Vídeo: Hackers love this tiny box (De novembre 2024)
Podeu aportar recursos multimèdia gairebé qualsevol cosa en aquests dies, inclosa la seguretat.
A Synack, va crear un sistema automatitzat de detecció d’amenaça i una xarxa creada de centenars d’investigadors de seguretat a tot el món per dur a terme proves de penetració al següent nivell. En una recent discussió de San Francisco, vam parlar de l’estat de la ciberseguretat, dels hackers de barrets blancs i dels passos que realitza personalment per garantir la seva seguretat en línia. Llegiu la transcripció o mireu el vídeo següent.
De tots els vostres títols, CEO i cofundador pot ser molt impressionant, però el que m’impressa és treballar com a membre d’un equip vermell del Departament de Defensa. Entenc que potser no ens ho podreu dir a tots
Com a membre de qualsevol equip vermell com a part de qualsevol
Ho fas amb la meva feina a l'NSA, on en comptes d'atacar amb fins defensius, estava a la web
Em sembla que heu adoptat aquest mateix enfocament al sector privat i, suposo, que utilitzeu legions de pirates informàtics i seguretat de xarxa multimèdia. Parla’ns una mica sobre com funciona això.
El nostre enfocament és més que un enfocament impulsat per pirates informàtics. El que fem és aprofitar una xarxa global d’investigadors en seguretat de barrets blancs de més de 50 països diferents i els paguem efectivament en base a resultats per descobrir vulnerabilitats de seguretat en els nostres clients empresarials i ara estem treballant amb el govern. també.
L’objectiu complet aquí és obtenir més ulls sobre el problema. Vull dir que és una cosa tenir una o dues persones mirant un sistema, una xarxa, una aplicació i intentin eliminar aquesta aplicació de vulnerabilitats. És un altre dir que potser 100, 200 persones, tothom
Qui seria el client típic? Seria com un Microsoft que digui "Estem llançant una nova plataforma Azure, vingui a provar i fer forats al nostre sistema?"
Pot ser des de qualsevol gran empresa tecnològica com Microsoft fins a un gran banc on vulguin provar les seves aplicacions en línia i mòbils, aplicacions bancàries. També podria ser el govern federal; estem treballant amb el DoD i el servei d’ingressos interns per bloquejar el lloc on envieu informació sobre els contribuents o des de la perspectiva de DoD coses com els sistemes de nòmines i altres sistemes que contenen dades molt sensibles. És important que aquestes coses no es posin en perill, com ja hem vist en el passat, poden ser molt, molt perjudicials. Finalment estan adoptant un enfocament més progressiu per resoldre el problema, allunyant-se de les solucions més mercantilitzades que hem vist en el passat.
Com es troba la gent? Imagino que no ho publiqueu només en un tauler de missatges i digueu "Hola, dirigiu les vostres energies cap a això i, si trobeu alguna cosa, feu-nos-ho saber i us ho pagarem".
A principis del
Si ens fixem en algunes de les estadístiques, diuen que a l’any 2021 tindrem 3, 5 milions de llocs de treball oberts de ciberseguretat. Estem intentant resoldre una desconnexió massiva d’oferta i demanda. El fet d’utilitzar el crowdsourcing per resoldre aquest problema ha funcionat molt bé perquè no els hem de contractar. Són autònoms i realment simplement aconsegueixen tenir més ulls en aquest problema permet obtenir millors resultats.
De
Aquests pirates informàtics poden guanyar més diners amb vostès del que poguessin sortir al seu compte a la Dark Web? Vull dir, és rendible ser un barret blanc en aquest model?
Hi ha una idea errònia comuna que, ja ho sabeu, operes a la Web fosca i automàticament serà aquesta persona rica.
També se’t arranca molt.
Et surten molt, però la realitat és que les persones amb les quals treballem són molt professionals i ètics. Estan treballant per a corporacions molt grans o altres empreses de consultoria en seguretat i hi ha persones que tenen molta ètica en què no volen fer les coses il·legalment. Volen actuar, els encanta el pirateig, els encanta trencar les coses, però volen fer-ho en un entorn on saben que no seran processats.
És un bon avantatge. Què veus com les principals amenaces
És realment interessant. Si m’haguessis fet la pregunta fa un parell d’anys, diria que els estats nació són les organitzacions més ben equipades per tenir èxit en ciberatacs. Vull dir que estan asseguts a les existències d’explotacions del dia zero, tenen molts diners i molts recursos.
Expliqueu aquesta idea de seure a les borses de zero dies. Com que és una cosa que fora de l’espai de seguretat, no crec que la persona mitjana ho entengui realment.
Per tant, una explotació de zero dies de manera efectiva és una vulnerabilitat en un sistema operatiu important que potser ningú no sap d’altra que una mateixa organització. Ells van trobar, estan asseguts i el fan servir. Tenint en compte la quantitat de diners que inverteixen en la investigació i el desenvolupament, i donats quants diners paguen els seus recursos, tenen la capacitat de trobar aquestes coses on ningú més els pot trobar. Aquesta és una gran raó per la qual tenen tant d’èxit en el que fan.
Normalment ho fan amb l'objectiu d'obtenir informació i ajudar els nostres responsables a prendre millors decisions sobre polítiques. En els darrers anys, s'està produint un canvi en què els sindicalitzats del crim estan aprofitant algunes d'aquestes eines de filtració per al seu avantatge. Si observeu la filtració dels agents d'ombra com a exemple principal, és molt espantós per aquí. Si bé els venedors estan fent un seguiment dels seus sistemes, les empreses i empreses que no hi ha en realitat no s’aprofiten d’aquests pegats deixant-los susceptibles als atacs i permetent als dolents entrar en les seves organitzacions i posar a punt el ransomware, per exemple, per intentar aconseguir diners fora d'ells.
La infecció de WannaCry va afectar un gran nombre de sistemes, però no sistemes Windows 10. Era una explotació que s’havia quedat pegada si la gent s’havia descarregat i instal·lat, però molts milions de persones no ho han fet i això ha obert la porta.
És exactament. La gran majoria de les organitzacions encara és una cosa difícil per a la gestió de pegats. No tenen un control sobre quines versions s’executen i quines caixes s’han enganxat i quines no, i és una de les raons per les quals hem creat tot el nostre model de negoci: tenir més ulls en aquest problema, ser proactius al descobrir-los. els sistemes que no han quedat pegats i dites als nostres clients: "Hola, millor arreglar aquestes coses o bé serà el pròxim gran incompliment o atacs com WannaCry tindran èxit contra les teves organitzacions". I els clients que utilitzen els nostres serveis de forma continuada, aquest ha estat un cas d’èxit real per a nosaltres.
Vendeu els vostres serveis per fer proves a curt termini? O també podria ser continuada?
Les proves de penetració tradicionalment han estat un tipus de compromís puntual, oi? Dius que entreu una setmana, dues setmanes, feu-me un informe i ens veurem un any més tard quan estiguem a punt de la nostra propera auditoria. Estem intentant traslladar els clients a la mentalitat que la infraestructura és molt dinàmica; estàs pressionant tot el temps els canvis de codi a les aplicacions, i podríeu introduir noves vulnerabilitats en qualsevol moment. Per què no contempla aquests aspectes des de la perspectiva de seguretat de la mateixa manera que estàs amb el teu cicle de vida de desenvolupament?
I el programari com a servei és un gran model. El servei com a servei també és un model fantàstic.
És correcte. Tenim grans components de programari asseguts al fons, així que tenim tota una plataforma que facilita no només la interacció entre els nostres investigadors i els nostres clients, sinó que també estem construint automatització per dir "Hola, per aconseguir els nostres investigadors siguin més eficients i eficaços a la seva feina, automatitzem les coses en les quals no volem que passin temps. " Dret? Tot el fruit de poca producció, que els proporciona més context de l’entorn en el qual s’entra, i estem trobant que aquest maridatge d’home i màquina funciona molt bé i és molt potent en l’espai de ciberseguretat.
Feia molt de temps que tornaves del Barret Negre en què veiessiu un munt de coses espantoses. Hi havia alguna cosa allà que us sorprengués?
Ja sabeu, a Defcon hi va haver un focus important en els sistemes de votació i crec que tots hem vist molta premsa al respecte. Crec que només cal espantar la rapidesa amb què els pirates informàtics poden prendre el control d’un d’aquests sistemes de votació donat l’accés físic. Et fa preguntar realment els resultats electorals anteriors. Com que no hi ha molts sistemes que tinguin traces de paper, crec que és una proposta bastant espantosa.
Però, més enllà d’això, es va centrar molt la infraestructura crítica. Hi va haver una xerrada que es va centrar bàsicament en el pirateig dels sistemes de radiació que detecten radiacions a les centrals nuclears i en la facilitat que és produir-se en aquest tipus d’entrada. Vull dir que les coses són molt espantoses i crec fermament que la nostra infraestructura crítica està en un lloc força dolent. Crec que actualment la majoria està compromesa i hi ha diversos implants asseguts a tota la nostra infraestructura crítica que només esperen ser aprofitats en cas que anem a la guerra amb un altre estat nació.
Aleshores, quan dius "La nostra infraestructura crítica està compromesa avui", vols dir que hi ha codi assegut a les fàbriques elèctriques, a les plantes de generació nuclear, a les explotacions de molins eòlics que hi havia col·locats per potències estrangeres que podrien activar-se en qualsevol moment?
Sí. És exactament. No tinc res necessàriament per recolzar-ho
Podem prendre comoditat en el fet que probablement tinguem un palanqueig similar sobre els nostres adversaris i tinguem el nostre codi en la seva infraestructura crítica, així que almenys hi ha una destrucció mútuament assegurada en la qual podem confiar?
Suposo que estem fent coses que són molt similars.
Bé. Suposo que no pots dir tot el que puguis saber, però em reconforto, almenys que la guerra es duu a terme. Evidentment no volem que això s’escalpi de cap forma ni forma, però almenys lluitem per les dues parts i probablement hauríem de centrar-nos més en la defensa.
És correcte. Vull dir, definitivament ens hauríem de centrar més en la defensa, però les nostres capacitats ofensives són igual d’importants. Ja sabeu, poder entendre com ens ataquen els nostres adversaris i quines són les seves capacitats
Així doncs, volia preguntar-vos sobre un tema que ha aparegut a les notícies a
Així, difícil de saber, oi? I crec que, atès que hem de posar en dubte els lligams amb aquestes organitzacions, hem de tenir cura del desplegament, especialment del desplegament generalitzat. Alguna cosa tan estesa com una solució antivirus com Kaspersky a tots els nostres sistemes, el govern està cuidat i ja que tenim solucions, solucions casolanes, de la mateixa manera que intentem construir els nostres focus nuclears i els nostres sistemes de defensa contra míssils a la EUA, hauríem d’aprofitar les solucions que s’estan construint als EUA, des d’una perspectiva de ciberseguretat. Crec que això és el que intenten fer.
Quina creus que és la primera cosa que la majoria dels consumidors fan malament des de la perspectiva de la seguretat?
A nivell de consumidor, és molt bàsic, no? Crec que la majoria de la gent no practica la higiene de seguretat. Ciclar contrasenyes, utilitzar diferents contrasenyes en diferents llocs web, utilitzar eines de gestió de contrasenyes, autenticacions de dos factors. No puc dir-vos quantes persones avui no l'utilitzen i em sorprèn que els serveis que fan els consumidors no només l'obliguin. Crec que alguns dels bancs comencen a fer-ho, cosa que és fantàstica, però veure que els comptes de les xarxes socials es comprometen perquè la gent no té dos factors és una mena de boig als meus ulls.
Així, fins que no passem la higiene bàsica de seguretat, no crec que puguem començar a parlar d’algunes de les tècniques més avançades per protegir-se.
Aleshores, explica’m una mica les teves pràctiques de seguretat personal? Feu servir un gestor de contrasenyes?
És clar. És clar. jo utilitzo
Els serveis de VPN poden alentir una mica la vostra connexió, però són relativament fàcils de configurar i podeu obtenir-ne un per un parell de dòlars al mes.
Són molt fàcils de configurar i voleu anar amb un proveïdor de bona reputació perquè envieu trànsit
Al mateix temps, només faig coses senzilles com actualitzar el meu sistema, sempre que hi hagi una actualització al mòbil
No és tan boig. Realment no és tan difícil mantenir-se segur com a consumidor. No heu d’utilitzar tècniques ni solucions molt avançades que hi hagi. Només cal pensar en el sentit comú.
Crec que dos factors és un sistema que confon molta gent i intimida molta gent. Ells pensen que hauran de revisar el telèfon cada vegada que inicien sessió al seu compte de correu electrònic, i no és així. Només heu de fer-ho una vegada, autoritzeu aquest ordinador portàtil i, fent que algú altre no pugui iniciar la sessió al vostre compte des de qualsevol altre ordinador portàtil, la qual cosa és una enorme salvaguarda.
Absolutament. Sí, per alguna raó fa por a molta gent. Alguns d’ells estan configurats on potser haureu de fer-ho cada 30 dies més o menys, però
No heu estat en aquesta indústria durant molt de temps, però podeu compartir com heu vist el paisatge
De debò he estat en ciberseguretat i realment m'interessa 15 anys. Des dels 13 anys tenia una empresa d’allotjament web compartida. Es va dedicar molt a la protecció dels llocs web i a l'administració del servidor dels nostres clients i a assegurar-se que aquests servidors estaven bloquejats. Mireu com ha avançat el coneixement cap al bàndol de l’atacant. Crec que la seguretat és una indústria naixent, en constant evolució, i sempre hi ha moltes solucions i tecnologies innovadores. Crec que és emocionant veure el ritme ràpid de la innovació en aquest espai. És emocionant veure les empreses aprofitant més de les solucions que s’inclinen progressivament, com una mica d’allunyar-se dels noms defectuosos dels que tots hem sentit a parlar, els
Solia ser que es tractava principalment de virus i haureu d’actualitzar les vostres definicions, i pagaríeu a una empresa per gestionar-vos aquesta base de dades i sempre que tinguéssiu gairebé segur el 90% de les amenaces.. Però les amenaces han evolucionat molt més ràpidament avui. I hi ha un component del món real en què les persones s’exposen perquè reben un atac de pesca, responen i lliuren les seves credencials. Així és com la seva organització es va penetrar i això és gairebé més un tema educatiu que no pas tecnològic.
Crec que la gran majoria dels atacs que tenen èxit no estan tan avançats. El denominador menys comú de seguretat de qualsevol organització
M'agradaria veure la investigació sobre quantes amenaces només es basen en el correu electrònic. Només surten milers i milers de correus electrònics i gent que fa clic a coses. Persones que creen un procés i una sèrie d'esdeveniments que espiren fora de control. Però arriba per correu electrònic perquè el correu electrònic és tan fàcil i omnipresent i la gent ho subestima.
Comencem a veure ara que passa de simplement atacs basats en correu electrònic a atacs de caça social, phishing i phishing social. El que fa por és que hi ha una confiança inherent a les xarxes socials. Si veieu un enllaç procedent d’un amic d’un
Permeteu-me que us pregunti sobre seguretat mòbil. Els primers dies vam dir a la gent si teniu un dispositiu iOS probablement no necessiteu antivirus, si teniu un dispositiu Android, potser voleu instal·lar-lo. Hem avançat fins a un punt on necessitem un programari de seguretat a tots els telèfons?
Crec que hem de confiar realment en la seguretat que es dóna al mateix dispositiu. Tenint en compte com Apple, per exemple, ha dissenyat el seu sistema operatiu perquè tot estigui força embolicat, no? Una aplicació no pot fer-ho gaire fora dels límits d'aquesta aplicació. Android està dissenyat una mica diferent, però el que hem d’adonar és que quan donem accés a les aplicacions a coses com la nostra ubicació, la nostra llibreta d’adreces o qualsevol altra dada que es trobi en aquest telèfon, de seguida surten les portes.. I es va actualitzant constantment, de manera que a mesura que es mogui la ubicació es torna a enviar al núvol a qui tingui aquesta aplicació. Heu de pensar realment sobre "Confio en aquestes persones amb la meva informació? Confio en la seguretat d'aquesta empresa?" Perquè en última instància, si allotgen la vostra llibreta d’adreces i les dades sensibles, si algú les compromet, ara hi tenen accés.
I és un accés perpetu.
És correcte.
Heu de pensar fora de la caixa. Només perquè descarregueu un joc nou que tingui un aspecte fantàstic, si demanen informació sobre la ubicació i la vostra agenda i accés complet al telèfon, confieu en que tinguin tot aquest accés per sempre.
És exactament. Crec que realment cal pensar "Per què demanen això? En realitat necessiten això?" I està bé dir "Negar" i veure què passa. Potser no afectarà res i, aleshores, us heu de preguntar: "Per què van demanar realment això?"
Hi ha milers d’aplicacions que es creen només per recopilar informació personal, només ofereixen una mica de valor per aconseguir que la descarregueu, però l’únic propòsit és recopilar informació i controlar el vostre telèfon.
En realitat és un problema general on veus aquestes entitats malintencionades creant aplicacions que semblen altres aplicacions. Potser pretenen ser el vostre banc en línia quan no ho són. En realitat són només phishing per a les vostres credencials, així que heu d’anar amb compte.
Vull fer-te les preguntes que faig a tothom que vingui a aquest programa. Hi ha una tendència tecnològica particular que més us preocupa
Hi ha una aplicació, un servei o un gadget que utilitzeu cada dia que només inspira meravella, que us impressioni?
Aquesta és una bona pregunta. Sóc un gran fan de la suite d’eines de Google. Realment interaccionen i funcionen molt bé i s’integren bé, de manera que sóc un gran usuari d’aplicacions de Google. i no només perquè Google sigui un inversor de la nostra empresa.
Hi ha una mica de Google a tot arreu.
Hi ha una mica de Google arreu.
Hi ha alguna cosa a dir per prendre un moment i donar-los crèdit pel que han fet. Realment volien fer que la informació del món sigui cercable i entenedora i han fet una feina molt bona.
En realitat acabem de tenir una pissarra digital digital nova a la nostra oficina, la Jamboard, i és un dels dispositius més macos que he vist fa temps. Només cal la possibilitat de fer pissarres, desar-lo i recuperar-lo o interactuar i interactuar amb algú en un altre extrem o amb qualsevol usuari en un iPad. Vull dir que només és increïble, i parlar de col·laboració de forma remota només ho facilita.
És emocionant veure aquesta progressió de la manera de treballar junts. No hem de tenir persones només cèntriques en una oficina, podem portar males idees antigues i crec que és genial.
És un producte molt maco. Ho vam provar al laboratori i vam tenir problemes amb alguns programes, però ho és
Absolutament d’acord.
Només necessita un parell d’actualitzacions de programari per fer-ho una mica més fàcil.
És una mica buggy, però no deixa de ser sorprenent.
Com pot la gent posar-se al dia amb tu, seguir-lo en línia i fer un seguiment del que fas?
Sí, estic a Twitter @JayKaplan. El nostre bloc a Synack.com/blog, també és un lloc fantàstic perquè pugueu escoltar les novetats sobre notícies sobre ciberseguretat i què fem com a empresa i hi tinc algunes publicacions. També estic a LinkedIn i hi publico cada cert temps. Intento mantenir-me tan actiu en les xarxes socials com puc. No sóc el millor.
Es necessita molt de temps.
A mi, però ho intento.
Tens una feina per fer també.
Exactament.