Video: Jay Kaplan: Crowdsourcing Cybersecurity [Entire Talk] (Listopad 2024)
V dnešní době můžete davovat téměř cokoli, včetně zabezpečení.
Ve společnosti Synack vybudoval automatizovaný systém detekce hrozeb a vytvořil síť stovek výzkumných pracovníků v oblasti bezpečnosti na celém světě, aby rozšířil penetrační testování na další úroveň. V nedávné diskusi ze San Francisca jsme hovořili o stavu kybernetické bezpečnosti, hackerech s bílými klobouky a o krocích, které osobně podniká, aby zajistil jeho zabezpečení online. Přečtěte si přepis nebo si prohlédněte video níže.
Ze všech vašich titulů může být generální ředitel a spoluzakladatel velmi působivý, ale to, co na mě udělá dojem, pracuje jako člen červeného týmu na ministerstvu obrany. Chápu, že nám nemusíte vědět všechno
Jako člen jakéhokoli červeného týmu jako součást jakéhokoli
Vy to spojujete s mou prací v NSA, kde jsem místo útoku pro obranné účely byl na
Zdá se mi, že jste použili stejný přístup, přivedli jste jej do soukromého sektoru, a vy, myslím, zaměstnáváte legie hackerů a zabezpečení sítě crowdsourcingu. Promluvte si s námi o tom, jak to funguje.
Přístup, který používáme, je spíše přístupem založeným na hackerech. Využíváme globální síť špičkových výzkumných pracovníků v oblasti bílého klobouku ve více než 50 různých zemích a efektivně jim platíme na základě výsledků, abychom odhalili zranitelnost v zabezpečení u našich podnikových zákazníků, a nyní děláme spoustu práce s vládou také.
Celým cílem je získat více očí na problém. Myslím, že je jedna věc, když jeden nebo dva lidé hledají systém, síť, aplikaci a snaží se zbavit tuto chybu zranitelnosti. Je to další, kdo říká možná 100, 200 lidí, všichni
Kdo by byl typický zákazník? Bylo by to jako Microsoft, který říká: „Uvádíme na trh novou platformu Azure, přijďme vyzkoušet a strkat díry v našem systému?“
Může to být kdekoli od velké technologické společnosti, jako je Microsoft, až po velkou banku, kde chtějí vyzkoušet své online a mobilní aplikace, bankovní aplikace. Může to být také federální vláda; spolupracujeme s DoD a službou Internal Revenue Service, abychom zamkli místo, kde zadáváte informace o poplatcích, nebo z pohledu DoD věci, jako jsou mzdové systémy a další systémy, které obsahují velmi citlivá data. Je důležité, aby tyto věci nebyly ohroženy, jak jsme všichni viděli v minulosti, může to být velmi, velmi škodlivé. Konečně přistupují k řešení problému progresivněji a vzdávají se více komoditizovaných řešení, jaké jsme viděli v minulosti.
Jak najdete lidi? Představuji si, že to nezveřejňujete na nástěnce a řeknete: „Hej, nasměrujte na to své energie a pak, pokud najdete něco, dejte nám vědět a my vám zaplatíme.“
Na začátku
Pokud se podíváte na některé statistiky, říkají, že do roku 2021 budeme mít 3, 5 milionu otevřených pracovních míst v oblasti kybernetické bezpečnosti. Existuje obrovské odpojení nabídky a poptávky a výzva, kterou se snažíme vyřešit. Využití crowdsourcingu k vyřešení tohoto problému pro nás velmi dobře fungovalo, protože je nemusíme najímat. Jsou na volné noze a opravdu jen dostat více očí na tento problém půjčuje k lepším výsledkům.
Z
Mohou tito hackeři s vámi vydělat více peněz, než by mohli sami na Temném webu vydělat? Je to výhodné, být v tomto modelu bílý klobouk?
Existuje běžná mylná představa, že, jak víte, pracujete na Temném webu a automaticky se stanete tak bohatým člověkem.
Hodně vás také trhají.
Hodně vás otrhnou, ale realitou jsou lidé, se kterými pracujeme, jsou vysoce profesionální a etičtí. Pracují pro velmi velké společnosti nebo jiné bezpečnostní poradenské firmy a existují lidé, kteří v nich mají hodně etiky, že nechtějí dělat věci nezákonně. Chtějí jednat, milují hackování, milují lámání věcí, ale chtějí to dělat v prostředí, kde vědí, že nebudou stíháni.
To je pěkné plus. Co vidíte jako hlavní hrozby
Je to opravdu zajímavé. Pokud byste se mě na tuto otázku zeptali před několika lety, řekl bych, že národní státy jsou nejlépe vybavené organizace, které jsou úspěšné při kybernetických útocích. Myslím, že sedí na zásobách nulových vykořisťování, mají spoustu peněz a spoustu zdrojů.
Vysvětlete ten nápad sedět na těch zásobách nulových dnů. Protože to je něco, co mimo bezpečnostní prostor, nemyslím si, že by průměrný člověk opravdu rozuměl.
Efektivní vykořisťování nultého dne je tedy zranitelností možná ve velkém operačním systému, který možná nikdo neví o jiné než té jedné organizaci. Našli to, sedí na tom a využívají to ve svůj prospěch. Vzhledem k tomu, kolik peněz vložili do výzkumu a vývoje, a vzhledem k tomu, kolik peněz platí za své zdroje, mají schopnost tyto věci najít tam, kde je nikdo jiný nenajde. To je velký důvod, proč jsou tak úspěšní v tom, co dělají.
Obvykle to dělají za účelem získávání zpravodajských informací a pomáhají našim tvůrcům rozhodnutí přijímat lepší politická rozhodnutí. Vidíme posun v posledních několika letech, kdy zločinecké syndikáty využívají některé z těchto nástrojů úniku pro svou výhodu. Pokud se podíváte na únik Shadow Brokers jako jeho hlavní příklad, je to tam docela děsivé. Zatímco prodejci opravují své systémy, podniky a společnosti tam venku ve skutečnosti nevyužívají ty náplasti, které by je nechávaly náchylné k útokům a umožňovaly padouchům proniknout do jejich organizací a vydávat například ransomware, aby se pokusily získat peníze z nich.
Infekce WannaCry zasáhla obrovský počet systémů, ale ne systémy Windows 10. Bylo to zneužití, které bylo opraveno, pokud si lidé stáhli a nainstalovali, ale mnoho milionů lidí ne a to otevřelo dveře.
Přesně tak. Správa záplat je pro většinu organizací stále velmi obtížná věc. Nemají informace o tom, jaké verze jsou spuštěny, jaké políčka byly opraveny a které nemají, a to je jeden z důvodů, proč jsme vytvořili celý náš obchodní model - více se na tento problém díváme, proaktivní se snažíme odhalit systémy, které nebyly opraveny, a říkají našim zákazníkům: „Hele, raději tyto věci napravte, nebo se chystáte na další velké porušení nebo útoky jako WannaCry budou úspěšné proti vašim organizacím.“ A naši zákazníci využívají naše služby nepřetržitě, jedná se o skutečně úspěšný případ použití.
Prodáváte své služby pro krátkodobé testování? Nebo by mohlo také probíhat?
Tradičně byl penetrační test typu point-in-time, je to tak? Říkáš, že pojď za týden, za dva týdny, dej mi zprávu a pak se uvidíme o rok později, až budeme připraveni na další audit. Snažíme se posunout zákazníky k mentalitě, že infrastruktura je vysoce dynamická, neustále tlačíte změny kódu do svých aplikací, kdykoli můžete zavádět nová zranitelná místa. Proč se na tyto věci dívat z hlediska bezpečnosti nepřetržitě stejným způsobem, jakým jste s vývojovým životním cyklem?
A software jako služba je skvělý model. Služba jako služba je také skvělý model.
To je správně. Máme velké softwarové komponenty, které sedí na zadní straně tohoto, takže máme celou platformu, která usnadňuje nejen interakci mezi našimi výzkumníky a našimi zákazníky, ale také budujeme automatizaci, abychom řekli: „Hej, abychom vytvořili naši výzkumníci efektivněji a efektivněji pracují, pojďme automatizovat věci, na které nechceme, aby trávili čas. ““ Že jo? Všechny nízko visící plody, které jim dávají více kontextu prostředí, do kterého chodí, a zjišťujeme, že toto párování člověka a stroje funguje velmi dobře a je velmi silné v prostoru kybernetické bezpečnosti.
Právě jste se vrátil z Black Hat, není to tak dávno, kdy jste viděl spoustu děsivých věcí, představoval bych si. Bylo tam něco, co tě překvapilo?
Víš, na Defcon bylo velké zaměření na hlasovací systémy, a myslím, že jsme o tom všichni viděli spoustu tisku. Myslím, že jen vidět, jak rychle jsou hackeři schopni převzít kontrolu nad jedním z těchto hlasovacích systémů vzhledem k fyzickému přístupu, je docela děsivé. To vás opravdu zpochybňuje výsledky předchozích voleb. Vzhledem k tomu, že není mnoho systémů, které mají papírové stopy, myslím, že je to docela děsivá nabídka.
Kromě toho se však hodně soustředilo na kritickou infrastrukturu. Jedna přednáška se zaměřila na v podstatě hackování radiačních systémů, které detekují záření v jaderných elektrárnách a jak snadné je do těchto systémů nějak proniknout. Myslím, že věci jsou docela děsivé a pevně věřím, že naše kritická infrastruktura je na docela špatném místě. Myslím, že většina z toho je dnes ve skutečnosti kompromitována a po celé naší kritické infrastruktuře sedí celá řada implantátů, které čekají na využití v případě, že půjdeme do války s jiným národním státem.
Takže když řeknete „Naše kritická infrastruktura je dnes ohrožena, “ máte na mysli, že v elektrických továrnách, v jaderných elektrárnách, větrných farmách je kód, který tam byl umístěn zahraničními silami a který mohl být kdykoli aktivován?
Ano. Přesně tak. Nemám nic, co by to muselo podpořit
Můžeme se nějak uklidnit v tom, že pravděpodobně máme podobný vliv na naše protivníky a máme svůj kód v jejich kritické infrastruktuře, takže alespoň existuje možná vzájemně zajištěná destrukce, na kterou se můžeme spolehnout?
Předpokládal bych, že děláme věci, které jsou velmi podobné.
Dobře. Předpokládám, že nemůžete říct všechno, co byste mohli vědět, ale já se uklidňuji tím, že se válka vede. Samozřejmě nechceme, aby se to nějakým způsobem eskalovalo do tvaru nebo formy, ale alespoň bojujeme na obou stranách a pravděpodobně bychom se měli více soustředit na obranu.
To je správně. Chtěli bychom se určitě více soustředit na obranu, ale naše útočné schopnosti jsou stejně důležité. Víte, že jste schopni pochopit, jak na nás naši protivníci útočí a jaké jsou jejich schopnosti
Chtěl jsem se vás tedy zeptat na téma, které bylo ve zprávách
Těžko to vědět? A myslím, že vzhledem k tomu, že musíme zpochybňovat vazby na tyto organizace, musíme být při zavádění opatrní, zejména při rozsáhlém zavádění. Něco tak rozšířeného jako antivirové řešení, jako je Kaspersky, na všech našich systémech, je vláda opatrná a vzhledem k tomu, že máme řešení, domácí řešení, stejným způsobem, jakým se snažíme stavět naše jaderné hlavice a naše systémy protiraketové obrany v USA, měli bychom využít řešení, která jsou v USA vybudována, z pohledu kybernetické bezpečnosti. Myslím, že to se nakonec snaží udělat.
Co si myslíte, že je věcí číslo jedna, kterou většina spotřebitelů dělá z bezpečnostního hlediska špatně?
Na úrovni spotřebitelů je to jen velmi základní, že? Myslím, že většina lidí nepraktikuje bezpečnostní hygienu. Cyklování hesel, používání různých hesel na různých webech, používání nástrojů pro správu hesel, dvoufaktorové ověřování. Nemohu vám říci, kolik lidí to dnes prostě nevyužívá, a překvapuje mě, že služby, které spotřebitelé používají, je na ně jen nenutí. Myslím, že některé banky to začínají dělat, což je skvělé vidět, ale stále vidíme, že účty sociálních médií jsou ohroženy, protože lidé nemají dva činitele, je v mých očích prostě trochu šílené.
Takže dokud se nedostaneme za základní bezpečnostní hygienu, nemyslím si, že můžeme začít mluvit o některých pokročilejších technikách, které se mají chránit.
Takže, řekněte mi něco o svých osobních bezpečnostních postupech? Používáte správce hesel?
Samozřejmě. Samozřejmě. používám
Služby VPN mohou trochu zpomalit vaše připojení, ale je relativně snadné je nastavit a jeden můžete získat za pár dolarů měsíčně.
Nastavení je velmi snadné a chcete jít s renomovaným poskytovatelem, protože odesíláte provoz
Zároveň dělám jednoduché věci, jako je aktualizace mého systému, kdykoli je na mém mobilu aktualizace
Není to tak šílené. Opravdu není tak těžké zůstat v bezpečí jako spotřebitel. Nemusíte používat velmi pokročilé techniky nebo řešení, která jsou tam venku. Jen přemýšlejte o zdravém rozumu.
Myslím, že dvoufaktorový systém je matoucí pro mnoho lidí a zastrašuje mnoho lidí. Myslí si, že se budou muset odbavit na svém telefonu pokaždé, když se přihlásí ke svému e-mailovému účtu, a není tomu tak. Stačí to udělat jednou, autorizujete tento notebook a tím, že někdo jiný se nemůže přihlásit k vašemu účtu z jakéhokoli jiného notebooku, což je obrovská ochrana.
Absolutně. Jo, z nějakého důvodu to děsí mnoho lidí. Některé z nich jsou nastaveny tam, kde to budete muset udělat každých 30 dní, ale
Nebyli jste v tomto odvětví tak dlouho, ale můžete sdílet, jak jste viděli krajinu
Vlastně jsem byl v kybernetické bezpečnosti a opravdu mě to zajímalo asi 15 let. Od svých 13 let jsem provozoval sdílenou webhostingovou společnost. Velký důraz byl kladen na ochranu webových stránek našich zákazníků a správu serverů a na zajištění těchto serverů uzamčených. Díváte se na to, jak věda postupovala na stranu útočníka. Myslím, že bezpečnost je rodící se odvětví samo o sobě, neustále se vyvíjí a vždy existuje řada nových inovativních řešení a technologií. Myslím, že je vzrušující vidět rychlé tempo inovací v tomto prostoru. Je vzrušující vidět, jak společnosti využívají více progresivně naklánějících řešení, jakési odklonění od názvů defacto, o kterých jsme všichni slyšeli,
Bývalo to tak, že šlo většinou o viry a že byste museli aktualizovat své definice, a platili byste společnosti, která za vás spravuje databázi, a pokud jste měli, že jste z 90 procent hrozeb v bezpečí. Hrozby se však dnes vyvíjely mnohem rychleji. A je zde součást skutečného světa, ve které se lidé vystavují, protože dostanou phishingový útok, reagují a předávají své přihlašovací údaje. To je způsob, jak se jejich organizace pronikne a to je téměř vzdělávací problém než technologický problém.
Myslím, že většina útoků, které jsou úspěšné, není tak pokročilá. Nejmenší společný jmenovatel bezpečnosti každé organizace
Rád bych viděl průzkum o tom, kolik hrozeb je pouze založeno na e-mailu. Jen tisíce a tisíce e-mailů chodí a lidé klikají na věci. Lidé vytvářejí proces a řadu událostí, které se vymknou kontrole. Ale přichází prostřednictvím e-mailu, protože e-mail je tak snadný a všudypřítomný a lidé jej podceňují.
Začínáme vidět, jak přechází z útoků založených na e-mailu na sociální phishing a útoky typu phishing. To, co děsí, je, že existuje důvěra vrozená do sociálních médií. Pokud vidíte odkaz od přítele a
Dovolte mi zeptat se na mobilní zabezpečení. V prvních dnech jsme lidem říkali, že máte zařízení iOS, které pravděpodobně nepotřebujete antivirový program, pokud máte zařízení Android, možná ho budete chtít nainstalovat. Pokročili jsme do bodu, kdy potřebujeme bezpečnostní software na každém telefonu?
Myslím, že musíme skutečně důvěřovat bezpečnosti, která je zapečená do samotných zařízení. Vzhledem k tomu, jak například Apple navrhl svůj operační systém, takže je všechno v karanténě, že? Aplikace nemůže dělat spoustu věcí mimo omezení této aplikace. Android je navržen trochu jinak, ale musíme si uvědomit, že když dáváme aplikacím přístup k věcem, jako je naše poloha, náš adresář nebo jakákoli jiná data, která jsou na tomto telefonu, která okamžitě vyjde ze dveří. A neustále se aktualizuje, takže když se pohybujete, vaše poloha se odesílá zpět do cloudu každému, kdo vlastní tuto aplikaci. Musíte opravdu přemýšlet o tom, zda věřím těmto lidem s mými informacemi? Věřím bezpečnosti této společnosti? Protože v konečném důsledku mají přístup k vašemu adresáři ak citlivým údajům, pokud je někdo ohrožuje.
A je to trvalý přístup.
To je správně.
Musíte myslet mimo krabici. Právě proto, že stahujete novou hru, která vypadá skvěle, pokud požádáte o informace o vaší poloze a informace o kalendáři a získáte úplný přístup k telefonu, věříte jim, že budou mít tento přístup navždy.
Přesně tak. Myslím, že opravdu potřebujete přemýšlet o tom, "proč o to žádají? Opravdu to potřebují?" A je v pořádku říci „Odepřít“ a zjistit, co se stane. Možná to nic neovlivní, a pak se opravdu musíte divit, „proč na to opravdu žádali?“
Existují tisíce aplikací, které jsou vytvořeny pouze za účelem shromažďování osobních údajů, pouze nabízejí určitou hodnotu, aby vás mohly stáhnout, ale skutečným jediným účelem je shromažďovat informace o vás a sledovat váš telefon.
Je to vlastně všudypřítomný problém, kdy vidíte tyto škodlivé entity vytvářející aplikace, které vypadají jako jiné aplikace. Možná předstírají, že jsou vaše online banka, když nejsou. Jsou to vlastně jen phishing pro vaše pověření, takže musíte opravdu být opatrní.
Chci se tě na něco zeptat na všechny, které přicházejí na tuto show. Existuje zvláštní technologický trend, který vás nejvíce znepokojuje
Existuje aplikace, služba nebo gadget, který používáte každý den a jen vzbuzuje zázraky, které vás ohromí?
To je dobrá otázka. Jsem velkým fanouškem sady nástrojů Google. Opravdu interagují a pracují velmi dobře a dobře se integrují, takže jsem velký uživatel aplikací Google. a nejde jen o to, že Google je v naší společnosti investorem.
Všude je trochu Google.
Všude je trochu Google.
Je třeba něco říci, že se na chvilku věnují a udělují jim kredit za to, co udělali. Opravdu chtěli zajistit, aby světové informace byly prohledávatelné a srozumitelné, a udělali z toho docela dobrou práci.
Právě jsme dostali novou bílou tabuli, digitální tabuli v naší kanceláři - Jamboard - a je to jedno z nejchladnějších zařízení, které jsem kdy viděl. Jen schopnost něco na tabuli, uložit ji a přivést zpět, nebo komunikovat a zapojit se s někým na jiném konci nebo s kýmkoli na iPadu. Myslím, že je to prostě úžasné, a když mluvíme o spolupráci na dálku, je to mnohem jednodušší.
Je vzrušující vidět tento postup tak, abychom mohli spolupracovat. Nemusíme mít lidi jen centrálně umístěné v jedné kanceláři, můžeme přinést špatné staré nápady a myslím, že je to opravdu super.
Je to velmi, velmi cool produkt. Testovali jsme to v laboratoři a měli jsme nějaké problémy s některým softwarem, ale je to
Naprosto souhlasím.
K tomu, aby to bylo o něco jednodušší, stačí pár aktualizací softwaru.
Je to trochu buggy, ale je to stále úžasné.
Jak vás mohou lidé dohnat a sledovat vás online a sledovat, co děláte?
Jo, jsem na Twitteru @ JayKaplan. Náš blog na adrese Synack.com/blog, je to také skvělé místo, kde si můžete poslechnout nejnovější zprávy o kybernetické bezpečnosti a o tom, co děláme jako společnost, a já tam občas přidávám nějaké příspěvky. Jsem také na LinkedIn a tam každý měsíc zveřejňuji příspěvky. Snažím se zůstat na sociálních médiích tak aktivní, jak umím. Nejsem nejlepší.
Trvá to hodně času.
Na to, ale snažím se.
Musíte také udělat práci.
Přesně tak.
