Відео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Вересень 2024)
Ці дні ви можете переповнити практично все, включаючи безпеку.
У Synack він побудував автоматизовану систему виявлення загроз та створив мережу з сотень дослідників безпеки по всьому світу, щоб пройти тестування на проникнення на новий рівень. У недавній дискусії з Сан-Франциско ми говорили про стан кібербезпеки, хакерів з білими шапками та кроки, які він особисто вживає для забезпечення своєї безпеки в Інтернеті. Прочитайте стенограму або подивіться відео нижче.
З усіх ваших звань генеральний директор та співзасновник може бути дуже вражаючим, але те, що мене вражає, - це робота членом червоної команди Міністерства оборони. Я розумію, що ви, можливо, не зможете сказати нам усіх
Як член будь-якої червоної команди як частина будь-якої
Ви поєднуєте це з моєю роботою в АНБ, де замість нападу в оборонних цілях я був на о
Мені здається, ви застосували той самий підхід, ввели його в приватний сектор, і ви, напевно, використовуєте легіони хакерів і краудсорсинг мережевої безпеки. Поговоріть з нами трохи про те, як це працює.
Підхід, який ми застосовуємо, є скоріше підходом до хакера. Що ми робимо, ми використовуємо глобальну мережу найкращих дослідників з безпеки білого капелюха у понад 50 різних країнах, і ми ефективно платимо їм за результатами, щоб виявити вразливі місця безпеки серед клієнтів нашого підприємства, і зараз ми працюємо в тоні роботи з урядом так само.
Вся мета тут - отримати більше поглядів на проблему. Я маю на увазі, що одне або двоє людей переглядають систему, мережу, додаток і намагаються позбутися цього вразливості. Ще сказати, можливо, 100, 200 людей, кожен
Хто був типовим замовником? Це було б як Microsoft, який говорить: "Ми запускаємо нову платформу Azure. Ходімо, спробуємо пробити дірки в нашій системі?"
Це може бути десь від великої технологічної компанії, як Майкрософт, до великого банку, де вони хочуть протестувати свої онлайн та мобільні додатки, банківські програми. Це також міг бути федеральний уряд; ми працюємо з Міністерством охорони здоров'я та Службою внутрішніх доходів, щоб зафіксувати, де ви подаєте інформацію про платників податків, або з точки зору DoD такі речі, як системи оплати праці та інші системи, де зберігаються дуже чутливі дані. Важливо, щоб ці речі не були порушені, як ми всі бачили в минулому, це може бути дуже, дуже згубно. Нарешті вони використовують більш прогресивний підхід до вирішення проблеми, відходячи від більш комодизованих рішень, які ми бачили в минулому.
Як ви знаходите людей? Я думаю, ти не просто розмістиш його на дошці повідомлень і кажеш: "Ей, спрямовуйте свою енергію на це, і тоді, якщо ви знайдете щось, повідомте нам про це, і ми вам заплатимо".
На початку
Якщо ви подивитеся на деякі статистичні дані, вони говорять, що до 2021 року у нас буде 3, 5 мільйона відкритих робочих місць у сфері кібербезпеки. Ми намагаємося вирішити масштабне відключення попиту та пропозиції. Використання краудсорсингу для вирішення цієї проблеми надзвичайно добре спрацювало для нас, оскільки нам не потрібно їх наймати. Вони є позаштатними, і справді просто більше уваги на цю проблему дає кращі результати.
З
Чи можуть ці хакери заробити з вами більше грошей, ніж могли самостійно вийти на Темну павутину? Я маю на увазі, чи вигідно бути білою шапочкою в цій моделі?
Існує поширена помилка, що, знаєте, ви працюєте в Темній павутині, і ви автоматично станете такою багатою людиною.
Ви також сильно зриваєтесь.
Вас багато виривають, але насправді люди, з якими ми працюємо, є високопрофесійними та етичними. Вони працюють для дуже великих корпорацій чи інших консалтингових фірм із безпеки, і є люди, у яких багато етики, яка не хоче робити справи незаконно. Вони хочуть діяти, вони люблять хакерство, вони люблять ламати речі, але хочуть робити це в умовах, коли вони знають, що не збираються притягуватися до кримінальної відповідальності.
Це приємний плюс. Що ви бачите як основні загрози
Це справді цікаво. Якби ви поставили мені це питання пару років тому, я б сказав, що національні держави - це найбільш добре оснащена організація, яка має успіх у кібератаках. Я маю на увазі, що вони сидять на запасах подвигів нульового дня, у них багато грошей і багато ресурсів.
Поясніть цю ідею сидіти на цих запасах нульових днів. Тому що це щось, що поза зоною безпеки, я не думаю, що пересічна людина насправді розуміє.
Тож ефективний експлуатування нульового дня є вразливістю, можливо, у великій операційній системі, про яку, крім однієї організації, може бути, ніхто не знає. Вони знайшли його, вони сидять на ньому, і вони використовують це на свою користь. З огляду на те, скільки грошей вони вкладають на дослідження та розробки та враховуючи, скільки грошей вони платять за свої ресурси, вони мають можливість знайти ці речі там, де ніхто більше їх не може знайти. Це велика причина, чому вони настільки успішні в тому, що роблять.
Зазвичай вони роблять це з метою отримання інтелекту і допомагають нашим керівникам прийняти більш якісні рішення. Ми спостерігаємо зрушення протягом останніх кількох років, коли злочинні синдикати користуються деякими з цих інструментів витоку для своєї переваги. Якщо ви дивитесь на течі Брокерів тіней як наглядний приклад цього, це стає досить страшно. Поки продавці виправляють свої системи, підприємства та компанії там фактично не користуються тими виправленнями, залишаючи їх сприйнятливими до атак та даючи можливість поганим хлопцям проникнути в їхні організації та подати викупщики, як приклад, спробувати отримати гроші з них.
Інфекція WannaCry вплинула на величезну кількість систем, але не на системи Windows 10. Це був випадок, який було зафіксовано, якщо люди завантажили та встановили, але багато мільйонів людей цього не зробили, і це відкрило двері.
Це точно так. Управління виправленням - це справді складна річ для переважної більшості організацій. Вони не мають рішення про те, які версії запущені, і які поля були зафіксовані, а які - ні, і це одна з причин, коли ми створили всю свою бізнес-модель - отримувати більше уваги над цією проблемою, ініціювати розкриття. системи, які не були виправлені, і повідомляють нашим клієнтам: "Ей, ви краще виправте ці речі, або ви будете наступним великим порушенням або атаками, як WannaCry, будуть успішними проти ваших організацій". І саме клієнти постійно користуються нашими послугами, це був справді вдалий варіант використання.
Ви продаєте свої послуги для короткотермінового тестування? Або може тривати також?
Традиційно тестування на проникнення було своєчасним типом взаємодії, правда? Ви говорите, заходьте на тиждень, два тижні, дайте мені звіт, а потім ми побачимось через рік, коли ми готові до наступного аудиту. Ми намагаємось перенести клієнтів на думку про те, що інфраструктура дуже динамічна, ти весь час витісняєш зміни коду у своїх додатках, ти можеш вводити нові вразливості в будь-який час. Чому б не дивитися на цей матеріал з точки зору безпеки безперервно так само, як ви ставитесь до життєвого циклу розвитку?
А програмне забезпечення як послуга - чудова модель. Сервіс як послуга - це також чудова модель.
Це вірно. У нас на всьому задньому місці сидять великі компоненти програмного забезпечення, тому у нас є ціла платформа, яка сприяє не тільки взаємодії між нашими дослідниками та нашими замовниками, але ми також створюємо автоматизацію, щоб сказати "Ей, щоб зробити наші дослідники ефективніші та ефективніші на своїх робочих місцях, давайте автоматизуємо те, на що ми не хочемо, щоб вони витрачали час ». Правильно? Всі низько висячі плоди, надаючи їм більше контексту оточення, в яке вони ходять, і ми виявляємо, що спарювання людини та машини працює надзвичайно добре і це дуже потужно в просторі кібербезпеки.
Ви недавно повернулися з Чорного капелюха, де я бачив багато страшних речей. Чи було щось там, що вас здивувало?
Знаєте, у Defcon велика увага приділялася системам голосування, і я думаю, що ми всі бачили багато інформації про це. Я думаю, що бачити, як швидко хакери зможуть взяти під контроль одну з цих систем голосування з фізичним доступом, є досить страшним. Це змушує вас дійсно сумніватися в попередніх результатах виборів. Бачачи, що не так багато систем, які мають паперові стежки, я вважаю, що це досить страшна пропозиція.
Але поза цим, було багато уваги на критичній інфраструктурі. Була одна розмова, яка зосереджувалась на тому, щоб в основному зламати радіаційні системи, що виявляють радіацію на атомних електростанціях, і про те, як легко пробитися до цих систем. Я маю на увазі, що це дуже страшно, і я твердо вірю, що наша критична інфраструктура знаходиться в дуже поганому місці. Я думаю, що більшість із справді сьогодні є компрометованою, і є ціла низка імплантатів, які сидять по всій нашій критичній інфраструктурі, і лише чекають, коли вони будуть використані у випадку, якщо ми підемо на війну з іншою національною державою.
Отже, коли ви говорите "Наша критична інфраструктура сьогодні поставлена під загрозу", ви маєте на увазі, що на комерційних заводах, на атомних станціях, вітряних фермах, які там розміщуються закордонними державами, існує код, який може бути активований будь-коли?
Так. Це точно так. У мене немає нічого необхідного, щоб це підтримати
Чи можемо ми потішити той факт, що ми, мабуть, маємо подібні важелі проти наших супротивників і маємо код у своїй критичній інфраструктурі, так що, принаймні, існує взаємно запевнене знищення, на яке ми можемо покластися?
Я б припустив, що ми робимо речі, дуже схожі.
Добре. Я припускаю, що ти не можеш сказати все, що ти можеш знати, але я втішаюсь тим, що хоча б йде війна. Ми, очевидно, не хочемо, щоб це переросло в будь-якій формі або формі, але, принаймні, ми боремося з обох сторін і, мабуть, ми повинні зосередитися більше на обороні.
Це вірно. Я маю на увазі, ми повинні, безумовно, більше зосереджуватися на обороні, але наші наступальні можливості так само важливі. Ви знаєте, вміючи зрозуміти, як наші противники атакують нас і які їхні можливості
Отже, я хотів би розпитати вас про тему, про яку було в новинах в
Отже, важко знати правильно? І я думаю, враховуючи той факт, що ми маємо ставити під сумнів зв'язки з цими організаціями, ми повинні бути обережними щодо розгортання, особливо широкого розгортання. Щось таке поширене, як антивірусне рішення, як, наприклад, Касперський у всіх наших системах, уряд дотримується обережності, і, враховуючи, що у нас є рішення, доморощені рішення, так само, як ми намагаємося створити наші ядерні боєголовки та наші системи ПРО. США, ми повинні скористатися рішеннями, які будуються в США, з точки зору кібербезпеки. Я думаю, що саме вони намагаються це зробити.
Як ви вважаєте, чи є річ номер один, що більшість споживачів помиляються з точки зору безпеки?
На споживчому рівні це просто дуже просто, чи не так? Я думаю, що більшість людей не дотримуються гігієни безпеки. Циклінг паролів, використання різних паролів на різних веб-сайтах, використання інструментів управління паролями, двофакторна автентифікація. Я не можу сказати вам, скільки людей сьогодні просто не користуються ним, і мене дивує, що послуги, якими користуються користувачі, не просто примушують їх до них. Я думаю, що деякі з банків починають це робити, що чудово бачити, але все одно бачити облікові записи соціальних медіа піддаються компрометації, оскільки люди не мають двофакторних дій - це просто щось божевільне в моїх очах.
Отже, поки ми не пройдемо основні засоби гігієни безпеки, я не думаю, що ми можемо почати говорити про деякі більш прогресивні методи захисту себе.
Отже, розкажіть мені трохи про вашу особисту практику безпеки? Чи використовуєте ви менеджер паролів?
Звичайно. Звичайно. я використовую
Послуги VPN можуть трохи уповільнити ваш зв’язок, але налаштувати їх порівняно просто, і ви можете отримати його за пару доларів на місяць.
Їх дуже просто налаштувати, і ви хочете зв’язатися з авторитетним постачальником, оскільки ви відправляєте трафік
У той же час, просто роблячи прості речі, такі як оновлення моєї системи, щоразу, коли на мобільному телефоні з’являється оновлення
Це не так божевільно. Дійсно не так важко залишатися безпечним як споживач. Вам не доведеться використовувати дуже передові методи або рішення, які там є. Подумайте лише про здоровий глузд.
Я думаю, що двофактор - це система, яка бентежить багато людей і залякує багато людей. Вони думають, що їм доведеться звільнятися на своєму телефоні щоразу, коли вони входитимуть у свій обліковий запис електронної пошти, і це не так. Вам потрібно зробити це один раз, ви авторизуєте цей ноутбук, і тим самим хтось інший не може увійти у ваш обліковий запис з будь-якого іншого ноутбука, що є величезною гарантією.
Абсолютно. Так, чомусь це лякає багатьох людей. Деякі з них налаштовані там, де, можливо, доведеться робити це кожні 30 днів, але, але
Ви давно не були в цій галузі, але можете поділитися тим, як бачили пейзаж
Я насправді був у кібербезпеці і справді цікавився нею, можливо, 15 років. З моєї 13 років я керував спільною веб-хостинговою компанією. Багато уваги було зосереджено на захисті веб-сайтів наших клієнтів та адміністрації сервера, а також на тому, щоб ці сервери були заблоковані. Ви дивитесь, як знання прогресували на сторону нападника. Я думаю, що безпека сама по собі є зародженою галуззю, вона постійно розвивається, і завжди є ряд нових інноваційних рішень та технологій. Я думаю, що цікаво бачити швидкі темпи інновацій у цьому просторі. Захоплююче бачити компанії, що користуються більшою мірою прогресивно схиляються рішень, начебто віддаляючись від назв дефакто, про які ми всі чули,
Раніше це було, що мова йшла переважно про віруси, і вам потрібно буде оновити свої визначення, і ви заплатите компанії за управління цією базою даних за вас, і поки ви мали, що ви майже в безпеці від 90 відсотків загроз . Але сьогодні загрози розвивалися набагато швидше. І в ньому є реальний компонент, де люди піддаються впливу, оскільки отримують фішинг-атаку, вони відповідають і передають свої повноваження. Ось таким чином їх організація проникає, і це майже більше питання освіти, ніж технологічне.
Я думаю, що переважна більшість успішних атак не є настільки передовими. Найменш поширений знаменник безпеки будь-якої організації
Мені б хотілося вивчити, скільки загроз базується лише на електронній пошті. Просто тисячі і тисячі електронних листів виходять і люди клацають на речі. Люди, що створюють процес і низку подій, які виходять з-під контролю. Але він надходить через електронну пошту, оскільки електронна пошта настільки проста і всюдисуща, і люди її недооцінюють.
Зараз ми починаємо бачити, що це перехід від атак на основі електронної пошти до соціального фішингу, атак на підводний фішинг. Що страшно в цьому, це те, що в соціальних мережах є притаманна довіра. Якщо ви бачите посилання, яке надходить від друга а
Дозвольте запитати вас про безпеку мобільних пристроїв. У перші дні ми говорили людям, якщо у вас є пристрій iOS, вам, ймовірно, не потрібен антивірус, якщо у вас Android-пристрій, можливо, ви хочете його встановити. Ми просунулися до того моменту, коли нам потрібне програмне забезпечення безпеки на кожному телефоні?
Я думаю, що ми повинні по-справжньому довіряти безпеці, яка закладена в самих пристроях. Зважаючи на те, як Apple, наприклад, розробила свою операційну систему, щоб все було досить пісочно, так? Додаток не може робити багато поза межами цієї програми. Android розроблений дещо інакше, але те, що ми маємо усвідомлювати, - це те, що ми надаємо додаткам доступ до таких речей, як наше місцезнаходження, наша адресна книга чи будь-які інші дані, що знаходяться на цьому телефоні, це негайно виходить за двері . І він постійно оновлюється, тому під час переміщення ваше місцезнаходження надсилається назад у хмару тому, хто володіє цією програмою. Вам потрібно по-справжньому подумати про те, "чи я довіряю цим людям моєю інформацією? Чи довіряю я безпеці цієї компанії?" Тому що, в кінцевому рахунку, якщо вони містять вашу адресну книгу та ваші конфіденційні дані, якщо хтось з них компрометує, вони тепер мають доступ до неї.
І це вічний доступ.
Це вірно.
Ви повинні думати поза коробкою. Тільки тому, що ви завантажуєте нову гру, яка виглядає круто, якщо вони запитують інформацію про ваше місцезнаходження та інформацію вашого календаря та повний доступ до телефону, ви довіряєте їм мати весь цей доступ назавжди.
Це точно так. Я думаю, що вам дійсно потрібно задуматися над тим, "чому вони просять цього? Чи справді їм це потрібно?" І гаразд сказати "Заперечуй" і подивися, що станеться. Можливо, це нічого не вплине, і тоді вам справді доведеться замислюватися "Ну чому вони насправді просили цього?"
Є тисячі додатків, які створені лише для збору особистої інформації, вони просто пропонують певну цінність, щоб змусити її завантажити, але реальною єдиною метою є збір інформації на вас та моніторинг вашого телефону.
Це насправді поширена проблема, коли ви бачите, як ці зловмисні об'єкти створюють додатки, схожі на інші програми. Можливо, вони претендують на ваш Інтернет-банк, коли їх немає. Вони насправді просто фіширують ваші облікові дані, тому вам потрібно бути обережними.
Я хочу поставити вам питання, які я задаю всім, хто приходить на це шоу. Чи є певна технологічна тенденція, яка вас найбільше хвилює
Чи є додаток, або послуга чи пристосування, яким ви користуєтесь щодня, що просто надихає на диво, що вас вражає?
Це гарне запитання. Я великий шанувальник набору інструментів Google. Вони дійсно взаємодіють і працюють надзвичайно добре та добре інтегруються разом, тому я великий користувач програм Google. і це не лише тому, що Google є інвестором у нашу компанію.
Гугл скрізь небагато.
Гугл скрізь небагато.
Щось можна сказати за те, що миттєво поклали та дали їм подяку за те, що вони зробили. Вони дуже хотіли зробити інформацію у світі пошуковою і зрозумілою, і зробили досить хорошу роботу з цього.
Ми фактично щойно отримали в нашому офісі нову дошку, цифрову дошку - Jamboard - і це один із найкрутіших пристроїв, який я бачив за довгий час. Просто можливість виправити щось на дошці, зберегти його та повернути його назад, взаємодіяти та спілкуватися з кимось із іншого, або з ким-небудь із iPad. Я маю на увазі це просто дивовижно, а розмовляти про співпрацю віддалено, це просто робить це набагато простіше.
Захоплююче бачити цей прогрес у тому, як ми можемо працювати разом. Нам не потрібно, щоб в одному офісі були люди, що знаходяться лише в центрі, ми можемо приносити старі погані ідеї, і я думаю, що це дуже здорово.
Це дуже, дуже класний продукт. Ми перевірили його в лабораторії, і ми мали деякі проблеми з деяким програмним забезпеченням, але це
Абсолютно згідний.
Просто потрібно кілька оновлень програмного забезпечення, щоб зробити це трохи легше.
Це трохи баггі, але все ж дивовижно.
Як люди можуть наздогнати вас і стежити за вами в Інтернеті та стежити за тим, що ви робите?
Так, я на Twitter @JayKaplan. Наш блог на Synack.com/blog, це також чудове місце для того, щоб ви могли дізнатися про останні новини про кібербезпеку, а також про те, що ми робимо як компанія, і у мене є раз по раз там. Я також на LinkedIn, так часто публікую публікації там. Я намагаюся залишатися максимально активною в соціальних медіа. Я не найкращий.
Це займає багато часу.
На це, але я намагаюся.
У вас теж є робота.
Саме так.
