Synack's jay kaplan má hackerskú armádu s bielym klobúkom

V týchto dňoch môžete dávať zdroje takmer všade, vrátane zabezpečenia.

V tejto epizóde Fast Forward hovorím s Jayom Kaplanom CEO a spoluzakladateľ spoločnosti Synack. Pred založením spoločnosti Synack pôsobil na viacerých pozíciách týkajúcich sa kybernetickej bezpečnosti na ministerstve obrany a ako vedúci analytik vykorisťovania a zraniteľnosti počítačových sietí v Národnej bezpečnostnej správe.

V spoločnosti Synack vybudoval automatizovaný systém na detekciu hrozieb a vytvoril sieť stoviek výskumných pracovníkov v oblasti bezpečnosti na celom svete, aby prenikol testovaním penetrácie na ďalšiu úroveň. V nedávnej diskusii zo San Francisca sme hovorili o stave kybernetickej bezpečnosti, hackeroch s bielymi klobúkmi a krokoch, ktoré osobne podniká, aby zaistil svoju bezpečnosť online. Prečítajte si prepis alebo si pozrite video nižšie.

Zo všetkých titulov môže byť generálny riaditeľ a spoluzakladateľ veľmi pôsobivý, ale vec, ktorá na mňa robí dojem, pracuje ako člen červeného tímu na ministerstve obrany. Chápem, že nás možno nebudete môcť povedať všetkým z podrobnosti, ale čo to vlastne znamená?

Ako člen akéhokoľvek červeného tímu ako súčasť ktoréhokoľvek Organizácia ste zodpovedný za konanie ako útočník, ako protivník, ktorého sa všetci snažíme brániť každý deň. Takže moja práca na DoD bola veľmi zameraná na červené tímové DoD systémy. Či už ide o vojenské systémy, siete, zariadenia nasadené v teréne, nech je to čokoľvek, chceli sme sa ubezpečiť, že sú bezpečné a či nie sú náchylné na skutočné porušenia.

Vy párujete to s mojou prácou v NSA, kde som namiesto útoku na obranné účely bol na útok strana na útočné účely. Spojíte sa s týmito dvoma pozíciami, čo nám skutočne pomohlo formalizovať celú koncepciu spoločnosti Synack a obchodný model, ktorý máme dnes.

Zdá sa mi, že ste použili ten istý prístup, priviedli ste ho do súkromného sektora a vy, myslím, zamestnávate légie hackerov a crowdsourcingu zabezpečenia siete. Porozprávajte sa s nami o tom, ako to funguje.

Prístup, ktorý zvolíme, je skôr prístup založený na hackeroch. Robíme to, že využívame globálnu sieť špičkových výskumných pracovníkov v oblasti bielych klobúkov vo viac ako 50 rôznych krajinách a efektívne ich platíme na základe výsledkov, aby sme odhalili bezpečnostné chyby medzi našimi podnikovými zákazníkmi a teraz robíme veľa práce s vládou tiež.

Celým cieľom je získať viac očí na problém. Myslím tým, že jedna alebo dve osoby sa pozerajú na systém, sieť, aplikáciu a snažia sa túto aplikáciu zraniteľností zbaviť. Je to ďalší, ktorý hovorí, že možno 100, 200 ľudí, všetci vyzerať v tomto jednom IT vybavení alebo čokoľvek by to mohlo byť, a skúste zistiť, aké sú zraniteľné miesta a keď ste úspešní, zaplatte vám. Je to naozaj veľký posun paradigmy a v praxi to funguje veľmi dobre.

Kto by bol typický zákazník? Bolo by to ako Microsoft, ktorý hovorí: „Uvádzame na trh novú platformu Azure, prídeme vyskúšať a vrhnúť diery do nášho systému?“

Môže to byť kdekoľvek od veľkej technologickej spoločnosti, ako je Microsoft, až po veľkú banku, kde chcú vyskúšať svoje online a mobilné aplikácie, bankové aplikácie. Môže to byť aj federálna vláda; Spolupracujeme s DoD a službou Internal Revenue Service, aby sme zamkli miesto, kde odošlete informácie o daňových poplatníkoch alebo z pohľadu DoD veci, ako sú mzdové systémy a ďalšie systémy, v ktorých sú uložené veľmi citlivé údaje. Je dôležité, aby tieto veci neboli ohrozené, ako sme všetci videli v minulosti, môže to byť veľmi, veľmi škodlivé. Konečne prijímajú progresívnejší prístup k riešeniu problému a odstraňujú sa od komoditnejších riešení, ktoré sme videli v minulosti.

Ako nájdeš ľudí? Predstavujem si, že to nezverejníte len na nástenke a poviete: „Hej, nasmerujte svoju energiu na to a potom, keď nájdete niečo, dajte nám vedieť a my vám zaplatíme.“

Na začiatku dni očividne sme značne využili našu sieť. Priniesli sme ľudí, ktorých sme poznali, a to organicky rástlo a začali sme privádzať ľudí na celom svete, ktorí praktizujú kybernetickú bezpečnosť, a dokonca aj tých, ktorí nevyhnutne nerobia kybernetickú bezpečnosť nevyhnutne každý deň, deň mimo deň. Súčasťou našej siete je veľa vývojárov, inžinieri súčasťou veľkých technologických spoločností. Sila toho, čo robíme, je dať zákazníkom rozmanitosť zdrojov, prístup k talentom, ku ktorým by tradične nemali prístup.

Ak sa pozriete na niektoré zo štatistík, hovoria, že do roku 2021 budeme mať 3, 5 milióna otvorených pracovných miest v kybernetickom zabezpečení. Existuje obrovské odpojenie ponuky a dopytu a výzva, ktorú sa snažíme vyriešiť. Využitie crowdsourcingu na vyriešenie tohto problému pre nás veľmi dobre fungovalo, pretože ich nemusíme najímať. Sú na voľnej nohe a skutočne len získavajú viac očí na tento problém, čo vedie k lepším výsledkom.

z kurz pravdivosť tejto siete je prvoradá aj pre naše podnikanie. Musíme vedieť, že im môžeme veriť, a preto musíme svojich výskumných pracovníkov podrobiť prísnym kontrolám na pozadí a overovaniu totožnosti, a dokonca vykonávame audit ich prenosu, aby sme sa uistili, že dodržiavajú rozsah a pravidlá účasti. “, ale je skutočne vzrušujúce vidieť mechanizmus zapojenia sa do modelu crowdsource, ale má veľa kontroly nad tým, aby umožnilo dotknutým podnikom získať prístup k tomuto typu metodiky.

Môžu títo hackeri s vami zarobiť viac peňazí, ako by sami mohli na webe Dark Web získať? Myslím, je výhodné byť bielym klobúkom v tomto modeli?

Existuje bežná mylná predstava, že viete, že pracujete v temnom webe a automaticky sa stanete takou bohatou osobou.

Tiež vás veľa vytrhne.

Mnohokrát vás otrhnú, ale realitou sú ľudia, s ktorými pracujeme, sú vysoko profesionálni a etickí. Pracujú pre veľmi veľké spoločnosti alebo iné bezpečnostné poradenské firmy a sú tu ľudia, ktorí majú v sebe veľa etiky, že nechcú robiť veci nezákonne. Chcú konať, milujú hackovanie, milujú lámanie vecí, ale chcú to robiť v prostredí, v ktorom vedia, že nebudú stíhaní.

To je pekné plus. Čo vidíte ako hlavné hrozby v bezpečnosť dnes? Mali by sme sa obávať zločineckých podnikov? Národní aktéri? Odkiaľ vidíte väčšinu hrozieb?

Je to naozaj zaujímavé. Keby ste sa ma na túto otázku spýtali pred pár rokmi, povedal by som, že národné štáty sú najlepšie vybavené organizácie, ktoré sú úspešné pri kybernetických útokoch. Myslím tým, že sedia na hromadách vyťažených dní, majú veľa peňazí a veľa zdrojov.

Vysvetlite túto myšlienku sedieť na zásobách nulových dní. Pretože to je niečo, čo mimo bezpečnostného priestoru si nemyslím, že priemerný človek tomu skutočne rozumie.

Efektívne využívanie v nulový deň je teda zraniteľnosťou pravdepodobne vo veľkom operačnom systéme, ktorý možno nikto nevie o inej organizácii. Našli to, sedí na tom a využívajú ho vo svoj prospech. Vzhľadom na to, koľko peňazí vložili do výskumu a vývoja, a vzhľadom na to, koľko peňazí zaplatia za svoje zdroje, majú schopnosť nájsť tieto veci, kde ich nikto iný nenájde. To je veľký dôvod, prečo sú tak úspešní v tom, čo robia.

Spravidla to robia za účelom získavania spravodajských informácií a pomáhajú našim tvorcom rozhodnutí robiť lepšie politické rozhodnutia. V posledných rokoch sme svedkami posunu, keď zločinecké syndikáty využívajú niektoré z týchto únikových nástrojov na svoju výhodu. Ak sa pozriete na únik tieňa Brokers ako jeho príklad, je to dosť desivé. Zatiaľ čo predajcovia opravujú svoje systémy, podniky a spoločnosti tam v skutočnosti nevyužívajú tie opravy, ktoré ich nechávajú náchylné na útoky a umožňujú zlodejom preniknúť do ich organizácií a vydávať napríklad ransomware, aby sa pokúsili získať peniaze z nich.

Infekcia WannaCry zasiahla obrovský počet systémov, ale nie systémy Windows 10. Bola to záplata, ktorá bola oprava, ak si ľudia stiahli a nainštalovali, ale mnoho miliónov ľudí nemá, a to otvorilo dvere.

Presne tak. Správa záplat je pre veľkú väčšinu organizácií stále veľmi náročná vec. Nemajú informácie o tom, ktoré verzie sú spustené a ktoré políčka boli opravené a ktoré nie, a je to jeden z dôvodov, prečo sme vytvorili celý náš obchodný model - viac pozornosti na tento problém, aktívny prístup k odhaľovaniu systémy, ktoré neboli opravené, a hovoria našim zákazníkom: „Hej, mali by ste tieto veci lepšie opraviť, alebo sa chystáte na ďalšie veľké porušenie alebo útoky ako WannaCry budú úspešné proti vašim organizáciám.“ A naši zákazníci neustále využívajú naše služby. Toto bol pre nás skutočne úspešný prípad.

Predávate svoje služby na krátkodobé testovanie? Alebo by mohlo tiež prebiehať?

Tradične bolo penetračné testovanie typom zapojenia v čase, však? Hovoríte, že prídete na týždeň, dva týždne, dajte mi správu a potom sa uvidíme o rok neskôr, keď budeme pripravení na ďalší audit. Snažíme sa posunúť zákazníkov k mentalite, že infraštruktúra je vysoko dynamická, neustále tlačíte zmeny kódu do svojich aplikácií, mohli by ste kedykoľvek zavádzať nové zraniteľné miesta. Prečo sa na tieto veci pozerať z hľadiska bezpečnosti nepretržite rovnakým spôsobom, aký ste v životnom cykle vývoja?

A softvér ako služba je skvelý model. Služba ako služba je tiež skvelý model.

To je správne. Máme veľké softvérové ​​komponenty, ktoré sa nachádzajú na zadnej strane tohto článku, takže máme celú platformu, ktorá uľahčuje nielen interakciu medzi našimi výskumníkmi a našimi zákazníkmi, ale tiež budujeme automatizáciu, aby sme povedali: „Hej, aby sme urobili Naši vedci pracujú efektívnejšie a efektívnejšie pri práci, automatizujme veci, na ktoré nechceme, aby trávili čas. ““ Správny? Všetky ovocie s nízkym zavesením, ktoré im dáva viac kontextu prostredia, do ktorého kráčajú, a zisťujeme, že toto párovanie človeka a stroja funguje veľmi dobre a je veľmi silné v kybernetickom priestore.

Práve ste sa vrátili z Black Hat nie je to tak dávno, čo ste si predstavili veľa strašidelných vecí. Bolo tam niečo, čo ťa prekvapilo?

Ako viete, v spoločnosti Defcon bolo veľké zameranie na hlasovacie systémy a myslím si, že sme o tom všetci videli veľa tlače. Myslím si, že videnie toho, ako rýchlo sú hackeri schopní prevziať kontrolu nad jedným z týchto hlasovacích systémov vzhľadom na fyzický prístup, je dosť desivé. To vás núti spochybňovať výsledky predchádzajúcich volieb. Keď vidím, že nie je veľa systémov, ktoré majú papierové stopy, myslím si, že je to dosť strašidelné tvrdenie.

Okrem toho sa však veľa zameriavalo na kritickú infraštruktúru. Jedna prednáška sa zamerala na hackovanie radiačných systémov, ktoré detegujú žiarenie v jadrových elektrárňach, a aké ľahké je preniknúť do týchto systémov. Myslím, že veci sú dosť desivé a pevne verím, že naša kritická infraštruktúra je na dosť zlom mieste. Myslím si, že väčšina z toho je dnes kompromitovaná a po celej našej kritickej infraštruktúre sedí množstvo implantátov, ktoré čakajú na využitie v prípade, že pôjdeme do vojny s iným národným štátom.

Takže keď poviete „Naša kritická infraštruktúra je dnes ohrozená“, máte na mysli, že v elektrických továrňach, v jadrových elektrárňach, veterných farmách je kód, ktorý tam umiestnili zahraničné mocnosti, ktoré by sa mohli kedykoľvek aktivovať?

Áno. Presne tak. Nemám nič, čo by to podporovalo up, ale vzhľadom na moje znalosti stavu kybernetickej bezpečnosti v týchto organizáciách kritickej infraštruktúry nepochybujem o tom, že existuje veľmi veľké percento, ktoré sú dnes ohrozená, čo nás v budúcnosti dostáva do dosť desivej pozície.

Môžeme si vziať útechu v tom, že pravdepodobne máme podobný vplyv na našich protivníkov a máme kód v ich kritickej infraštruktúre, takže aspoň možno existuje vzájomne zaručená deštrukcia, na ktorú sa môžeme spoľahnúť?

Predpokladal by som, že robíme veci, ktoré sú veľmi podobné.

Poriadku. Predpokladám, že nemôžete povedať všetko, čo by ste mohli vedieť, ale potešujem sa tým, že aspoň prebieha vojna. Samozrejme nechceme, aby sa to nejako eskalovalo na tvar alebo formu, ale aspoň bojujeme na oboch stranách a pravdepodobne by sme sa mali viac sústrediť na obranu.

To je správne. Mali by sme sa určite sústrediť viac na obranu, ale naše útočné schopnosti sú rovnako dôležité. Viete, že ste schopní pochopiť, ako na nás naši protivníci útočia a aké sú ich schopnosti sú potrebné ofenzívny prístup, a preto NSA robí to, čo robia, a ostatné spravodajské organizácie majú podobné schopnosti.

Chcel som sa ťa spýtať na tému, ktorá bola v správach v roku posledná pár mesiacov, a to je úloha zahraničných technologických spoločností. Ich technológia je zabudovaná do našej infraštruktúry, do našich spoločností, do našich vládnych agentúr a potom každých šesť mesiacov je príbeh, ktorý hovorí: „Nemali by sme dôverovať telekomunikačnej infraštruktúre spoločnosti Huawei.“ V poslednej dobe obchádzal sa príbeh, ktorý by sa možno mal pozrieť na bezpečnostný softvér spoločnosti Kaspersky Labs, pretože spolupracovali s ruskými bezpečnostnými službami. Aký je váš názor na tieto typy vzťahov? Sú to nezávislé spoločnosti, alebo sú to štáty, z ktorých pôsobia?

Takže je ťažké to vedieť? A myslím si, že vzhľadom na skutočnosť, že musíme spochybniť väzby na tieto organizácie, musíme byť pri zavádzaní opatrní, najmä pokiaľ ide o rozsiahle nasadenie. Niečo rozšírené ako antivírusové riešenie, ako je Kaspersky, vo všetkých našich systémoch, vláda postupuje opatrne a vzhľadom na to, že máme riešenia, domáce riešenia, rovnakým spôsobom, ako sa snažíme stavať naše jadrové hlavice a naše systémy protiraketovej obrany vo svete. USA, mali by sme využiť riešenia, ktoré sa v USA budujú z hľadiska kybernetickej bezpečnosti. Myslím, že to sa nakoniec snažia urobiť.

Čo si myslíte, že je číslo jedna, ktorú väčšina spotrebiteľov z hľadiska bezpečnosti robí zle?

Na úrovni spotrebiteľa je to iba veľmi základné, nie? Myslím si, že väčšina ľudí nevykonáva bezpečnostnú hygienu. Cyklovanie hesiel, používanie rôznych hesiel na rôznych webových stránkach, používanie nástrojov na správu hesiel, dvojfaktorové autentifikácie. Nemôžem vám povedať, koľko ľudí ich dnes práve nevyužíva, a prekvapuje ma, že služby, ktoré spotrebitelia používajú, ich nielen nútia. Myslím si, že niektoré banky to začínajú robiť, čo je skvelé vidieť, ale stále vidíme, že účty sociálnych médií sú kompromitované, pretože ľudia nemajú dvojfaktorové zapaľovanie.

Takže kým sa nedostaneme za základnú bezpečnostnú hygienu, nemyslím si, že môžeme začať hovoriť o niektorých pokročilejších technikách na ich ochranu.

Takže, povedzte mi niečo o svojich osobných bezpečnostných postupoch? Používate správcu hesiel?

Samozrejme. Samozrejme. používam OnePassword , tak v podstate Každá webová stránka, ktorú navštevujem a účet, ktorý vytváram, má iné heslo, vždy minimálne 16 znakov. Tieto heslá pravidelne mením a všetky sú automaticky generované. VPN používam v nechránených sieťach. Naša spoločnosť má riešenie VPN, tzv kedykoľvek Som v bezdrôtovej sieti alebojím sa používať bezdrôtovú sieť, pokiaľ tieto pripojenia prechádzajú zabezpečeným tunelom.

Služby VPN môžu trochu spomaliť vaše pripojenie, ale je ich relatívne jednoduché nastaviť a môžete si ich získať za pár dolárov mesačne.

Nastavujú sa veľmi jednoducho a chcete ísť s renomovaným poskytovateľom, pretože odosielate prenos skrz tohto poskytovateľa. Chcete sa len uistiť, že majú dobrú povesť a že im môžete dôverovať svojej premávke.

Zároveň robím jednoduché veci, ako napríklad aktualizujem svoj systém, kedykoľvek mám v mobile aktualizáciu zariadenie, alebo môj počítač, ktorý využívam. Myslím, že existuje dôvod, prečo tam tlačia túto aktualizáciu, takže je to naozaj iba základ. a potom samozrejme monitorujete svoje kreditné správy a svoje kreditné karty a akékoľvek známky podozrivej aktivity, ktorú práve vyšetrujete.

Nie je to také šialené. Nie je až také ťažké zostať v bezpečí ako spotrebiteľ. Nemusíte používať veľmi pokročilé techniky alebo riešenia, ktoré sú tam. Len premýšľajte o zdravom rozume.

Myslím si, že dvojfaktorový systém zamieňa veľa ľudí a zastrašuje veľa ľudí. Myslia si, že sa budú musieť odhlásiť z telefónu vždy, keď sa prihlásia do svojho e-mailového účtu, a to nie je tento prípad. Musíte to urobiť iba raz, autorizujete tento prenosný počítač a tým sa niekto iný nemôže prihlásiť na váš účet z iného prenosného počítača, čo je obrovská ochrana.

Absolútne. Áno, z nejakého dôvodu to desí veľa ľudí. Niektoré z nich sú nastavené tam, kde to budete musieť robiť každých 30 dní, ale stále nie je to také ťažkopádne, ako by to mohlo znieť, a je to obrovská bezpečnostná výhoda. Určite by som odporučil zavedenie dvoch faktorov.

Neboli ste v tomto odvetví tak dlho, ale môžete zdieľať, ako ste videli krajinu zmena odkedy si začal? ako kybernetické hrozby vyvinul sa v tom čase?

Vlastne som v kybernetickej bezpečnosti a naozaj ma to zaujíma asi 15 rokov. Od svojich 13 rokov som prevádzkoval spoločnú webhostingovú spoločnosť. Veľa sa zamerala na ochranu webových stránok našich zákazníkov a správu serverov a na zabezpečenie týchto serverov zablokovaných. Pozeráte sa na to, ako vedomosti pokročili na stranu útočníka. Myslím si, že bezpečnosť je rodiacim sa odvetvím samým osebe, neustále sa vyvíja a vždy existuje množstvo nových inovatívnych riešení a technológií. Myslím si, že je vzrušujúce vidieť rýchle tempo inovácií v tomto priestore. Je vzrušujúce vidieť spoločnosti, ktoré využívajú viac progresívne naklonených riešení, druh odklonenia od názvov defacto, o ktorých sme všetci počuli, spoločnosti Symantec a McAfees a smerujú k niektorým novým spoločnostiam, ktoré sú tam, uznávajúc, že ​​musia byť inovatívne v tom, ako pristupujú k kybernetickej bezpečnosti. A ak nie, útočníci budú o krok pred nimi.

Zvyčajne to bolo o vírusoch a museli by ste aktualizovať svoje definície a platili by ste spoločnosti, ktorá spravuje túto databázu za vás, a pokiaľ ste mali, do značnej miery ste boli v bezpečí pred 90 percentami hrozieb, Hrozby sa však dnes vyvíjali oveľa rýchlejšie. A je tu súčasť skutočného sveta, v ktorej sa ľudia vystavujú, pretože dostanú phishingový útok, reagujú a odovzdávajú svoje poverenia. Takto preniká ich organizácia a to je skôr vzdelávací problém ako technologický problém.

Myslím si, že veľká väčšina úspešných útokov nie je taká pokročilá. Najmenší spoločný menovateľ bezpečnosti akejkoľvek organizácie sú ľudia. Ak ľudia nie sú vzdelaní, aby neklikli na e-mail, keď to vyzerá podozrivo, skončí hra. V súčasnosti je to príliš jednoduché a existuje veľa spoločností, ktoré sa snažia zaútočiť na tento problém zameraný konkrétne na phishing. Okrem všetkých ostatných riešení, ktoré zavádzajú, sa zameriavajú na zraniteľné miesta, na riešenie kybernetických hrozieb, ale najprv musíme riešiť problém ľudí, pretože práve teraz to robíme príliš jednoduchým.

Bol by som rád, keby som zistil, o koľkých hrozbách ide iba prostredníctvom e-mailu. Len tisíce a tisíce e-mailov chodia a ľudia klikajú na veci. Ľudia vytvárajú proces a sériu udalostí, ktoré sa vymkli spod kontroly. Prichádza to prostredníctvom e-mailu, pretože e-mail je tak jednoduchý a všadeprítomný a ľudia ho podceňujú.

Začíname vidieť prechod od iba útokov založených na e-maile k sociálnym phishingom, útokom typu phishing. To, čo sa bojí, je, že existuje dôvera vrodená do sociálnych médií. Ak vidíte odkaz prichádzajúci od priateľa a priateľ alebo dokonca na účet kompromitovaného priateľa, pravdepodobne budete na to náchylnejší link, alebo sťahovanie súboru a to je desivé. Máte tiež možnosť osloviť širšie publikum, však? Nebudete posielať e-maily ľuďom, teraz môžete uverejniť tweet s odkazom v ňom, ktorý teraz automaticky osloví desiatky tisíc, milióny ľudí v závislosti od toho, na ktorom účte sedíte. Z tohto dôvodu majú tieto účty desivejší charakter a ovplyvňujú viac ľudí ako kedykoľvek predtým.

Dovoľte mi opýtať sa na zabezpečenie mobilných zariadení. Prvé dni sme ľuďom povedali, či máte zariadenie iOS, ktoré pravdepodobne nepotrebujete antivírus, ak máte zariadenie Android, možno ho budete chcieť nainštalovať. Pokročili sme do bodu, keď potrebujeme bezpečnostný softvér na každom telefóne?

Myslím, že musíme skutočne dôverovať bezpečnosti, ktorá je vypálená do samotných zariadení. Napríklad vzhľadom na to, ako napríklad spoločnosť Apple navrhla svoj operačný systém, takže je všetko v karanténe, že? Aplikácia nemôže urobiť veľa mimo obmedzení tejto aplikácie. Android je navrhnutý trochu inak, ale musíme si uvedomiť, že keď dávame aplikáciám prístup k veciam, ako je naša poloha, náš adresár alebo akékoľvek iné údaje, ktoré sú na tomto telefóne, ktoré okamžite vychádzajú z dverí, Neustále sa aktualizuje, takže vaša poloha sa posúva späť do cloudu každému, kto vlastní túto aplikáciu. Musíte naozaj premýšľať o tom, či dôverujem týmto ľuďom mojimi informáciami? Dôverujem bezpečnosti tejto spoločnosti? Pretože v konečnom dôsledku majú prístup k vášmu adresáru ak citlivým údajom, ak ich niekto kompromituje.

A je to trvalý prístup.

To je správne.

Musíte myslieť mimo krabici. Len preto, že sťahujete novú hru, ktorá vyzerá dobre, ak požiadate o informácie o vašej polohe a informácie o vašom kalendári a úplný prístup k telefónu, dôverujete im, že všetky tieto možnosti budú mať navždy.

Presne tak. Myslím, že naozaj potrebujete premýšľať o tom, „prečo o to žiadajú? Skutočne to potrebujú?“ A je v poriadku povedať „Deny“ a vidieť, čo sa stane. Možno to nič neovplyvní a potom sa musíte skutočne pýtať: „Prečo to vlastne žiadali?“

Existujú tisíce aplikácií, ktoré sú vytvorené len na zhromažďovanie osobných údajov, ponúkajú iba určitú hodnotu, aby ste si ich mohli stiahnuť, ale skutočným jediným účelom je zhromažďovať informácie o vás a monitorovať váš telefón.

V skutočnosti je to všadeprítomný problém, keď vidíte tieto škodlivé entity vytvárať aplikácie, ktoré vyzerajú ako iné aplikácie. Možno predstierajú, že sú vašou online bankou, keď nie sú. Sú to vlastne iba phishing pre vaše poverenia, takže musíte byť opatrní. samozrejme tieto aplikácie musia prejsť ešte predtým, ako budú zverejnené v obchode s aplikáciami, ale nie sú spoľahlivé.

Chcem sa vás spýtať na všetky otázky, ktoré prichádzajú na túto show. Existuje konkrétny technologický trend, ktorý vás najviac znepokojuje udržuje ty si v noci?

Vlastne Hovorili sme o mobilnom telefóne a myslím si, že rýchle prijatie mobilných telefónov a takmer všetkých transakcií, ku ktorým dochádza v mobilnom telefóne, vo webovom prehliadači. Strašidelné je pre mňa nedostatok bezpečnostnej starostlivosti, ku ktorej dochádza z pohľadu spoločnosti, ľudí, ktorí tieto aplikácie vyvíjajú. Nemyslia na bezpečnosť v týchto aplikáciách rovnako ako vo svojich podnikových sieťach a vo svojich prostrediach webových aplikácií, takže existujú API, ktoré sú náchylné na útoky. Ukladajú heslá do zariadenia, kryptografia je často implementovaná nesprávne. To je pre mňa strašidelné, pretože viem, že čoraz viac ľudí na týchto zariadeniach obchoduje, ale spoločnosti, ktoré vyvíjajú tieto aplikácie, o bezpečnosti nerozmýšľajú rovnako ako všetko ostatné. Myslím, že sa to zlepšuje, ale stále tam ešte nie sme.

Existuje nejaká aplikácia alebo služba alebo modul gadget, ktorý používate každý deň a ktorý len inšpiruje zázrak, ktorý vás ohromí?

To je dobrá otázka. Som veľkým fanúšikom sady nástrojov spoločnosti Google. Naozaj spolupracujú a pracujú veľmi dobre a dobre sa integrujú, takže som veľký používateľ aplikácií Google. a to nielen preto, že spoločnosť Google je investorom v našej spoločnosti.

Všade je Google.

Všade je Google.

Je potrebné niečo povedať, aby ste si našli chvíľku času a dali im kredit za to, čo urobili. Skutočne chceli, aby boli svetové informácie prehľadateľné a zrozumiteľné, a urobili to celkom dobre.

Práve sme dostali novú tabuľu, digitálnu tabuľu v našej kancelárii - Jamboard - a je to jedno z najchladnejších zariadení, ktoré som videl po dlhej dobe. Iba schopnosť niečo naložiť, uložiť a dať späť, alebo komunikovať a komunikovať s niekým na inom konci alebo s niekým na iPade. Myslím, že je to úžasné a rozprávať o spolupráci na diaľku to len uľahčuje.

Je vzrušujúce vidieť tento progres spôsobom, ktorým môžeme spolupracovať. Nemusíme mať ľudí len centrálne umiestnených v jednej kancelárii, môžeme priniesť zlé staré nápady a myslím si, že je to naozaj super.

Je to veľmi, veľmi cool produkt. Testovali sme to v laboratóriu a mali sme nejaké problémy s niektorým softvérom, ale je to najprv generácie. Práve vyšlo ako pred dvoma mesiacmi a bude to určite spôsob, akým ľudia budú komunikovať v konferenčných miestnostiach pre nadchádzajúce roky.

Absolútne súhlasím.

Potrebuje len pár aktualizácií softvéru, aby bol trochu jednoduchší.

Je to trochu buggy, ale je to stále úžasné.

Ako vás môžu ľudia dohnať a sledovať vás online a sledovať, čo robíte?

Áno, som na Twitteri @ JayKaplan. Náš blog na adrese Synack.com/blog, je to tiež skvelé miesto, kde si môžete vypočuť najnovšie informácie o kybernetickej bezpečnosti a o tom, čo robíme ako spoločnosť, a každý raz za čas tam mám nejaké príspevky. Ja som tiež na LinkedIn a uverejňujem tam každé také často. Snažím sa zostať aktívny na sociálnych médiách, ako môžem. Nie som najlepší.

Trvá to veľa času.

Na to, ale snažím sa.

Musíte tiež urobiť prácu.

Presne tak.