לג'אי קפלן של סינאק יש צבא האקרים לבן

אתה יכול לקבל מידע על כל אדם כמעט בימים אלה, כולל אבטחה.

בפרק הזה של Fast Forward, אני מדבר עם ג'יי קפלן, הסרט מנכ"ל ומייסד משותף של Synack. לפני שהקים את Synack, ג'יי שימש בתפקידים מרובים הקשורים לאבטחת סייבר במחלקת ההגנה וכמומחה בכיר לניצול ופגיעות ברשת מחשבים במינהל לביטחון לאומי.

בסינאק הוא בנה מערכת גילוי איומים אוטומטית ורשת יצרה של מאות חוקרי אבטחה ברחבי העולם כדי לעבור בדיקות חדירה לשלב הבא. בדיון שנערך לאחרונה מסן פרנסיסקו, דיברנו על מצב האבטחה ברשת, האקרים כובעים לבנים, והצעדים שהוא נוקט באופן אישי כדי להבטיח את ביטחונו באופן מקוון. קרא את התמליל או צפה בסרטון הבא.

מבין כל התארים שלך, המנכ"ל והמייסד המשותף אולי מרשים מאוד, אבל הדבר שמרשים אותי הוא עובד כחבר בצוות אדום במחלקת ההגנה. אני מבין שייתכן שלא תוכל לספר לכולנו של הפרטים, אבל מה בדיוק זה אומר?

כחבר בכל צוות אדום כחלק מכל ארגון אתה אחראי להתנהג כמו תוקף, כמו היריב שכולנו מנסים להגן עליו כל יום ויום. אז העבודה שלי ב- DoD הייתה מאוד ממוקדת במערכות DoD בצוות אדום. בין אם מדובר במערכות צבאיות, רשתות, מכשירים הפרוסים בשטח, יהיו אשר יהיו, רצינו לוודא שהן מאובטחות ולא יהיו רגישות להפרות בפועל.

אתה מזדווג את זה עם העבודה שלי ב- NSA, במקום במקום לתקוף למטרות הגנה, הייתי על התקפה צד למטרות פוגעות. אתה מתחתן עם שתי העמדות הללו יחד זה באמת עזר לנו למסד את כל הרעיון שמאחורי סינאק ואת המודל העסקי שיש לנו כיום.

נראה לי שנקטת באותה גישה, הבאת אותה למגזר הפרטי ואתה, אני משער, מעסיק לגיונות של האקרים ומבקש קהל המון משאבים ברשת. דבר איתנו קצת על איך זה עובד.

הגישה שאנו נוקטים היא יותר גישה המונעת על ידי האקרים. מה שאנחנו עושים הוא למנף רשת עולמית של חוקרי אבטחת כובעים לבנים מובילים ביותר מ- 50 מדינות שונות ואנחנו משלמים להם באופן יעיל על בסיס תוצאות כדי לחשוף פגיעויות אבטחה בקרב לקוחות הארגון שלנו, וכעת אנו עושים המון עבודה עם הממשלה גם כן.

כל המטרה כאן היא לשים לב יותר לבעיה. אני מתכוון שזה דבר אחד שיש אנשים או שניים שמסתכלים על מערכת, רשת, אפליקציה, ומנסים להיפטר מהיישום הזה של פגיעויות. זה עוד לומר אולי 100, 200 איש, כולם תראה בחלק זה של ציוד IT, או כל מה שיהיה, ונסה להבין מהן הפגיעויות וכשאתה מצליח לשלם לך. זה שינוי פרדיגמה ממש גדול וזה עובד טוב מאוד בפועל.

מי יהיה הלקוח הטיפוסי? האם זה יהיה כמו מיקרוסופט שאומרת "אנו משיקים פלטפורמת Azure חדשה, בואו לנסות ולנקר חורים במערכת שלנו?"

זה יכול להיות מכל מקום מחברת טכנולוגיה גדולה כמו מיקרוסופט לבנק גדול בו הם רוצים לבדוק את היישומים המקוונים והניידים שלהם, יישומי בנקאות. זו יכולה להיות גם הממשלה הפדרלית; אנו עובדים עם DoD ושירות ההכנסות הפנימיות כדי לנעול את המקום בו אתה מגיש מידע על משלם המסים, או מנקודת המבט של ה- DoD דברים כמו מערכות שכר ומערכות אחרות המאכלסות מידע רגיש מאוד. חשוב שדברים אלה לא יתפשרו, כפי שכולנו ראינו בעבר זה יכול להיות מאוד מאוד מזיק. סוף סוף הם נוקטים בגישה פרוגרסיבית יותר לפיתרון הבעיה, ומתרחקים מהפתרונות המסודרים יותר שראינו בעבר.

איך אתה מוצא אנשים? אני מתאר לעצמי שאתה לא רק מפרסם אותו בלוח מודעות ואומר "היי, כוון את האנרגיות שלך לכאן ואז אם תמצא משהו יידע אותנו ואנחנו נשלם לך."

בתחילת ימים אנו ממנפים את הרשת שלנו די בכבדות. הבאנו אנשים שהכרנו, וזה גדל באופן אורגני והתחלנו להביא אנשים בכל רחבי העולם העוסקים באבטחת סייבר, ואפילו כאלה שלא בהכרח עושים ביטחון ברשת יום-יום, יום-יומי. יש לנו הרבה מפתחים כחלק מהרשת שלנו, חלק מהנדסים מחברות טכנולוגיה גדולות. הכוח של מה שאנחנו עושים הוא לתת ללקוחות את מגוון המשאבים, גישה לכישרון שלא היו להם באופן מסורתי גישה.

אם אתה מסתכל על חלק מהסטטיסטיקה, הם אומרים שעד שנת 2021 עומדים לרשותנו 3.5 מיליון משרות פתוחות בתחום הסייבר. יש ניתוק ואתגר עצומים של היצע וביקוש שאנו מנסים לפתור. השימוש ב- crowddsourcing כדי לפתור בעיה זו עבד טוב מאוד עבורנו מכיוון שאיננו צריכים להעסיק אותם. הם פרילנסרים ובעצם רק לשים עין יותר על הבעיה הזו מניבה לתוצאות טובות יותר.

של כמובן אמיתותה של אותה רשת חשובה גם לעסקים שלנו. עלינו לדעת שאנו יכולים לסמוך עליהם ולכן עלינו לבצע את החוקרים שלנו בקפדנות של בדיקות רקע ואימות זיהוי, ואף אנו מבצעים ביקורת על התנועה שלהם כדי לוודא שהם מקפידים על היקף וכללי המעורבות., אבל זה ממש מרגש לראות מנגנון להתמודדות עם מודל של crowddsource, אך יש טונה של שליטה שנאפה בכך שהיא מאפשרת לארגונים מודאגים לקבל גישה למתודולוגיה מסוג זה.

האם ההאקרים האלה יכולים להרוויח איתך יותר כסף ממה שהם יכלו לצאת לבד באינטרנט האפל? כלומר, האם זה משתלם להיות כובע לבן במודל הזה?

ישנה תפיסה שגויה נפוצה שלדעתך, אתה פועל באינטרנט האפל ותהיה אוטומטית האדם העשיר הזה.

גם אתה נקרע הרבה.

אתה נלשל הרבה, אבל המציאות היא שאנשים שאנחנו עובדים איתם הם מקצועיים מאוד ואתיים. הם עובדים עבור חברות גדולות מאוד, או חברות ייעוץ ביטחוניות אחרות ויש אנשים שיש בהם המון אתיקה שהם לא רוצים לעשות דברים בצורה לא חוקית. הם רוצים לפעול, הם אוהבים פריצה, הם אוהבים לשבור דברים, אבל הם רוצים לעשות את זה בסביבה בה הם יודעים שהם לא הולכים להעמיד לדין.

זה יתרון נחמד. מה אתה רואה כאיומים העיקריים בתוך ביטחון היום? האם עלינו לדאוג למפעלים פליליים? שחקני מדינת לאום? מאיפה אתה רואה את רוב האיומים שמגיעים?

זה ממש מעניין. אם היית שואל אותי את השאלה לפני מספר שנים, הייתי אומר שמדינות הלאום הן הארגונים המצוידים ביותר להצליח במתקפות סייבר. אני מתכוון שהם יושבים על מלאי ניצולים של אפס יום, יש להם הרבה כסף והרבה משאבים.

הסבירו את הרעיון הזה לשבת על אותם מלאי של אפס ימים. מכיוון שזה משהו שמחוץ למרחב האבטחה, אני לא חושב שהאדם הממוצע באמת מבין.

אז ניצול של אפס יום אפקטיבי הוא פגיעות במערכת הפעלה מרכזית שאולי אף אחד לא יודע על מלבד ארגון אחד. הם מצאו את זה, הם יושבים על זה והם משתמשים בזה לטובתם. בהתחשב בכמה כסף שהם מכניסים למחקר ופיתוח, ובהתחשב בכמה כסף הם משלמים את המשאבים שלהם, יש להם יכולת למצוא את הדברים האלה שבהם אף אחד אחר לא יכול למצוא אותם. זו סיבה גדולה לכך שהם כל כך מצליחים במה שהם עושים.

בדרך כלל הם עושים זאת למען רווח מודיעיני ועוזרים למקבלי ההחלטות שלנו לקבל החלטות מדיניות טובות יותר. אנו רואים שינוי במהלך השנים האחרונות בהן סינדיקטות פשע מנצלות חלק מכלי הדליפה הללו לטובתן. אם אתה מסתכל על דליפת מתווך הצללים כדוגמא עיקרית לכך, זה די מפחיד שם בחוץ. בזמן שהספקים מבצעים טלאים למערכות שלהם, הארגונים והחברות בחוץ לא ממש מנצלים את התיקונים הללו ומשאירים אותם רגישים להתקפות ומאפשרים לרעים לפרוץ לארגונים שלהם ולהוציא תוכנות כופר, כדוגמא, לנסות להשיג כסף מהם.

זיהום WannaCry השפיע על מספר עצום של מערכות, אך לא על מערכות Windows 10. זה היה ניצול שנדבק אם אנשים הורידו והתקנו, אבל מיליוני אנשים רבים לא עשו זאת וזה פתח את הדלת.

זה בדיוק נכון. ניהול תיקונים הוא דבר שקשה עדיין לרוב המוחלט של הארגונים. אין להם שום ידיעה באילו גרסאות פועלות, ואילו תיבות טופלו ואילו מהן לא, וזו אחת הסיבות שיצרנו את כל המודל העסקי שלנו - לשים לב יותר לבעיה הזו, להיות פרואקטיביים לחשיפה המערכות שלא טופלו, ואומרות ללקוחות שלנו: "היי, כדאי שתתקן את הדברים האלה או שתהיה הפרצה הגדולה הבאה או התקפות כמו WannaCry הולכות להצליח נגד הארגונים שלך." וזה הלקוחות שמעסיקים את שירותינו באופן רציף, זה היה מקרה שימוש ממש מוצלח עבורנו.

האם אתה מוכר את השירותים שלך לבדיקה קצרת טווח? או יכול להיות גם מתמשך?

באופן מסורתי, בדיקות חדירה היו סוג של נקודת זמן של מעורבות, נכון? אתה אומר שנכנס שבוע, שבועיים, תן לי דוח ואז נראה אותך שנה אחר כך כשנעמד לביקורת הבאה שלנו. אנו מנסים להעביר לקוחות למנטליות כי התשתית דינאמית מאוד, אתה דוחף שינויי קוד ליישומים שלך כל הזמן, אתה יכול להציג פגיעויות חדשות בכל עת. מדוע לא להסתכל על הדברים האלה מנקודת מבט ביטחונית באופן רציף באותה צורה שאתה עם מחזור החיים שלך בפיתוח?

ותוכנה כשירות היא מודל נהדר. השירות כשירות הוא גם מודל נהדר.

זה נכון. יש לנו רכיבי תוכנה גדולים היושבים על הגב של כל זה, כך שיש לנו פלטפורמה שלמה שמאפשרת לא רק את האינטראקציה בין החוקרים שלנו לבין הלקוחות שלנו, אלא אנחנו גם בונים אוטומציה בכדי לומר "היי, כדי לעשות החוקרים שלנו יעילים ויעילים יותר בעבודתם, בואו למכן את הדברים שאנחנו לא רוצים שהם יבזבזו עליהם ". ימין? כל הפירות התלויים הנמוכים, נותנים להם יותר הקשר של הסביבה אליהם הם נכנסים, ואנחנו מגלים שהזיווג הזה בין אדם למכונה עובד טוב מאוד וזה מאוד חזק במרחב האבטחה ברשת.

בדיוק חזרת מהכובע השחור לפני זמן לא רב, שם ראית הרבה דברים מפחידים, הייתי מדמיין. האם היה שם משהו שהפתיע אותך?

אתה יודע, דפקון היה מוקד גדול במערכות הצבעה, ואני חושב שכולנו ראינו הרבה עיתונות בנושא. אני חושב שרק לראות כמה מהר האקרים מצליחים להשתלט על אחת ממערכות ההצבעה הללו בהינתן גישה פיזית זה די מפחיד. זה גורם לך לפקפק באמת בתוצאות הבחירות הקודמות. לראות שאין הרבה מערכות שיש להן מסלולי נייר, אני חושב שזו הצעה די מפחידה.

אבל מעבר לזה, היה הרבה התמקדות בתשתיות קריטיות. הייתה שיחה אחת שהתמקדה בעצם בפריצת מערכות הקרינה המאתרת קרינה בתחנות כוח גרעיניות וכמה קל לבצע פריצה למערכות אלה. אני מתכוון שהדברים די מפחידים, ואני מאמין באמונה שלמה שהתשתית הקריטית שלנו נמצאת במקום די גרוע. אני חושב שרובו למעשה נפגע היום ויש מספר שתלים שיושבים בכל רחבי התשתית הקריטית שלנו רק מחכים למנוף במקרה שנלך למלחמה עם מדינת לאום אחרת.

אז כשאומרים "התשתית הקריטית שלנו נפגעת היום", אתה מתכוון שיש ישיבת קוד במפעלים חשמליים, במפעלים לייצור גרעיני, חוות טחנת רוח שהוצבו שם על ידי מעצמות זרות שיכולות להיות מופעלות בכל עת?

כן. זה בדיוק נכון. אין לי משהו בהכרח לגבות את זה למעלה, אבל רק בהתחשב בידע שלי במצב הביטחון הסייבר בארגוני התשתיות הקריטיים הללו, אין לי ספק שיש אחוז גדול מאוד הם התפשר היום, מכניס אותנו למצב די מפחיד בעתיד.

האם נוכל להתנחם בעובדה שסביר להניח שיש לנו מנוף דומה על יריבינו ויש לנו את הקוד שלנו גם בתשתית הקריטית שלהם, כך שלפחות יש אולי הרס מובטח הדדי שנוכל לסמוך עליו?

הייתי מניח שאנחנו עושים דברים שדומים מאוד.

בסדר. אני מניח שאינך יכול לומר את כל מה שאתה יכול לדעת, אבל אני מתנחם בכך שלפחות שהמלחמה מתנהלת. ברור שאנחנו לא רוצים שזה יסלים בכל צורה או צורה, אבל לפחות אנחנו נלחמים משני הצדדים וכנראה שצריך להתמקד יותר בהגנה.

זה נכון. כלומר, בהחלט צריך להתמקד יותר בהגנה, אבל היכולות ההתקפיות שלנו חשובות לא פחות. אתה יודע, להיות מסוגל להבין איך היריבים שלנו תוקפים אותנו ומה היכולות שלהם הם דורשים גישה פוגענית, וזו הסיבה שה- NSA עושה את מה שהם עושים ולארגוני הביון האחרים יש יכולות דומות.

אז, רציתי לשאול אותך על נושא שהופיע בחדשות ב- אחרון כמה חודשים, וזה תפקידם של חברות טכנולוגיה זרות. הטכנולוגיה שלהם מוטמעת בתשתיות שלנו, בתאגידים שלנו, בסוכנויות הממשלתיות שלנו, ואז כל חצי שנה בערך יש סיפור שאומר "אה, אנחנו לא צריכים לסמוך על תשתיות Huawei Telecommunications." בזמן האחרון התרחש סיפור שאולי עלינו להסתכל בתוכנת האבטחה של מעבדות קספרסקי מכיוון שהם עבדו עם שירותי האבטחה הרוסים. מה דעתך על סוגים אלו של מערכות יחסים? האם מדובר בחברות עצמאיות, או שהן נשק של המדינות מהן הן פועלות?

אז קשה לדעת נכון? ואני חושב בהתחשב בעובדה שאנחנו צריכים להטיל ספק בקשרים עם ארגונים אלה, עלינו פשוט להיזהר מההיערכות, בעיקר לפריסה רחבה. משהו נפוץ כמו פיתרון אנטי-וירוס כמו קספרסקי על כל המערכות שלנו, הממשלה נזהרת, ובהתחשב בכך שיש לנו פתרונות, פתרונות מגדלים ביתיים, באותה דרך שבה אנו מנסים לבנות את ראשי הנפץ הגרעיניים שלנו, ומערכות ההגנה מפני טילים שלנו ארה"ב, עלינו לנצל את הפתרונות הנבנים בארה"ב, חלקם מנקודת מבט של ביטחון ברשת. אני חושב שזה מה שהם בסופו של דבר מנסים לעשות.

מה לדעתך הדבר מספר אחד שרוב הצרכנים עושים לא נכון מבחינה ביטחונית?

ברמה הצרכנית, זה פשוט מאוד בסיסי, נכון? אני חושב שרוב האנשים לא עוסקים בהיגיינת ביטחון. רכיבה על סיסמאות, שימוש בסיסמאות שונות באתרים שונים, שימוש בכלי ניהול סיסמאות, אימות דו-גורמי. אני לא יכול לומר לך כמה אנשים היום פשוט לא משתמשים בזה, וזה מפתיע אותי שהשירותים שהצרכנים משתמשים בהם לא רק מכריחים אותם עליהם. אני חושב שחלק מהבנקים מתחילים לעשות את זה, וזה נהדר לראות, אבל עדיין לראות חשבונות במדיה החברתית נפגעים מכיוון שלאנשים אין שני גורמים בעניין זה פשוט משוגע בעיניי.

אז עד שאנחנו עוברים את היגיינת האבטחה הבסיסית, אני לא חושב שנוכל להתחיל לדבר על כמה מהטכניקות המתקדמות יותר להגנה על עצמן.

אז ספר לי קצת על נוהלי האבטחה האישיים שלך? האם אתה משתמש במנהל סיסמאות?

כמובן. כמובן. אני משתמש OnePassword , לכן בעיקרון לכל אתר אינטרנט שאני מבקר וחשבון שאני יוצר יש סיסמא שונה, תמיד מינימום 16 תווים. אני מחליף סיסמאות אלה באופן קבוע וכולם נוצרים באופן אוטומטי. אני משתמש ב- VPN ברשתות לא מוגנות. לחברה שלנו יש פיתרון VPN, כך בכל עת אני ברשת אלחוטית אני לא חושש להשתמש ברשת האלחוטית כל עוד החיבורים האלה עוברים דרך מנהרה מאובטחת.

שירותי VPN עשויים להאט את החיבור שלך מעט, אך הם יחסית קלים להתקנה ותוכל להשיג אחד לכמה דולרים בחודש.

הם קלים מאוד להתקנה ואתה רוצה ללכת עם ספק מכובד מכיוון שאתה שולח תנועה דרך ספק זה. אתה רק רוצה לוודא שיש להם מוניטין טוב ותוכל לסמוך עליהם עם התנועה שלך.

יחד עם זאת, פשוט עושים דברים פשוטים כמו עדכון המערכת שלי, בכל פעם שיש עדכון בנייד שלי התקן, או במחשב שלי אני מנצל אותו. כלומר יש סיבה שדוחפים את העדכון שם בחוץ, כך שזה באמת רק היסודות. ו אז כמובן אתה עוקב אחר דוחות האשראי שלך, ואת כרטיסי האשראי שלך, וכל סימן לפעילות חשודה שאתה סתם חוקר.

זה לא כל כך מטורף. זה ממש לא כל כך קשה להישאר בטוחים כצרכן. אתה לא צריך להשתמש בטכניקות או בפתרונות מתקדמים במיוחד שיש שם בחוץ. רק חשוב על השכל הישר.

אני חושב ששני גורמים היא מערכת שמבלבלת הרבה אנשים ומפחידה הרבה אנשים. הם חושבים שהם יצטרכו לבדוק בטלפון שלהם בכל פעם שהם נכנסים לחשבון הדוא"ל שלהם, וזה לא המקרה. אתה רק צריך לעשות את זה פעם אחת, אתה מאשר את המחשב הנייד הזה, ועל ידי כך מישהו אחר לא יכול להיכנס לחשבונך מכל מחשב נייד אחר, המהווה אמצעי הגנה עצום.

בהחלט. כן, משום מה זה מפחיד הרבה אנשים. חלקם מוגדרים במקום שאולי תצטרך לעשות זאת כל 30 יום בערך, אבל עדיין זה לא מסורבל כפי שזה נשמע וזה יתרון ביטחוני עצום ליישום. בהחלט הייתי ממליץ למקם שני גורמים במקום.

לא היית בענף זה כל כך הרבה זמן, אבל אתה יכול לשתף איך ראית את הנוף שינוי מאז שהתחלת? איך יש לאיומי הסייבר התפתח באותה תקופה?

אני באמת נמצא בתחום הסייבר ומאוד התעניינתי בזה אולי 15 שנה. מאז שהייתי בן 13 וניהלתי חברת אירוח אתרים משותפת. היה הרבה התמקדות בהגנה על אתרי הלקוחות שלנו, ובניהול השרתים, ובוודאות ששרתים אלה היו נעולים. אתה מסתכל איך הידע התקדם לצד התוקף. אני חושב שהביטחון הוא ענף המתהווה בפני עצמו, הוא מתפתח כל הזמן, ותמיד יש המון פתרונות וטכנולוגיה חדשניים חדשים. אני חושב שמרגש לראות את הקצב המהיר של החדשנות במרחב הזה. מרגש לראות חברות מנצלות יותר מהפתרונות הנטועים בהדרגה, סוג של התרחקות משמות הדפקטואים שכולנו שמענו עליהם, סימנטקים וה מקאפס של העולם ולעבור לכמה מהחברות החדשות שנמצאות שם בחוץ, מתוך הכרה בכך שהם חייבים להיות חדשניים באשר הם ניגשים לביטחון ברשת. ואם הם לא, התוקפים עומדים להיות צעד אחד לפניהם.

פעם זה היה בעיקר על וירוסים והיית צריך לעדכן את ההגדרות שלך, ותשלם לחברה שתנהל עבורך את מסד הנתונים, וכל עוד היה לך שאתה די בטוח מפני 90 אחוז מהאיומים. אולם האיומים התפתחו היום הרבה יותר מהר. ויש לזה מרכיב בעולם האמיתי בו אנשים חושפים את עצמם מכיוון שהם מקבלים התקפת דיוג, הם מגיבים ומוסרים את תעודותיהם. ככה הארגון שלהם חודר וזה כמעט יותר נושא חינוכי מאשר נושא טכנולוגי.

אני חושב שהרוב המכריע של ההתקפות שמצליחות אינן מתקדמות. המכנה הכי פחות משותף לאבטחת ארגון כלשהו הם האנשים. אם האנשים לא מחונכים לא ללחוץ על דוא"ל כשהוא נראה חשוד, אז יש לשחק. זה פשוט קל מדי בימינו, ויש המון חברות שמנסות לתקוף את הבעיה המתמקדת במיוחד בדיוג. בנוסף לכל הפתרונות האחרים שהם מיישמים בטיפול בפגיעויות, בהתמודדות עם איומי סייבר, אך עלינו לטפל בבעיית האנשים קודם כי כרגע אנחנו פשוט מקלים עליה מדי.

אשמח לראות מחקרים על כמה איומים הם רק מבוססי אימייל. רק אלפים ואלפי מיילים יוצאים ואנשים לוחצים על דברים. אנשים היוצרים תהליך וסדרת אירועים המסתחררים משליטה. אבל זה מגיע באמצעות דואר אלקטרוני מכיוון שהדוא"ל כל כך קל ומגיע בכל מקום ואנשים מעריכים אותו פחות.

אנו מתחילים לראות כעת שזה מעבר להתקפות מבוססות דוא"ל לדיוג חברתי, להתקפות חנית. מה שמפחיד בזה הוא שיש אמון מובנה שנאפה במדיה החברתית. אם אתה רואה קישור שמגיע מחבר של א חבר, או אפילו לחשבון של חבר שנפגע, כנראה שאתה נוטה יותר ללחוץ עליו קישור, או להוריד קובץ וזה מפחיד. יש לך גם יכולת להגיע לקהל רחב הרבה יותר, נכון? אינך שולח דוא"ל לאנשים, כעת תוכל לפרסם ציוץ עם קישור בו שיגיע כעת באופן אוטומטי לעשרות אלפי, מיליוני אנשים, תלוי באיזה חשבון אתה יושב. זו הסיבה שחשבונות אלה נעשים מטרידים יותר ומשפיעים על יותר אנשים מאי פעם.

תן לי לשאול אותך לגבי אבטחה לנייד. בימים הראשונים אמרנו לאנשים אם יש לך מכשיר iOS אתה כנראה לא צריך אנטי-וירוס, אם יש לך מכשיר אנדרואיד, אולי תרצה להתקין אותו. התקדמנו לנקודה בה אנו זקוקים לתוכנת אבטחה בכל טלפון?

אני חושב שאנחנו חייבים לסמוך באמת על הביטחון שנאפה במכשירים עצמם. בהתחשב בכך שאפל, למשל, עיצבה את מערכת ההפעלה שלה כך שהכל די ארגז חול, נכון? יישום לא יכול לעשות הרבה מאוד מחוץ לתחום של יישום זה. אנדרואיד מעוצבת קצת אחרת, אבל מה שעלינו להבין הוא שכאשר אנו נותנים לאפליקציות גישה לדברים כמו המיקום שלנו, פנקס הכתובות שלנו או כל מידע אחר שנמצא בטלפון ההוא, זה יוצא מייד מהדלת.. וזה מתעדכן כל העת, כך שאתה מעביר את המיקום שלך נשלח חזרה לענן למי שבבעלותו יישום זה. אתה צריך לחשוב באמת על "האם אני סומך על האנשים האלה במידע שלי? האם אני סומך על הביטחון של החברה הזו?" כי בסופו של דבר אם הם מאכלסים את פנקס הכתובות שלך, והנתונים הרגישים שלך, אם מישהו מתפשר עליהם, כעת יש להם גישה אליו.

וזה גישה תמידית.

זה נכון.

אתה חייב לחשוב מחוץ לקופסה. רק בגלל שאתה מוריד משחק חדש שנראה מגניב, אם הם מבקשים את פרטי המיקום שלך ואת פרטי היומן שלך, וגישה מלאה לטלפון, אתה סומך עליהם שתהיה להם גישה כזו לנצח.

זה בדיוק נכון. אני חושב שאתה באמת צריך לחשוב על "למה הם מבקשים את זה? האם הם באמת צריכים את זה?" וזה בסדר לומר "דחה" ולראות מה קורה. אולי זה לא ישפיע על שום דבר ואז אתה באמת צריך לתהות "ובכן למה הם באמת ביקשו את זה?"

יש אלפי אפליקציות שנוצרות רק כדי לאסוף מידע אישי, הן פשוט מציעות ערך כלשהו על גבי זה כדי לגרום לך להוריד אותו, אבל המטרה היחידה האמיתית היא לאסוף מידע עליך ולעקוב אחר הטלפון שלך.

למעשה מדובר בבעיה נרחבת בה אתה רואה את הישויות הזדוניות הללו שיוצרות אפליקציות שנראות כמו אפליקציות אחרות. אולי הם מעמידים פנים שהם הבנק המקוון שלך כשהם לא. הם בעצם רק מדייגים בתעודות, כך שאתה באמת צריך להיזהר. מובן מאליו יש תהליך חריצות שאפליקציות אלה צריכות לעבור לפני שהם מתפרסמים בחנות האפליקציות, אך הוא אינו אטום.

אני רוצה לשאול אותך את השאלות שאני שואל את כל מי שמגיע למופע הזה. האם יש מגמה טכנולוגית מסוימת שמדאיגה אותך הכי הרבה שומר אתה בלילה?

בעצם דיברנו על ניידים, ואני חושב שאימוץ מהיר של מכשירים ניידים וכמעט כל עסקאות כולם מתרחשים בנייד לעומת דפדפן אינטרנט. מה שמפחיד אותי הוא היעדר חריצות האבטחה המתרחשת מנקודת מבט של החברה, האנשים שמפתחים יישומים אלה. הם לא חושבים על אבטחה ביישומים אלה באותו אופן שהם מתייחסים לרשתות הארגוניות שלהם ולסביבות יישומי האינטרנט שלהם ולכן יש ממשקי API הרגישים להתקפות. הם מאחסנים סיסמאות במכשיר, הקריפטוגרפיה מיושמת לרוב בצורה לא נכונה. זה מפחיד אותי, בידיעה שיותר ויותר אנשים מבצעים מכשירים אלה, ובכל זאת החברות שמפתחות אפליקציות אלה לא חושבות על האבטחה באותה צורה שהיא כל השאר. אני חושב שזה משתפר, אבל אנחנו עדיין לא שם.

האם יש אפליקציה, או שירות, או גאדג'ט שאתה משתמש בו כל יום שרק מעורר תמיהה, שמרשים אותך?

זו שאלה טובה. אני מעריץ גדול של חבילת הכלים של גוגל. הם באמת מתקשרים ועובדים טוב מאוד ומשתלבים היטב יחד, כך שאני משתמש גדול באפליקציות גוגל. וזה לא רק בגלל שגוגל משקיעה בחברה שלנו.

יש מעט גוגל בכל מקום.

יש גוגל קטן בכל מקום.

יש לומר מה לוקח לרגע ולתת להם קרדיט על מה שהם עשו. הם באמת רצו להפוך את המידע לחיפוש וניתן להבנה, והם עשו זאת עבודה די טובה.

יש לנו למעשה לוח חדש, לוח דיגיטלי במשרדנו - הג'אמבורד - וזה אחד המכשירים הכי מגניבים שראיתי מזה זמן רב. רק היכולת להלביש משהו, לשמור אותו ולהעלות אותו מחדש, או ליצור קשרים עם מישהו בקצה אחר, או עם מישהו אחר באייפד. זאת אומרת שזה פשוט מדהים, ודיבורים על שיתוף פעולה מרחוק זה פשוט הופך את זה להרבה יותר קל.

מרגש לראות את ההתקדמות בדרך בה אנו יכולים לעבוד יחד. אנחנו לא צריכים שיהיו אנשים שנמצאים במיקום מרכזי במשרד אחד, אנחנו יכולים להביא רעיונות ישנים רעים ואני חושב שזה ממש מגניב.

זה מוצר מאוד מאוד מגניב. בדקנו את זה במעבדה והיה לנו קצת בעיות עם חלק מהתוכנה, אבל זה ראשון דור. זה פשוט יצא כמו לפני חודשיים, וזה ממש הולך להיות כמו שאנשים מתקשרים בחדרי ישיבות לשנים הבאות.

מסכים לחלוטין.

זה רק זקוק לכמה עדכוני תוכנה כדי להקל מעט יותר.

זה קצת באגי, אבל זה עדיין מדהים.

איך אנשים יכולים להדביק אותך ולעקוב אחריך און ליין ולעקוב אחר מה שאתה עושה?

כן, אני בטוויטר @ JayKaplan. הבלוג שלנו ב- Synack.com/blog, זה גם מקום נהדר בשבילך לשמוע את החדשות בנושא חדשות אבטחת סייבר, ומה אנחנו עושים כחברה, ויש לי כמה פוסטים שם מדי פעם. אני גם בלינקדאין ומפרסם שם מדי פעם. אני מנסה להישאר פעילה במדיה החברתית ככל שאני יכולה. אני לא הכי טוב.

זה לוקח הרבה זמן.

בזה, אבל אני מנסה.

יש לך עבודה לעשות גם כן.

בדיוק.