Видео: Synack's Crowdsourced Security Testing Platform: A Behind the Scenes Look (Септември 2024)
Можете да пренасочвате почти всичко в наши дни, включително сигурността.
В Synack той изгради автоматизирана система за откриване на заплахи и създадена мрежа от стотици изследователи по сигурността по целия свят, за да премине тестовете за проникване на следващото ниво. В неотдавнашна дискусия от Сан Франциско говорихме за състоянието на киберсигурността, хакерите с бяла шапка и стъпките, които предприема лично, за да гарантира сигурността си онлайн. Прочетете преписа или гледайте видеоклипа по-долу.
От всичките ти заглавия, изпълнителният директор и съосновател може да е много впечатляващ, но нещото, което ме впечатлява, е да работя като член на червен екип в Министерството на отбраната. Разбрах, че може да не успеете да ни кажете всички
Като член на всеки червен отбор като част от който и да е
Вие го свързвате с моята работа в НСА, където вместо да атакувам за отбранителни цели, бях на
Струва ми се, че сте възприели същия подход, внедрите го в частния сектор и предполагате, че използвате легиони от хакери и мрежова сигурност на краудсорсинг. Говорете с нас за това как става това.
Подходът, който предприемаме, е по-скоро подход, захранван от хакер. Това, което правим, е да използваме глобална мрежа от най-добрите изследователи по сигурността на бялата шапка в над 50 различни страни и ние ефективно им плащаме на база резултати, за да разкрием уязвимостите в сигурността на нашите корпоративни клиенти, а сега правим много работа с правителството също.
Цялата цел тук е да добием повече очи за проблема. Искам да кажа, че е едно нещо да има един или двама души, които да гледат система, мрежа, приложение и да се опитват да се освободят от това приложение на уязвимости. Друго е да кажем може би 100, 200 души, всеки
Кой би бил типичният клиент? Дали би било като Microsoft, който казва: „Стартираме нова платформа на Azure, елате и опитайте да пробиете дупки в нашата система?“
Тя може да бъде от голяма технологична компания като Microsoft до голяма банка, където те искат да тестват своите онлайн и мобилни приложения, банкови приложения. Може да бъде и федералното правителство; ние работим с Министерството на труда и Службата за вътрешни приходи, за да заключим къде изпращате информация за данъкоплатците или от гледна точка на DoD неща като системи за заплати и други системи, които съхраняват много чувствителни данни. Важно е тези неща да не бъдат компрометирани, тъй като всички сме виждали в миналото, това може да бъде много, много вредно. Те най-накрая предприемат по-прогресивен подход към решаването на проблема, отдалечавайки се от по-комодитизираните решения, които сме виждали в миналото.
Как намирате хора? Представям си, че не просто го публикувате на табло за съобщения и казвате „Ей, насочете енергията си към това и тогава, ако намерите нещо, уведомете ни и ние ще ви платим“.
В ранните
Ако погледнете някои от статистическите данни, те казват, че до 2021 г. ще имаме 3, 5 милиона работни места в киберсигурността. Има огромно прекъсване на търсенето и предлагането и предизвикателство, което се опитваме да решим. Използването на краудсорсинг за решаване на този проблем ни помогна изключително много, защото не е нужно да ги наемаме. Те са на свободна практика и наистина просто получаването на по-голям поглед върху този проблем дава по-добри резултати.
На
Могат ли тези хакери да спечелят повече пари с вас, отколкото биха могли да излязат сами в тъмната мрежа? Искам да кажа, изгодно ли е да сме бяла шапка в този модел?
Има често погрешно схващане, че знаете, че работите в тъмната мрежа и автоматично ще бъдете този богат човек.
Освен това много се разкъсвате.
Отблъсквате се много, но реалността е хората, с които работим, са високопрофесионални и етични. Те работят за много големи корпорации или други консултантски фирми по сигурността и има хора, които имат много етика в тях, които не искат да правят нелегално неща. Те искат да действат, обичат хакерството, обичат да чупят неща, но искат да го правят в среда, в която знаят, че няма да бъдат преследвани.
Това е хубав плюс. Какво виждате като основни заплахи
Наистина е интересно. Ако бихте ми задали въпроса преди няколко години, бих казал, че националните държави са най-добре оборудваните организации, които имат успех при кибератаки. Искам да кажа, че седят на запаси от подвизи за нулев ден, имат много пари и много ресурси.
Обяснете тази идея да седите на тези запаси от нула дни. Тъй като това е нещо, което е извън пространството за сигурност, не мисля, че обикновеният човек наистина разбира.
Така че експлоатацията с нулев ден ефективно е уязвимост в може би основна операционна система, която може би никой не знае за друго освен тази една организация. Намериха го, сядат на него и го използват в своя полза. Като се има предвид колко пари влагат за научноизследователска и развойна дейност и предвид колко пари плащат ресурсите си, те имат възможност да намерят тези неща там, където никой друг не може да ги намери. Това е голяма причина, поради която са толкова успешни в това, което правят.
Обикновено те правят това с цел придобиване на интелигентност и подпомагане на нашите вземащи решения да вземат по-добри политически решения. Забелязваме промяна през последните няколко години, при която синдикатите за престъпления се възползват от някои от тези инструменти за течове за тяхно предимство. Ако погледнете на течовете на Shadow Brokers като отличен пример за това, става доста страшно там. Докато продавачите кръпкат системите си, предприятията и компаниите там всъщност не се възползват от тези пластири, оставяйки ги податливи на атаките и позволявайки на лошите да пробият в техните организации и да представят откуп, като пример, да се опитат да получат пари от тях.
Инфекцията с WannaCry засегна огромен брой системи, но не и Windows 10. Това беше подвиг, който беше закърпен, ако хората бяха изтеглили и инсталирали, но много милиони хора не го направиха и това отвори вратата.
Точно така. Управлението на пачовете е наистина трудно нещо за огромното мнозинство от организациите. Те не се справят с това кои версии се изпълняват и кои кутии са кръпка и кои не са и това е една от причините да създадем целия си бизнес модел - да имаме повече погледи за този проблем и да проявяваме проактивност относно разкриването. системите, които не са били кръпка, и казват на нашите клиенти: „Ей, по-добре поправете тези неща или ще бъдете следващото голямо нарушение или атаки като WannaCry ще успеят срещу вашите организации.“ И това са клиенти, които използват нашите услуги непрекъснато, това беше наистина успешен случай на използване за нас.
Продавате ли услугите си за краткосрочно тестване? Или може да продължава и сега?
Традиционно тестовете за проникване са били своеобразен тип ангажиране, нали? Казвате, влезте за седмица, две седмици, дайте ми доклад и тогава ще се видим година по-късно, когато сме готови за следващия ни одит. Опитваме се да пренасочим клиентите към манталитета, че инфраструктурата е силно динамична, непрекъснато изтласквате промените в кода на приложенията си, можете да въвеждате нови уязвимости по всяко време. Защо да не гледате на тези неща от гледна точка на сигурността непрекъснато по същия начин, по който сте с жизнения цикъл на развитието си?
И софтуерът като услуга е страхотен модел. Сервизът като услуга също е страхотен модел.
Това е вярно. Имаме големи софтуерни компоненти, разположени на гърба на това, така че имаме цяла платформа, която улеснява не само взаимодействието между нашите изследователи и нашите клиенти, но и изграждаме автоматизация, за да кажем „Ей, за да направим нашите изследователи по-ефективни и ефективни в работата си, нека да автоматизираме нещата, за които не искаме те да отделят време. " Така ли е? Всички ниско висящи плодове, давайки им повече контекст на средата, в която се разхождат, и установяваме, че сдвояването на човек и машина работи изключително добре и е много мощно в пространството за киберсигурност.
Току-що се върнахте от Black Hat не много отдавна, където видяхте страшни неща, бих си представял. Имаше ли нещо там, което ви изненада?
Знаеш ли, че в Defcon имаше голям акцент върху системите за гласуване и мисля, че всички сме виждали много преса за това. Мисля, че виждането колко бързо хакерите са в състояние да поемат контрола над една от тези системи за гласуване при физически достъп е доста страшно. Кара те наистина да поставяш под въпрос предишни резултати от изборите. Виждайки, че няма цяла система от системи с хартиени пътеки, мисля, че това е доста страшно предложение.
Но освен това имаше много акцент върху критичната инфраструктура. Имаше един разговор, който се фокусира върху хакването на радиационните системи, които засичат радиация в атомните електроцентрали и колко лесно е да се пробие в тези системи. Искам да кажа, че тези неща са доста страшни и аз твърдо вярвам, че критичната ни инфраструктура е на доста лошо място. Мисля, че по-голямата част от това всъщност е компрометирана днес и има редица импланти, които седят в цялата ни критична инфраструктура, само чакащи да бъдат задействани в случай, че отидем на война с друга национална държава.
И така, когато казвате „Нашата критична инфраструктура е компрометирана днес“, вие искате да кажете, че има код в електрически фабрики, в атомни електроцентрали, вятърни ферми, поставени там от чужди сили, които могат да бъдат активирани по всяко време?
Да. Точно така. Нямам нищо задължително, за да подкрепя това
Можем ли да се насладим на факта, че вероятно имаме подобен ефект върху нашите противници и имаме своя код в критичната си инфраструктура, така че поне може би има взаимно сигурно унищожение, на което можем да разчитаме?
Бих предположил, че правим неща, които са много сходни.
Добре. Предполагам, че не можеш да кажеш всичко, което можеш да знаеш, но аз се успокоявам поне, че войната се води. Явно не искаме това да ескалира по някакъв начин или форма, но поне се борим от двете страни и вероятно би трябвало да се съсредоточим повече върху отбраната.
Това е вярно. Искам да кажа, че определено трябва да се съсредоточим повече върху отбраната, но нашите офанзивни способности са също толкова важни. Нали знаете, да сте в състояние да разберете как нашите противници ни атакуват и какви са техните възможности
И така, исках да ви попитам за тема, която беше в новините във
И така, трудно да се знае нали? И мисля, че предвид факта, че трябва да поставяме под въпрос връзките с тези организации, трябва просто да внимаваме за внедряването, особено за широкото разгръщане. Нещо толкова широко като антивирусно решение като Касперски във всички наши системи, правителството внимава и като се има предвид, че имаме решения, домашни решения, по същия начин, по който се опитваме да изградим нашите ядрени бойни глави и нашите системи за противоракетна отбрана в САЩ, трябва да се възползваме от решенията, които се изграждат в САЩ, от гледна точка на киберсигурността. Мисля, че това в крайна сметка се опитват да направят.
Какво според вас е нещо първо, което повечето потребители правят погрешно от гледна точка на сигурността?
На потребителско ниво това е просто много основно, нали? Мисля, че повечето хора не практикуват хигиена за сигурност. Циклиране на пароли, използване на различни пароли на различни уебсайтове, използване на инструменти за управление на пароли, двуфакторни удостоверявания. Не мога да ви кажа колко хора днес просто не го използват и ме изненадва, че услугите, които потребителите използват, не просто го насилват. Мисля, че някои от банките започват да правят това, което е чудесно да се види, но все пак виждането в акаунти в социалните медии да се компрометира, защото хората нямат двуфакторно е просто нещо лудо в очите ми.
Така че, докато не преминем основната хигиена за сигурност, не мисля, че можем да започнем да говорим за някои от по-модерните техники за защита.
И така, кажете ми малко за вашите лични практики за сигурност? Използвате ли мениджър на пароли?
Разбира се. Разбира се. използвам
VPN услугите може да забавят връзката ви малко, но те са сравнително лесни за настройване и можете да получите такава за няколко долара на месец.
Те са супер лесни за настройка и искате да се свържете с реномиран доставчик, защото изпращате трафик
В същото време, правя само прости неща, като актуализиране на системата ми, всеки път, когато има актуализация на мобилния ми телефон
Не е толкова луд. Наистина не е толкова трудно да останеш сигурен като потребител. Не е нужно да използвате много модерни техники или решения, които са там. Само помислете за здравия разум.
Мисля, че двуфакторната е система, която обърква много хора и сплашва много хора. Те смятат, че ще трябва да се отбиват по телефона си всеки път, когато влизат в имейл акаунта си, а това не е така. Просто трябва да го направите веднъж, оторизирате този лаптоп и по този начин някой друг не може да влезе във вашия акаунт от който и да е друг лаптоп, което е огромна защита.
Абсолютно. Да, по някаква причина това плаши много хора. Някои от тях са създадени там, където може да се наложи да го правите на всеки 30 дни или така, но
Не сте били в тази индустрия толкова дълго, но можете ли да споделите как сте виждали пейзажа
Всъщност съм в киберсигурността и наистина се интересувам от това може би 15 години. Откакто бях на 13 години и ръководех споделена уеб хостинг компания. Много беше съсредоточен вниманието върху защитата на уебсайтовете на нашите клиенти и администрирането на сървъра и гарантирането, че тези сървъри са заключени. Гледате как напредни знанието към страната на нападателя. Мисля, че сигурността е зараждаща се индустрия сама по себе си, тя непрекъснато се развива и винаги има набор от нови иновативни решения и технологии. Мисля, че е вълнуващо да видите бързите темпове на иновациите в това пространство. Вълнуващо е да видите компаниите, които се възползват от повече от прогресивно облегнатите решения, като някак си се отдалечават от имената на defacto, за които всички сме чували,
Преди беше, че става въпрос най-вече за вируси и ще трябва да актуализирате дефинициите си, а вие ще плащате на компания, която да управлява тази база данни за вас, и стига да имате, че почти сте в безопасност от 90 процента от заплахите, Но заплахите се развиха много по-бързо днес. И в него има компонент от реалния свят, където хората се излагат, защото получават фишинг атака, те отговарят и предават своите пълномощия. Така се прониква в тяхната организация и това е почти повече образователен въпрос, отколкото технологичен.
Мисля, че по-голямата част от успешните атаки не са толкова напреднали. Най-малко общият знаменател на сигурността на всяка организация
Бих искал да видя проучване за това колко заплахи са базирани само на имейл. Само хиляди и хиляди имейли излизат и хората кликват върху нещата. Хората, създаващи процес и поредица от събития, които се извиват извън контрол. Но той идва чрез имейл, защото имейлът е толкова лесен и повсеместен и хората го подценяват.
Сега започваме да виждаме, че преминава от само базирани на имейл атаки към социален фишинг, атаки с копие. Страшното е, че в социалните медии има присъщо доверие. Ако видите връзка, идваща от приятел на
Нека ви попитам за мобилната сигурност. В ранните дни казахме на хората, ако имате устройство с iOS, вероятно нямате нужда от антивирус, ако имате устройство с Android, може би искате да го инсталирате. Прогресирахме ли до момент, когато се нуждаем от софтуер за сигурност на всеки телефон?
Мисля, че трябва наистина да се доверяваме на сигурността, която е изпечена в самите устройства. Като се има предвид как Apple например е проектирала тяхната операционна система, така че всичко е доста пясъчно, нали? Приложението не може да направи много извън границите на това приложение. Android е проектиран малко по-различно, но това, което ние трябва да осъзнаем, е, че когато даваме на приложенията достъп до неща като нашето местоположение, адресната ни книга или други данни, които се намират на този телефон, това веднага излиза през вратата, И непрекъснато се актуализира, така че докато се движите местоположението ви се изпраща обратно в облака на всеки, който притежава това приложение. Трябва наистина да мислите за „Вярвам ли на тези хора с моята информация? Вярвам ли в сигурността на тази компания?“ Защото в крайна сметка, ако те съхраняват вашата адресна книга и вашите чувствителни данни, ако някой ги компрометира, те сега имат достъп до нея.
И това е постоянен достъп.
Това е вярно.
Сигурно мислите извън кутията. Само защото изтегляте нова игра, която изглежда страхотно, ако те поискат информация за вашето местоположение и информация за вашия календар и пълен достъп до телефона, вие им се доверявате да имат целия този достъп завинаги.
Точно така. Мисля, че наистина трябва да се замислите "Защо те питат това? Те всъщност имат нужда от това?" И е добре да кажеш „Откажи“ и да видиш какво ще стане. Може би това няма да повлияе на нищо и тогава наистина трябва да се чудите "Ами защо наистина поискаха това?"
Има хиляди приложения, които са създадени само за събиране на лична информация, те просто предлагат някаква стойност над нея, за да ви накарат да я изтеглите, но истинската единствена цел е да събира информация върху вас и да наблюдава вашия телефон.
Това всъщност е всеобхватен проблем, когато виждате тези злонамерени образувания да създават приложения, които приличат на други приложения. Може би те се преструват на вашата онлайн банка, когато не са. Те всъщност са само фишинг за вашите пълномощия, така че наистина трябва да внимавате.
Искам да ви задам въпросите, които задавам на всички, които идват в това шоу. Има ли конкретна технологична тенденция, която ви притеснява най-много
Има ли приложение, услуга или приспособление, което използвате всеки ден, което просто вдъхновява учудването, което ви впечатлява?
Това е добър въпрос. Аз съм голям фен на инструмента на Google. Те наистина си взаимодействат и работят изключително добре и се интегрират добре заедно, така че съм голям потребител на приложения в Google. и не е само защото Google е инвеститор в нашата компания.
Навсякъде има малко Google.
Навсякъде има малко Google.
Има какво да се каже, за да отделите момент и да им дадете заслуга за това, което са направили. Те наистина искаха да направят търсенето и разбираемата информация в света и те свършиха доста добра работа.
Всъщност току-що получихме в офиса си нова бяла дъска, цифрова дъска - Jamboard - и това е едно от най-готините устройства, които съм виждал от много време. Просто способността да изтриете нещо, да го запишете и върнете обратно, или да взаимодействате и да общувате с някого в друг край или с някой от iPad. Искам да кажа, че това е просто невероятно, а ако говорите за сътрудничество от разстояние, това го прави много по-лесно.
Вълнуващо е да наблюдаваме тази прогресия по начина, по който можем да работим заедно. Не е нужно хората да са разположени централно в един офис, можем да внесем лоши стари идеи и мисля, че това е наистина готино.
Това е много, много готин продукт. Тествахме го в лабораторията и имахме известни проблеми с част от софтуера, но е така
Абсолютно съгласен.
Просто има нужда от няколко актуализации на софтуера, за да е малко по-лесно.
Малко е бъги, но все пак е невероятно.
Как хората могат да ви настигнат и да ви следват онлайн и да следят какво правите?
Да, аз съм в Twitter @JayKaplan. Нашият блог в Synack.com/blog, това също е чудесно място да чуете най-новите новини за киберсигурността и какво правим като компания, а аз имам няколко публикации там всеки път. И аз съм в LinkedIn, публикувам там толкова често. Опитвам се да остана максимално активен в социалните медии. Не съм най-добрият.
Отнема много време.
В това, но се опитвам.
Имате и работа за вършене.
Точно.
