผู้คนจะเปิดเผยตัวเองเพราะพวกเขาได้รับการโจมตีแบบฟิชชิงพวกเขาตอบสนองและส่งมอบสิทธิของพวกเขา นั่นเป็นวิธีที่องค์กรของพวกเขาถูกแทรกซึมและนั่นเป็นปัญหาด้านการศึกษามากกว่าเรื่องเทคโนโลยี

ฉันคิดว่าการโจมตีส่วนใหญ่ที่ประสบความสำเร็จนั้นไม่ใช่ขั้นสูง ตัวหารร่วมน้อยที่สุดของความปลอดภัยขององค์กรใด ๆ เป็น ผู้คน. หากผู้คนไม่ได้รับการศึกษาที่จะไม่คลิกอีเมลเมื่อดูน่าสงสัยให้ลองเล่นใหม่ มันง่ายเกินไปในทุกวันนี้และมี บริษัท จำนวนมากที่พยายามจะโจมตีปัญหาที่มุ่งเน้นไปที่ฟิชชิ่งโดยเฉพาะ นอกเหนือจากโซลูชันอื่น ๆ ทั้งหมดที่พวกเขาวางไว้เพื่อแก้ไขช่องโหว่การจัดการกับภัยคุกคามทางไซเบอร์ แต่เราต้องจัดการกับปัญหาของคนก่อนเพราะตอนนี้เราแค่ทำให้มันง่ายเกินไป

ฉันชอบที่จะดูงานวิจัยเกี่ยวกับจำนวนภัยคุกคามที่เป็นเพียงอีเมล แค่ออกไปหลายพันอีเมลออกไปและผู้คนคลิกที่สิ่งต่างๆ ผู้คนสร้างกระบวนการและชุดของเหตุการณ์ที่ไม่สามารถควบคุมได้ แต่มันมาทางอีเมลเพราะอีเมลนั้นง่ายและแพร่หลายและคนดูถูกดูแคลน

เราเริ่มเห็นแล้วว่ามันเปลี่ยนจากการโจมตีทางอีเมลเป็นฟิชชิงทางสังคม สิ่งที่น่ากลัวเกี่ยวกับเรื่องนี้ก็คือมีความไว้วางใจที่แฝงอยู่ในสื่อสังคมออนไลน์ หากคุณเห็นลิงค์มาจากเพื่อนของ เพื่อน หรือแม้แต่บัญชีที่ถูกบุกรุกของเพื่อนคุณอาจจะมีแนวโน้มที่จะคลิกมากกว่านั้น การเชื่อมโยง หรือดาวน์โหลดไฟล์และมันก็น่ากลัว คุณมีความสามารถในการเข้าถึงผู้ชมที่กว้างขึ้นใช่ไหม? คุณไม่ได้ส่งอีเมลไปหาผู้คนตอนนี้คุณสามารถโพสต์ทวีตพร้อมลิงค์ที่เชื่อมโยงไปถึงคนหลายหมื่นคนโดยอัตโนมัติโดยขึ้นอยู่กับบัญชีที่คุณกำลังนั่งอยู่ นั่นเป็นสาเหตุที่ทำให้บัญชีเหล่านี้มีความเป็นธรรมชาติมากขึ้นและส่งผลกระทบต่อผู้คนมากขึ้นกว่าเดิม

ให้ฉันถามคุณเกี่ยวกับความปลอดภัยของมือถือ วันแรกเราบอกคนอื่นว่าคุณมีอุปกรณ์ iOS คุณอาจไม่ต้องการแอนติไวรัสถ้าคุณมีอุปกรณ์ Android บางทีคุณอาจต้องการติดตั้ง เราก้าวหน้าไปจนถึงจุดที่เราต้องการซอฟต์แวร์ความปลอดภัยในโทรศัพท์ทุกรุ่นหรือไม่?

ฉันคิดว่าเราต้องเชื่อมั่นในความปลอดภัยที่อบเข้าสู่อุปกรณ์ด้วยตัวเอง ยกตัวอย่างเช่นที่ Apple ได้ออกแบบระบบปฏิบัติการของพวกเขาดังนั้นทุกสิ่งจึงถูกบรรจุไว้ในกล่อง แอปพลิเคชันไม่สามารถทำอะไรได้มากมายนอกเหนือจากขอบเขตของแอปพลิเคชันนั้น Android ได้รับการออกแบบแตกต่างกันเล็กน้อย แต่สิ่งที่เราต้องรู้ก็คือเมื่อเราให้แอปพลิเคชันเข้าถึงสิ่งต่าง ๆ เช่นที่ตั้งของเราสมุดที่อยู่ของเราหรือข้อมูลอื่น ๆ ที่อยู่ในโทรศัพท์นั้นซึ่งกำลังจะออกไปทันที . และมีการปรับปรุงอยู่ตลอดเวลาดังนั้นเมื่อคุณย้ายตำแหน่งของคุณจะถูกส่งกลับไปยังคลาวด์เพื่อใครก็ตามที่เป็นเจ้าของแอปพลิเคชันนี้ คุณต้องคิดจริงๆเกี่ยวกับ "ฉันเชื่อถือคนเหล่านี้ด้วยข้อมูลของฉันหรือไม่ฉันเชื่อมั่นในความปลอดภัยของ บริษัท นี้หรือไม่?" เพราะในที่สุดหากพวกเขากำลังจัดเก็บสมุดที่อยู่ของคุณและข้อมูลที่ละเอียดอ่อนของคุณหากใครก็ตามที่เข้าไปบุกรุกพวกเขาตอนนี้พวกเขาสามารถเข้าถึงได้

และมันเข้าถึงได้ตลอด

ถูกตัอง.

คุณต้องคิดนอกกรอบ เพียงเพราะคุณกำลังดาวน์โหลดเกมใหม่ที่ดูเท่ห์ถ้าพวกเขาขอข้อมูลตำแหน่งของคุณและข้อมูลปฏิทินของคุณและเข้าถึงโทรศัพท์ได้อย่างสมบูรณ์คุณจะเชื่อใจพวกเขาว่ามีการเข้าถึงทั้งหมดตลอดไป

ถูกต้องแล้ว ฉันคิดว่าคุณต้องคิดเกี่ยวกับ "ทำไมพวกเขาขอสิ่งนี้? พวกเขาต้องการสิ่งนี้จริง ๆ ?" และมันก็โอเคที่จะพูดว่า "ปฏิเสธ" และดูว่าเกิดอะไรขึ้น อาจจะไม่ส่งผลกระทบอะไรเลยและคุณต้องสงสัยว่า "ทำไมพวกเขาถึงถามอย่างนั้น?"

มีแอพนับพันที่ถูกสร้างขึ้นเพื่อรวบรวมข้อมูลส่วนบุคคลพวกเขาเพียงแค่ให้คุณค่าบางอย่างเพื่อให้คุณดาวน์โหลด แต่วัตถุประสงค์ที่แท้จริงคือการรวบรวมข้อมูลของคุณและตรวจสอบโทรศัพท์ของคุณ

จริงๆแล้วมันเป็นปัญหาที่แพร่หลายที่คุณเห็นเอนทิตีที่เป็นอันตรายเหล่านี้ในการสร้างแอพที่ดูเหมือนแอพอื่น ๆ บางทีพวกเขาแกล้งทำเป็นธนาคารออนไลน์ของคุณเมื่อพวกเขาไม่ ที่จริงแล้วพวกเขาแค่ฟิชชิ่งสำหรับข้อมูลประจำตัวของคุณดังนั้นคุณต้องระมัดระวังจริงๆ อย่างชัดเจน มีกระบวนการตรวจสอบที่แอพเหล่านี้ต้องดำเนินการก่อนที่จะเผยแพร่ไปยังแอพสโตร์ แต่ไม่สามารถป้องกันได้

ฉันต้องการถามคำถามที่ฉันถามทุกคนที่มาในรายการนี้ มีแนวโน้มเทคโนโลยีเฉพาะที่ทำให้คุณกังวลมากที่สุดหรือไม่ ช่วยให้ คุณนอนดึกไหม

แท้จริง เรากำลังพูดถึงมือถือและฉันคิดว่าการยอมรับอย่างรวดเร็วของมือถือและการทำธุรกรรมของทุกคนที่เกิดขึ้นบนมือถือและเว็บเบราว์เซอร์ สิ่งที่น่ากลัวสำหรับฉันคือการขาดความขยันด้านความปลอดภัยที่เกิดขึ้นจากมุมมองของ บริษัท คนที่กำลังพัฒนาแอปพลิเคชันเหล่านี้ พวกเขาไม่ได้คิดถึงการรักษาความปลอดภัยในแอปพลิเคชันเหล่านี้ในลักษณะเดียวกับที่ใช้กับเครือข่ายองค์กรและสภาพแวดล้อมของเว็บแอปพลิเคชันดังนั้นจึงมี API ที่ไวต่อการถูกโจมตี พวกเขากำลังจัดเก็บรหัสผ่านบนอุปกรณ์การเข้ารหัสมักจะนำไปใช้อย่างไม่ถูกต้อง มันน่ากลัวสำหรับฉันเพราะรู้ว่ามีคนจำนวนมากกำลังทำธุรกรรมบนอุปกรณ์เหล่านี้ แต่ บริษัท ที่พัฒนาแอปเหล่านี้ไม่ได้คิดถึงความปลอดภัยในลักษณะเดียวกับที่พวกเขาเป็นอย่างอื่น ฉันคิดว่ามันจะดีขึ้น แต่เรายังไม่ได้อยู่ที่นั่น

มีแอพหรือบริการหรือแกดเจ็ตที่คุณใช้ทุกวันที่สร้างแรงบันดาลใจให้คุณหรือไม่

นั่นเป็นคำถามที่ดี ฉันเป็นแฟนตัวยงของชุดเครื่องมือของ Google พวกเขามีปฏิสัมพันธ์และทำงานได้ดีมากและรวมเข้าด้วยกันเป็นอย่างดีดังนั้นฉันจึงเป็นผู้ใช้ Google Apps รายใหญ่ และไม่ใช่เพียงเพราะ Google เป็นนักลงทุนใน บริษัท ของเรา

มี Google นิดหน่อยในทุกที่

มี Google เล็กน้อยทุกที่

มีบางอย่างที่ต้องบอกว่าสละเวลาสักครู่และให้เครดิตพวกเขาสำหรับสิ่งที่พวกเขาทำ พวกเขาต้องการทำให้ข้อมูลของโลกสามารถค้นหาและเข้าใจได้และพวกเขาก็ทำได้ดีมาก

จริงๆแล้วเราเพิ่งได้ไวท์บอร์ดใหม่ไวท์บอร์ดดิจิตอลในออฟฟิศของเรา - Jamboard - และเป็นหนึ่งในอุปกรณ์ที่เจ๋งที่สุดที่ฉันเคยเห็นมานาน เพียงแค่ความสามารถในการเขียนไวท์บอร์ดบางสิ่งออกมาบันทึกและนำมันกลับมาหรือโต้ตอบและมีส่วนร่วมกับใครบางคนในอีกปลายหนึ่งหรือทุกคนบน iPad ฉันหมายความว่ามันยอดเยี่ยมมากและพูดคุยเกี่ยวกับการทำงานร่วมกันจากระยะไกลมันทำให้ง่ายขึ้นมาก

มันน่าตื่นเต้นที่ได้เห็นความก้าวหน้าในวิธีที่เราสามารถทำงานร่วมกันได้ เราไม่จำเป็นต้องมีคนตั้งอยู่ใจกลางในที่ทำงานเดียวเราสามารถนำความคิดเก่า ๆ ที่ไม่ดีมาใช้ได้และฉันคิดว่ามันเจ๋งจริงๆ

เป็นผลิตภัณฑ์ที่ยอดเยี่ยมมาก เราทดสอบในห้องปฏิบัติการและเรามีปัญหาบางอย่างกับซอฟต์แวร์บางอย่าง แต่มันเป็น เป็นครั้งแรก รุ่น มันเพิ่งออกมาเมื่อสองเดือนก่อนและมันจะเป็นวิธีที่ผู้คนสื่อสารกันในห้องประชุมอีกหลายปี

เห็นด้วยอย่างยิ่ง.

เพียงแค่ต้องการอัปเดตซอฟต์แวร์สองสามตัวเพื่อให้ง่ายขึ้นเล็กน้อย

มันเป็นรถเล็ก ๆ น้อย ๆ แต่ก็ยังน่าทึ่ง

คนอื่นจะติดตามคุณและติดตามคุณทางออนไลน์และติดตามสิ่งที่คุณทำอยู่ได้อย่างไร

ใช่ฉันพูดเบาและรวดเร็ว @JayKaplan บล็อกของเราที่ Synack.com/blog นั่นเป็นสถานที่ที่ดีสำหรับคุณที่จะได้ยินข่าวล่าสุดเกี่ยวกับความปลอดภัยทางไซเบอร์และสิ่งที่เราทำในฐานะ บริษัท และฉันมีการโพสต์ข้อความบางครั้ง ฉันอยู่ใน LinkedIn ด้วยเช่นกันโพสต์ที่นั่นบ่อย ๆ ฉันพยายามใช้งานโซเชียลมีเดียอย่างต่อเนื่อง ฉันไม่ได้ดีที่สุด

ใช้เวลานานมาก

ที่มัน แต่ฉันพยายาม

คุณมีงานที่ต้องทำเช่นกัน

เผง