Kaplan jay kaplan Synack mempunyai tentera peretas topi putih

Anda boleh melihat banyak perkara pada hari ini, termasuk keselamatan.

Dalam episod Fast Forward, saya bercakap dengan Jay Kaplan, the Ketua Pegawai Eksekutif dan pengasas bersama Synack. Sebelum menubuhkan Synack, Jay berkhidmat dalam pelbagai kedudukan berkaitan keselamatan siber di Jabatan Pertahanan dan sebagai Pengeksploitasi Rangkaian Komputer dan Pengamalan Kanan di Pentadbiran Keselamatan Negara.

Di Synack, beliau membina sistem pengesanan ancaman automatik dan jaringan yang dibuat beratus-ratus penyelidik keselamatan di seluruh dunia untuk mengambil ujian penetrasi ke peringkat seterusnya. Dalam satu perbincangan baru-baru ini dari San Francisco, kami bercakap mengenai keadaan keselamatan siber, penggodam topi putih, dan langkah-langkah yang diambilnya secara peribadi untuk memastikan keselamatannya dalam talian. Baca transkrip atau menonton video di bawah.

Daripada semua tajuk, CEO dan pengasas bersama anda mungkin sangat mengagumkan, tetapi perkara yang mengagumkan saya bekerja sebagai ahli pasukan merah di Jabatan Pertahanan. Saya faham bahawa anda mungkin tidak dapat memberitahu kami semua daripada butir-butir, tetapi apa yang dimaksudkan dengan tepat?

Sebagai ahli mana-mana pasukan merah sebagai sebahagian daripada mana-mana organisasi anda bertanggungjawab untuk bertindak seperti penyerang, seperti musuh yang kita semua cuba mempertahankan terhadap setiap hari. Oleh itu, kerja saya di DoD sangat tertumpu kepada sistem DoD bergema merah. Sama ada sistem tentera, rangkaian, peranti yang ditugaskan di lapangan, apa pun yang mungkin, kami ingin memastikan mereka selamat dan tidak terdedah kepada pelanggaran sebenar.

Anda pasangan itu dengan kerja saya di NSA, di mana bukannya menyerang untuk tujuan pertahanan, saya berada di serang bahagian untuk tujuan serangan. Anda berkahwin dengan kedua-dua kedudukan bersama-sama ia benar-benar membantu kami merasmikan keseluruhan konsep di belakang Synack dan model perniagaan yang kami ada hari ini.

Nampaknya saya telah mengambil pendekatan yang sama, membawanya ke sektor swasta, dan anda, saya rasa, menggunakan legasi penggodam dan keselamatan rangkaian orang ramai. Bercakap dengan kami sedikit tentang bagaimana ia berfungsi.

Pendekatan yang kita ambil adalah lebih banyak pendekatan berkuasa penggodam. Apa yang kami lakukan ialah memanfaatkan penyelidik keselamatan topi putih global di lebih daripada 50 negara yang berlainan dan kami secara efektif membayar mereka berdasarkan keputusan untuk mendedahkan kelemahan keselamatan di seluruh pelanggan perusahaan kami, dan kini kami melakukan satu ton kerja dengan kerajaan juga.

Matlamat keseluruhan di sini adalah untuk mendapatkan lebih banyak mata pada masalah ini. Maksud saya adalah satu perkara untuk mempunyai satu atau dua orang melihat sistem, rangkaian, aplikasi, dan cuba untuk menghapuskan kelemahan aplikasi tersebut. Satu lagi untuk mengatakan mungkin 100, 200 orang, semua orang lihat pada satu peralatan IT ini, atau apa sahaja yang mungkin, dan cuba untuk mengetahui apa kerentanan itu, dan apabila anda berjaya membayar anda. Ia satu peralihan paradigma yang sangat besar dan ia berfungsi dengan baik dalam amalan.

Siapa yang menjadi pelanggan biasa? Adakah ia seperti Microsoft yang mengatakan "Kami melancarkan platform Azure baru, datang dan cuba dan mencucuk lubang dalam sistem kami?"

Ia boleh di mana saja dari syarikat teknologi besar seperti Microsoft ke bank besar di mana mereka mahu menguji aplikasi dalam talian dan mudah alih mereka, aplikasi perbankan. Ia juga boleh menjadi kerajaan persekutuan; kami bekerja dengan DoD dan Perkhidmatan Hasil Dalaman untuk mengunci di mana anda menyerahkan maklumat pembayar cukai, atau dari perkara-perkara perspektif DoD seperti sistem gaji, dan sistem lain yang menempatkan data yang sangat sensitif. Adalah penting bahawa perkara-perkara ini tidak dapat dikompromi, seperti yang kita lihat pada masa lalu ia boleh menjadi sangat merosakkan. Mereka akhirnya mengambil pendekatan yang lebih progresif untuk menyelesaikan masalah ini, menjauhkan diri dari penyelesaian yang lebih komoditi yang telah kita lihat pada masa lalu.

Bagaimana anda mencari orang? Saya bayangkan anda tidak hanya menyiarkannya di papan mesej dan berkata "Hei, langsungkan tenaga anda ke arah ini dan kemudian jika anda mendapati sesuatu yang memberitahu kami dan kami akan bayar anda."

Pada awalnya hari kami jelas memanfaatkan rangkaian kami dengan sangat banyak. Kami menghidupkan orang yang kami tahu, dan yang berkembang secara organik dan kami mula membawakan orang di seluruh dunia mengamalkan keselamatan siber, dan juga mereka yang tidak semestinya melakukan cybersecurity day-in, hari keluar. Kami mempunyai banyak pemaju sebagai sebahagian daripada rangkaian kami, jurutera sebahagian daripada syarikat teknologi tinggi. Kuasa dari apa yang kita lakukan adalah memberikan pelanggan kepelbagaian sumber, akses kepada bakat yang mereka tidak akan secara tradisional mempunyai akses kepada.

Jika anda melihat beberapa statistik, mereka mengatakan bahawa menjelang tahun 2021 kita akan mempunyai 3.5 juta pekerjaan siber terbuka. Terdapat bekalan dan permintaan besar-besaran yang mencabut dan mencabar yang kami cuba selesaikan. Menggunakan crowdsourcing untuk menyelesaikan masalah ini telah bekerja sangat baik untuk kita kerana kita tidak perlu menyewa mereka. Mereka bebas dan benar-benar mendapatkan lebih banyak mata tentang masalah ini memberi pinjaman kepada hasil yang lebih baik.

Daripada kursus kesahihan rangkaian itu juga penting bagi perniagaan kami. Kami perlu tahu bahawa kami boleh mempercayai mereka dan oleh itu kami perlu meletakkan penyelidik kami melalui pemeriksaan latar belakang yang ketat, dan pengesahan ID, dan kami juga mengaudit lalu lintas mereka untuk memastikan mereka mematuhi skop dan peraturan penglibatan, tetapi ia benar-benar menarik untuk melihat mekanisme untuk melibatkan diri dalam model crowdsource tetapi mempunyai satu ton kawalan yang dibakar untuk membolehkan perusahaan yang bersangkutan mendapatkan akses kepada jenis metodologi ini.

Bolehkah penggodam ini membuat lebih banyak wang dengan anda daripada yang mereka boleh keluar sendiri di Web Gelap? Maksud saya, apakah ia menguntungkan untuk menjadi topi putih dalam model ini?

Ada salah tanggapan yang biasa bahawa, anda tahu, anda beroperasi di Web Gelap dan anda secara automatik akan menjadi orang kaya ini.

Anda juga mendapat banyak ripped.

Anda mendapat banyak rugi, tetapi realiti adalah orang yang kami bekerjasama adalah sangat profesional dan beretika. Mereka bekerja untuk syarikat besar, atau firma perundingan keselamatan yang lain dan ada orang yang mempunyai banyak etika di dalamnya bahawa mereka tidak mahu melakukan perkara-perkara secara tidak sah. Mereka mahu bertindak, mereka suka menggodam, mereka suka melanggar sesuatu, tetapi mereka mahu melakukannya dalam persekitaran yang mereka tahu mereka tidak akan didakwa.

Itu tambah baik. Apa yang anda lihat sebagai ancaman utama dalam keselamatan hari ini? Sekiranya kita bimbang tentang perusahaan jenayah? Pelakon negara-negara? Di manakah anda melihat majoriti ancaman datang?

Ia sangat menarik. Jika anda telah bertanya kepada saya beberapa tahun yang lalu, saya akan mengatakan bahawa negara-negara adalah organisasi yang paling lengkap untuk berjaya dalam serangan siber. Maksud saya, mereka duduk di atas simpanan saham eksploitasi sifar hari, mereka mempunyai banyak wang, dan banyak sumber.

Jelaskan idea tentang duduk pada stok simpanan sifar hari. Kerana itu sesuatu yang berada di luar ruang keselamatan, saya tidak fikir orang biasa benar-benar memahami.

Oleh itu, eksploitasi sifar hari secara berkesan adalah kelemahan dalam mungkin sistem operasi utama yang mungkin tidak ada yang tahu selain daripada satu organisasi itu. Mereka dapati ia, mereka duduk di atasnya, dan mereka menggunakannya untuk keuntungan mereka. Memandangkan berapa banyak wang yang mereka buat untuk penyelidikan dan pembangunan, dan memberi berapa banyak wang yang mereka bayar kepada sumber mereka, mereka mempunyai keupayaan untuk mencari perkara-perkara ini di mana tidak ada orang lain yang dapat menemuinya. Itu sebabnya mengapa mereka berjaya dalam apa yang mereka lakukan.

Biasanya, mereka melakukan ini untuk tujuan mendapatkan maklumat perisikan dan membantu pembuat keputusan membuat keputusan dasar yang lebih baik. Kami melihat peralihan sejak beberapa tahun yang lalu di mana sindiket jenayah mengambil kesempatan daripada beberapa alat bocor ini untuk kelebihan mereka. Sekiranya anda melihat kebocoran Shadow Brokers sebagai contoh utama, ia semakin menakutkan di sana. Walaupun vendor menampal sistem mereka, perusahaan dan syarikat di luar sana sebenarnya tidak mengambil kesempatan daripada patch tersebut yang meninggalkan mereka rentan terhadap serangan dan membolehkan orang jahat untuk memecah masuk ke dalam organisasi mereka dan mengeluarkan ransomware, sebagai contoh, untuk cuba mendapatkan wang daripada mereka.

Jangkitan WannaCry menjejaskan sejumlah besar sistem, tetapi bukan sistem Windows 10. Ia adalah eksploit yang telah ditetap jika orang telah turun dan dipasang, tetapi berjuta-juta orang tidak ada dan itu membuka pintu.

Itulah betul. Pengurusan patch adalah perkara yang sangat sukar untuk kebanyakan organisasi. Mereka tidak mempunyai pegangan pada apa yang sedang berjalan, dan kotak apa yang telah ditetap dan mana yang tidak ada, dan itu salah satu sebab kami mencipta model perniagaan kami-mendapatkan lebih banyak mata tentang masalah ini, menjadi proaktif tentang mengungkap sistem yang belum ditambal dan memberitahu pelanggan kami: "Hei, anda lebih baik memperbaiki perkara ini atau anda akan menjadi pelanggaran atau serangan besar seperti WannaCry akan berjaya terhadap organisasi anda." Dan pelanggan itu yang menggunakan perkhidmatan kami secara berterusan, ini merupakan kes penggunaan yang sangat berjaya bagi kami.

Adakah anda menjual perkhidmatan anda untuk ujian jangka pendek? Atau mungkin juga berterusan?

Ujian penembusan secara tradisional telah menjadi jenis penglibatan tepat masa, bukan? Anda katakan selama seminggu, dua minggu, beri saya laporan dan kemudian kami akan melihat anda setahun kemudian apabila kami bersedia untuk audit seterusnya. Kami cuba mengalihkan pelanggan kepada mentaliti bahawa infrastruktur sangat dinamik, anda menolak perubahan kod ke aplikasi anda sepanjang masa, anda mungkin memperkenalkan kelemahan baru pada bila-bila masa. Mengapa tidak melihat perkara ini dari perspektif keselamatan secara berterusan dengan cara yang sama dengan kitar hayat pembangunan anda?

Dan perisian sebagai perkhidmatan adalah model yang hebat. Perkhidmatan sebagai perkhidmatan juga merupakan model yang hebat.

Itu betul. Kami mempunyai komponen perisian besar yang duduk di bahagian belakang ini, jadi kami mempunyai platform keseluruhan yang memudahkan bukan sahaja interaksi antara penyelidik dan pelanggan kami, tetapi kami juga membina automasi untuk mengatakan "Hei, untuk membuat penyelidik kami lebih cekap dan berkesan dalam pekerjaan mereka, mari kita mengautomasikan perkara-perkara yang kita tidak mahu mereka menghabiskan masa. " Betul kan? Semua buah gantung yang rendah, memberikan mereka konteks persekitaran yang mereka jalani, dan kita mendapati bahawa pasangan manusia dan mesin berfungsi dengan sangat baik dan ia sangat berkuasa dalam ruang siber.

Anda baru pulang dari Black Hat tidak lama dahulu, di mana anda melihat banyak perkara yang menakutkan, saya bayangkan. Adakah ada apa-apa di sana yang mengejutkan anda?

Anda tahu, terdapat tumpuan besar di Defcon pada sistem pengundian, dan saya fikir kita telah melihat banyak pers mengenai perkara itu. Saya fikir hanya melihat seberapa cepat penggodam dapat mengawal salah satu sistem pengundian ini kerana akses fizikal agak menakutkan. Ia membuat anda benar-benar mempersoalkan keputusan pilihan raya sebelumnya. Melihat bahawa tidak ada banyak sistem yang mempunyai jejak kertas, saya fikir itu adalah satu cadangan yang menakutkan.

Tetapi di luar itu, terdapat banyak tumpuan kepada infrastruktur kritikal. Terdapat satu perbualan yang menumpukan pada dasarnya menggodam sistem radiasi yang mengesan radiasi pada loji kuasa nuklear dan betapa mudahnya untuk memecah masuk ke dalam sistem tersebut. Saya maksudkan bahawa perkara itu agak menakutkan, dan saya yakin bahawa infrastruktur kritikal kami berada di tempat yang sangat buruk. Saya fikir kebanyakannya sebenarnya dikompromikan hari ini dan terdapat beberapa implan yang duduk di atas infrastruktur kritikal kami hanya menunggu untuk dimanfaatkan sekiranya kita pergi berperang dengan negara bangsa lain.

Oleh itu, apabila anda berkata "Infrastruktur kritikal kami dikompromikan hari ini, " anda bermaksud terdapat kod duduk di kilang-kilang elektrik, di kilang penjanaan nuklear, kincir angin kincir angin yang diletakkan di sana oleh kuasa asing yang boleh diaktifkan pada bila-bila masa?

Ya. Itulah betul. Saya tidak mempunyai apa-apa untuk menyokongnya up, tetapi hanya memberi saya pengetahuan tentang keadaan keselamatan siber dalam organisasi infrastruktur kritikal ini, saya tidak syak lagi bahawa terdapat peratusan yang sangat besar adalah berkompromi hari ini, meletakkan kami dalam kedudukan yang agak menakutkan pada masa depan.

Bolehkah kita mengambil sebarang keselesaan dalam fakta bahawa kita mungkin mempunyai pengaruh yang sama terhadap musuh kita dan mempunyai kod kami dalam infrastruktur kritikal mereka dan sekurang-kurangnya ada kemungkinan pemusnahan yang boleh dipertahankan kita boleh bergantung?

Saya akan menganggap kita melakukan perkara yang sangat serupa.

Baik. Saya menganggap anda tidak boleh mengatakan semua yang anda mungkin tahu, tetapi saya mengambil keselesaan sekurang-kurangnya bahawa perang sedang dilancarkan. Kami jelas tidak mahu ini berkembang dalam apa cara bentuk atau bentuk, tetapi sekurang-kurangnya kita berjuang di kedua-dua belah pihak dan kita mungkin perlu memberi tumpuan lebih kepada pertahanan.

Itu betul. Maksud saya, kita harus memberi tumpuan lebih kepada pertahanan, tetapi keupayaan serangan kita sama pentingnya. Anda tahu, dapat memahami bagaimana musuh kita menyerang kita dan keupayaan mereka memerlukan pendekatan yang menyinggung perasaan, dan itulah sebabnya NSA melakukan apa yang mereka lakukan dan organisasi perisikan lain mempunyai keupayaan yang sama.

Oleh itu, saya ingin bertanya tentang topik yang ada dalam berita ini lepas beberapa bulan, dan itu adalah peranan syarikat teknologi asing. Teknologi mereka tertanam dalam infrastruktur kami, ke dalam syarikat kami, ke agensi kerajaan kami, dan kemudian setiap enam bulan atau lebih ada cerita yang mengatakan "Oh, kita tidak boleh mempercayai infrastruktur Huawei Telecommunications." Akhir-akhir ini ada kisah yang berlaku yang mungkin kita harus melihat perisian keselamatan Kaspersky Labs kerana mereka telah bekerja dengan Perkhidmatan Keselamatan Rusia. Apa yang anda ambil mengenai jenis hubungan itu? Adakah syarikat-syarikat bebas ini, atau mereka senjata dari negeri-negeri yang mereka beroperasi?

Jadi, sukar untuk tahu dengan betul? Dan saya rasa diberi hakikat bahawa kita perlu mempersoalkan hubungan dengan organisasi-organisasi ini kita hanya perlu berhati-hati mengenai penggunaan, terutamanya penggunaan yang meluas. Sesuatu yang meluas sebagai penyelesaian antivirus seperti Kaspersky pada semua sistem kami, kerajaan sedang berhati-hati, dan memandangkan kami mempunyai penyelesaian, penyelesaian homegrown, dengan cara yang sama yang kami cuba untuk membina kepala peledak nuklear kami dan sistem pertahanan peluru berpandu kami di AS, kita harus mengambil kesempatan daripada penyelesaian yang sedang dibina di AS beberapa dari perspektif keselamatan siber. Saya rasa itulah yang mereka cuba lakukan.

Apa yang anda fikir adalah nombor satu perkara yang kebanyakan pengguna melakukan salah dari perspektif keselamatan?

Di peringkat pengguna, ia hanya sangat asas, bukan? Saya fikir kebanyakan orang tidak mengamalkan kebersihan keselamatan. Kata laluan berbasikal, menggunakan kata laluan yang berbeza di laman web yang berbeza, menggunakan alat pengurusan kata laluan, pengesahan dua faktor. Saya tidak dapat memberitahu anda berapa ramai orang hari ini tidak menggunakannya, dan ia mengejutkan saya bahawa perkhidmatan yang digunakan pengguna tidak hanya memaksa mereka. Saya rasa sesetengah bank mula berbuat demikian, yang bagus untuk dilihat, tetapi masih melihat akaun media sosial menjadi berkompromi kerana orang tidak mempunyai dua faktor adalah agak gila di mata saya.

Jadi, sehingga kita melewati kebersihan keselamatan asas, saya tidak fikir kita boleh mula bercakap tentang beberapa teknik yang lebih maju untuk melindungi diri mereka sendiri.

Jadi, ceritakan sedikit tentang amalan keselamatan peribadi anda? Adakah anda menggunakan pengurus kata laluan?

Sudah tentu. Sudah tentu. saya guna OnePassword , jadi pada dasarnya setiap laman web tunggal yang saya lawati dan akaun saya buat mempunyai kata laluan yang berbeza, selalu minimum 16 huruf. Saya menukar kata laluan tersebut dengan kerap dan semuanya dihasilkan secara automatik. Saya menggunakan VPN pada rangkaian yang tidak dilindungi. Syarikat kami mempunyai penyelesaian VPN, jadi bila masa Saya berada di rangkaian wayarles saya tidak takut menggunakan rangkaian tanpa wayar selagi sambungan tersebut melalui terowong yang selamat.

Perkhidmatan VPN mungkin melambatkan sambungan anda sedikit, tetapi ia agak mudah didirikan dan anda boleh mendapatkannya untuk beberapa dolar sebulan.

Mereka sangat mudah untuk didirikan dan anda mahu pergi dengan pembekal yang bereputasi kerana anda menghantar trafik melalui pembekal itu. Anda hanya mahu memastikan bahawa mereka mempunyai reputasi yang baik dan anda boleh mempercayai mereka dengan trafik anda.

Pada masa yang sama, hanya melakukan perkara-perkara mudah seperti mengemaskini sistem saya, pada bila-bila masa terdapat kemas kini pada telefon bimbit saya peranti, atau komputer saya, saya mengambil kesempatan. Maksud saya ada sebab mengapa mereka menolak pembaruan itu di luar sana, jadi ia hanya asasnya. Dan kemudian sudah tentu anda memantau laporan kredit anda, dan kad kredit anda, dan sebarang tanda-tanda aktiviti yang mencurigakan yang anda hanya siasat.

Ia bukan gila. Ia benar-benar tidak sukar untuk kekal selamat sebagai pengguna. Anda tidak perlu menggunakan teknik atau penyelesaian yang sangat maju di luar sana. Hanya berfikir tentang akal sehat.

Saya fikir dua faktor adalah satu sistem yang mengelirukan ramai orang dan mengintimidasi ramai orang. Mereka berfikir bahawa mereka akan perlu menyemak pada telefon mereka setiap kali mereka log masuk ke akaun e-mel mereka, dan itu bukan kes itu. Anda hanya perlu melakukannya sekali sahaja, anda membenarkan komputer riba itu, dan dengan melakukan itu orang lain tidak boleh log masuk ke akaun anda dari mana-mana komputer riba lain, yang merupakan perlindungan besar.

Sudah tentu. Ya, kerana sebab tertentu ia menakutkan ramai orang. Sebahagian daripada mereka ditubuhkan di mana anda mungkin perlu melakukannya setiap 30 hari atau lebih, tetapi masih ada ia tidak begitu rumit kerana ia mungkin berbunyi dan ia merupakan kelebihan keselamatan yang besar untuk dilaksanakan. Saya pasti mengesyorkan meletakkan dua faktor di tempat.

Anda belum berada dalam industri ini yang lama, tetapi anda boleh berkongsi bagaimana anda melihat landskap ubah sejak anda bermula? Bagaimana ancaman siber ada berkembang pada masa itu?

Saya sebenarnya berada dalam keselamatan siber dan benar-benar berminat untuk selama 15 tahun. Sejak saya berumur 13 tahun dan saya menjalankan syarikat hosting web yang dikongsi bersama. Terdapat banyak tumpuan untuk melindungi laman web pelanggan kami, dan pentadbiran pelayan, dan memastikan pelayan tersebut dikunci. Anda melihat bagaimana pengetahuan telah berkembang ke pihak penyerang. Saya fikir keselamatan adalah industri yang baru dalam haknya sendiri, ia sentiasa berkembang, dan sentiasa ada penyelesaian inovatif dan teknologi baru. Saya fikir ia menarik untuk melihat kadar inovasi yang pesat dalam ruang ini. Adalah menarik untuk melihat syarikat-syarikat mengambil kesempatan daripada lebih banyak penyelesaian yang bersandar, jenis bergerak dari nama-nama defacto yang kita semua telah mendengar, yang Symantecs dan juga McAfees dari dunia dan bergerak ke arah beberapa syarikat baru yang berada di luar sana, menyedari bahawa mereka perlu inovatif dengan cara mereka mendekati keselamatan siber. Dan jika mereka tidak, penyerang akan menjadi satu langkah di hadapan mereka.

Sudah tentu ia kebanyakannya mengenai virus dan anda perlu mengemaskinikan definisi anda, dan anda akan membayar syarikat untuk menguruskan pangkalan data itu untuk anda, dan selagi anda mempunyai anda cukup selamat daripada 90 peratus ancaman. Tetapi ancaman itu berkembang lebih cepat hari ini. Dan terdapat komponen dunia nyata di mana orang mendedahkan diri mereka kerana mereka mendapat serangan pancingan data, mereka bertindak balas dan menyerahkan kelayakan mereka. Begitulah cara organisasi mereka ditembusi dan itu hampir lebih daripada masalah pendidikan daripada isu teknologi.

Saya fikir majoriti serangan yang berjaya tidak begitu maju. Penyebut utama sekurang-kurangnya keselamatan organisasi adalah orang. Jika orang tidak terdidik untuk tidak mengklik e-mel apabila ia kelihatan mencurigakan, maka permainan berakhir. Ia terlalu mudah hari ini, dan terdapat banyak syarikat yang cuba menyerang masalah yang khusus menumpukan pada pancingan data. Sebagai tambahan kepada semua penyelesaian lain yang mereka buat untuk menangani kelemahan, menangani ancaman siber, tetapi kita perlu menangani masalah orang pertama kerana sekarang kita hanya menjadikannya terlalu mudah.

Saya ingin melihat penyelidikan tentang berapa banyak ancaman hanya berdasarkan e-mel. Hanya beribu-ribu e-mel yang keluar dan orang mengklik perkara. Orang yang membuat proses dan satu siri peristiwa yang keluar dari kawalan. Tetapi ia datang melalui e-mel kerana e-mel sangat mudah dan di mana-mana dan orang memandang rendah.

Kami mula melihat sekarang peralihan dari hanya serangan berasaskan e-mel kepada phishing sosial, serangan tombak-phishing. Apa yang menakutkan adalah bahawa terdapat amanah yang wujud dalam media sosial. Jika anda melihat pautan yang datang dari rakan a kawan, atau bahkan akaun yang dikompromikan rakan, anda mungkin lebih mudah untuk mengklik itu pautan, atau memuat turun fail dan itu menakutkan. Anda juga mempunyai keupayaan untuk mencapai khalayak yang lebih luas, bukan? Anda tidak menghantar e-mel kepada orang, anda kini boleh menghantar tweet dengan pautan di dalamnya yang secara automatik kini mencapai puluhan ribu, berjuta-juta orang bergantung pada akaun apa yang anda duduki. Itulah sebabnya akaun-akaun ini semakin menakutkan dan menjejaskan lebih ramai orang daripada sebelumnya.

Biar saya bertanya kepada anda mengenai keselamatan mudah alih. Hari-hari awal kami memberitahu orang jika anda mempunyai peranti iOS anda mungkin tidak memerlukan antivirus, jika anda mempunyai peranti Android, mungkin anda mahu memasangnya. Pernahkah kami berkembang ke tahap dimana kami memerlukan perisian keselamatan pada setiap telefon?

Saya fikir kita harus benar-benar mempercayai keselamatan yang dibakar ke dalam peranti itu sendiri. Memandangkan bagaimana Apple, sebagai contoh, telah merancang sistem pengendalian mereka supaya segala-galanya cukup pasir, betul? Aplikasi tidak dapat melakukan banyak perkara di luar batas aplikasi tersebut. Android direka sedikit berbeza, tetapi apa yang kita perlu sedar ialah apabila kami memberi akses aplikasi kepada perkara seperti lokasi kami, buku alamat kami, atau apa-apa data lain yang ada di telefon itu, yang segera keluar dari pintu. Dan ia sentiasa dikemas kini, jadi apabila anda memindahkan lokasi anda sedang dihantar kembali ke awan kepada sesiapa yang memiliki aplikasi ini. Anda harus benar-benar berfikir tentang "Adakah saya mempercayai orang-orang ini dengan maklumat saya? Adakah saya mempercayai keselamatan syarikat ini?" Kerana akhirnya jika mereka menyusun buku alamat anda, dan data sensitif anda, jika ada orang yang berkompromi dengannya, mereka kini mempunyai akses kepadanya.

Dan ia adalah akses berterusan.

Itu betul.

Anda mesti berfikir di luar kotak. Hanya kerana anda memuat turun permainan baru yang kelihatan sejuk, jika mereka meminta maklumat lokasi anda dan maklumat kalendar anda, dan melengkapkan akses ke telefon, anda mempercayai mereka mempunyai semua akses itu selama-lamanya.

Itulah betul. Saya fikir anda benar-benar perlu berfikir tentang "Mengapa mereka meminta ini? Adakah mereka benar-benar memerlukan ini?" Dan tidak mengapa untuk mengatakan "Deny" dan lihat apa yang berlaku. Mungkin ia tidak akan menjejaskan apa-apa dan kemudian anda benar-benar perlu bertanya-tanya "Nah mengapa mereka benar-benar meminta itu?"

Terdapat beribu-ribu aplikasi yang dibuat hanya untuk mengumpulkan maklumat peribadi, mereka hanya menawarkan beberapa nilai di atasnya untuk membolehkan anda memuat turunnya, tetapi tujuan sebenar adalah untuk mengumpul maklumat mengenai anda dan memantau telefon anda.

Ini sebenarnya masalah yang meresap di mana anda melihat entiti jahat ini mewujudkan aplikasi yang kelihatan seperti aplikasi lain. Mungkin mereka berpura-pura menjadi bank dalam talian apabila mereka tidak. Mereka sebenarnya hanya phishing untuk kelayakan anda, jadi anda benar-benar perlu berhati-hati. Jelas sekali terdapat proses ketekunan bahawa aplikasi-aplikasi ini perlu dilalui sebelum mereka diterbitkan ke kedai aplikasi, tetapi ia tidak boleh dibongkar.

Saya ingin bertanya soalan-soalan yang saya tanya kepada semua orang yang hadir di acara ini. Adakah terdapat trend teknologi tertentu yang paling membimbangkan anda terus anda pada waktu malam?

Sebenarnya kami bercakap tentang mudah alih, dan saya fikir penerimaan pesat transaksi mudah alih dan orang ramai yang berlaku di telefon bimbit berbanding dalam pelayar web. Apa yang menakutkan kepada saya adalah kekurangan ketekunan keselamatan yang berlaku dari perspektif syarikat, orang-orang yang membangunkan aplikasi-aplikasi ini. Mereka tidak memikirkan keselamatan dalam aplikasi ini dengan cara yang sama seperti rangkaian korporat dan persekitaran aplikasi web mereka dan oleh itu terdapat API yang mudah terdedah kepada serangan. Mereka menyimpan kata laluan pada peranti, kriptografi sering dilaksanakan dengan salah. Itulah yang menakutkan kepada saya, dengan mengetahui bahawa semakin ramai orang sedang berdagang pada peranti ini, namun syarikat-syarikat yang sedang membangunkan aplikasi ini tidak memikirkan keselamatan dengan cara yang sama mereka semuanya. Saya fikir ia semakin baik, tetapi kita masih belum berada di sana.

Adakah terdapat aplikasi, atau perkhidmatan, atau alat yang anda gunakan setiap hari yang hanya memberi inspirasi, yang mengagumkan anda?

Itulah soalan yang baik. Saya peminat set alat Google. Mereka benar-benar berinteraksi dan bekerja dengan sangat baik dan mengintegrasikan dengan baik bersama-sama, jadi saya seorang pengguna aplikasi Google yang besar. dan bukan hanya kerana Google adalah pelabur di syarikat kami.

Ada sedikit Google di mana-mana.

Ada sedikit Google di mana-mana.

Ada sesuatu yang harus dikatakan untuk mengambil masa yang lama dan memberikan mereka kredit untuk apa yang mereka lakukan. Mereka benar-benar mahu membuat maklumat dunia dapat dicari dan difahami, dan mereka telah melakukan pekerjaan yang baik itu.

Kami sebenarnya hanya mendapat papan putih baru, papan putih digital di pejabat kami-Jamboard-dan ia adalah salah satu peranti yang paling keren yang saya lihat dalam masa yang lama. Hanya keupayaan untuk sesuatu papan putih keluar, selamatkannya dan bawa ia kembali, atau berinteraksi dan terlibat dengan seseorang pada hujung yang lain, atau sesiapa sahaja di iPad. Maksud saya itu hanya menakjubkan, dan bercakap tentang kerjasama dari jarak jauh hanya menjadikannya lebih mudah.

Ia menarik untuk melihat perkembangan dalam cara kita boleh bekerjasama. Kita tidak perlu mempunyai orang yang hanya berpusat di satu pejabat, kita boleh membawa idea lama yang buruk dan saya fikir itu sangat keren.

Ia sangat, produk yang sangat keren. Kami mengujinya di makmal dan kami mengalami masalah dengan beberapa perisian, tetapi ia pertama generasi. Ia hanya keluar seperti dua bulan yang lalu, dan ia benar-benar akan menjadi cara orang berkomunikasi di bilik persidangan untuk tahun yang akan datang.

Benar setuju.

Ia hanya memerlukan beberapa kemas kini perisian untuk menjadikannya lebih mudah.

Ia kereta kecil, tetapi ia masih menakjubkan.

Bagaimana orang dapat mengejar anda, dan mengikuti anda dalam talian, dan menjejaki apa yang anda lakukan?

Ya, saya di Twitter @ JayKaplan. Blog kami di Synack.com/blog, itu juga merupakan tempat yang bagus untuk anda mendengar berita terbaru tentang keselamatan siber, dan apa yang kami lakukan sebagai sebuah syarikat, dan saya mempunyai beberapa catatan di sana setiap seketika. Saya di LinkedIn juga, posting di sana setiap begitu kerap. Saya cuba kekal aktif di media sosial yang saya boleh. Saya bukan yang terbaik.

Ia memerlukan banyak masa.

Pada itu, tetapi saya cuba.

Anda juga mempunyai pekerjaan untuk melakukannya.

Betul.