비디오: Lil Tjay - Move On (Official Video) (십월 2024)
보안을 포함하여 요즘 거의 모든 것을 크라우드 소싱 할 수 있습니다.
Synack에서 그는 자동화 된 위협 탐지 시스템과 전 세계 수백 명의 보안 연구원들로 구성된 네트워크를 구축하여 침투 테스트를 다음 단계로 끌어 올렸습니다. 샌프란시스코의 최근 토론에서 우리는 사이버 보안 상태, 흰 모자 해커 및 온라인 보안을 위해 개인적으로 취한 조치에 대해 이야기했습니다. 대화 내용을 읽거나 아래 비디오를보십시오.
모든 직책 중에서 CEO와 공동 창립자는 매우 인상적 일 수 있지만 인상적인 것은 국방부의 빨간 팀원으로 일하고 있습니다. 당신이 우리에게 모든 것을 말하지 못할 수도 있음을 이해합니다
레드 팀의 일원으로서
NSA에서의 작업과 수비 목적을 위해 공격하는 대신
당신도 똑같은 접근 방식을 취해 민간 부문으로 가져 왔으며 해커와 네트워크 소싱 네트워크를 사용하고 있습니다. 그것이 어떻게 작동하는지 조금 이야기 해주세요.
우리가 취하는 접근 방식은 해커 기반 접근 방식입니다. 우리가하는 일은 50 개가 넘는 국가의 최고급 화이트 햇 보안 연구원으로 구성된 글로벌 네트워크를 활용하여 기업 고객의 보안 취약점을 발견하기 위해 효과적으로 결과에 따라 비용을 지불하는 것입니다. 이제 우리는 정부와 많은 작업을하고 있습니다. 게다가.
여기서의 전체 목표는 문제에 대해 더 많은 눈을 얻는 것입니다. 한 두 사람이 시스템, 네트워크, 응용 프로그램을보고 해당 응용 프로그램의 취약점을 제거하려고하는 것이 한 가지라는 것을 의미합니다. 100 명, 200 명, 누구나 말할 수 있습니다
전형적인 고객은 누구입니까? "우리는 새로운 Azure 플랫폼을 출시하고 우리 시스템에 구멍을 뚫고 구멍을 뚫고 있습니다"라고 말하는 Microsoft와 같을까요?
Microsoft와 같은 대기업에서 온라인 및 모바일 애플리케이션, 뱅킹 애플리케이션을 테스트하려는 대규모 은행에 이르기까지 어디에서나 가능합니다. 또한 연방 정부 일 수도 있습니다. Google은 DoD 및 내부 수익 서비스 (Internal Revenue Service)와 협력하여 납세자 정보를 제출하는 위치 또는 DoD의 관점에서 급여 시스템 및 매우 민감한 데이터를 저장하는 기타 시스템과 같은 것을 잠그고 있습니다. 우리가 과거에 보았 듯이 매우 훼손 될 수있는 이러한 것들이 타협되지 않는 것이 중요합니다. 그들은 마침내 우리가 과거에 보았던보다 상용화 된 솔루션에서 멀어지고 문제를 해결하기 위해 더 진보적 인 접근을하고 있습니다.
사람들을 어떻게 찾습니까? 메시지 보드에 게시하지 말고 "이봐, 당신의 에너지를 이쪽으로 향하게 한 다음 알려 주시면 지불하겠습니다."라고 말하는 것이 아닙니다.
초기에
일부 통계를 보면 2021 년까지 우리는 350 만 개의 공개 사이버 보안 일자리를 갖게 될 것이라고 말합니다. 우리가 해결하려는 엄청난 수요와 공급의 단절과 도전이 있습니다. 이 문제를 해결하기 위해 크라우드 소싱을 활용하는 것은 우리가 그들을 고용 할 필요가 없기 때문에 우리에게 큰 도움이되었습니다. 그들은 프리랜서이며 실제로이 문제에 더 많은 관심을 기울이면 더 나은 결과를 얻을 수 있습니다.
의
이 해커들은 다크 웹에서 스스로 할 수있는 것보다 더 많은 돈을 벌 수 있습니까? 이 모델에서 흰 모자가되는 것이 수익성이 있습니까?
다크 웹에서 작업하고 자동으로이 부자가 될 것이라는 오해가 있습니다.
당신은 또한 많이 찢어집니다.
당신은 많이 찢어 지지만 현실은 우리가 함께 일하는 사람들이 매우 전문적이고 윤리적입니다. 그들은 대기업이나 다른 보안 컨설팅 회사에서 일하고 있으며 불법 행위를 원하지 않는 윤리가 많은 사람들이 있습니다. 그들은 행동하기를 원하고, 해킹을 좋아하고, 물건을 깨는 것을 좋아하지만, 그들이 기소되지 않을 것이라는 환경에서 행동하기를 원합니다.
좋은 장점입니다. 주요 위협으로 무엇을 보십니까
정말 흥미 롭습니다. 몇 년 전에 나에게 질문을했을 경우, 국가 국가는 사이버 공격에 성공하기에 가장 잘 갖추어 진 조직이라고 말하고 싶습니다. 제로 데이 익스플로잇의 비축 물에 앉아 있고 돈과 자원이 많이 있습니다.
제로 데이의 비축 물에 앉아 있다는 아이디어를 설명하십시오. 그것이 보안 공간 밖에있는 것이기 때문에 평범한 사람이 실제로 이해한다고 생각하지 않습니다.
따라서 제로 데이 익스플로잇은 사실상 한 운영 체제 외에는 아무도 모르는 주요 운영 체제의 취약점입니다. 그들은 그것을 발견하고, 앉아 있고, 그것을 활용하기 위해 그것을 이용합니다. 그들이 연구 개발에 얼마나 많은 돈을 투자했는지, 그리고 얼마나 많은 돈을 자원으로 지불했는지에 따라, 그들은 아무도 그것을 찾을 수없는 곳에서 이러한 것을 찾을 수 있습니다. 그것이 그들이하는 일에 성공한 큰 이유입니다.
일반적으로 그들은 정보 획득의 목적으로이를 수행하고 의사 결정자들이보다 나은 정책 결정을 내 리도록 돕습니다. 지난 몇 년간 범죄 신디케이트가 이러한 누수 도구를 활용하여 유리한 방향으로 전환하고 있습니다. Shadow Brokers 누수를 그 대표적인 예로 보면, 꽤 무서워지고 있습니다. 벤더가 시스템을 패치하는 동안, 기업과 회사는 실제로 이러한 패치를 이용하여 공격에 취약 해져 악의적 인 사용자가 조직에 침입하여 랜섬웨어를 배포 할 수 있도록합니다. 그들에게서 돈.
WannaCry 감염은 엄청난 수의 시스템에 영향을 주었지만 Windows 10 시스템에는 영향을 미치지 않았습니다. 사람들이 다운로드하여 설치 한 경우 패치 된 익스플로잇이지만 수백만의 사람들이 설치하지 않았고 문을 열었습니다.
맞습니다. 패치 관리는 대다수의 조직에서 여전히 어려운 작업입니다. 그들은 어떤 버전이 실행되고 있는지, 어떤 박스가 패치되었고 어떤 것이 패치되지 않았는 지에 대한 핸들을 가지고 있지 않으며, 이것이 우리가 전체 비즈니스 모델을 만든 이유 중 하나입니다. 패치되지 않은 시스템과 고객에게 다음과 같이 말합니다. "여러분은 이러한 문제를 해결하는 것이 좋으며, WannaCry와 같은 차세대 대규모 보안 침해 나 공격이 조직을 상대로 성공할 것입니다." 그리고 우리의 서비스를 지속적으로 사용하는 고객은 이것이 우리에게 정말 성공적인 사용 사례입니다.
단기 테스트를 위해 서비스를 판매합니까? 아니면 계속 진행될 수 있습니까?
전통적으로 침투 테스트는 특정 시점 유형의 참여였습니다. 일주일, 2 주 동안 들어 와서 보고서를 보내면 1 년 후 다음 감사를 위해 다시 you겠습니다. 우리는 인프라가 매우 역동적이라는 생각으로 고객을 전환하려고 노력하고 있습니다. 항상 코드 변경 사항을 애플리케이션에 적용하고 있으며 언제든지 새로운 취약점을 도입 할 수 있습니다. 개발 라이프 사이클과 동일한 방식으로 보안 관점에서이 내용을 지속적으로 보지 않겠습니까?
서비스로서의 소프트웨어는 훌륭한 모델입니다. 서비스로서의 서비스 또한 훌륭한 모델입니다.
맞습니다. 우리는 이것의 전체에 큰 소프트웨어 구성 요소를 가지고 있습니다. 그래서 우리는 연구원과 고객 사이의 상호 작용을 용이하게 할 수있는 전체 플랫폼을 보유하고 있습니다. 우리 연구자들이보다 효율적이고 효과적으로 자신의 업무를 수행 할 수 있도록, 우리가 원하지 않는 일을 자동화하도록하겠습니다. " 권리? 모든 낮은 매달린 과일은 그들이 걷는 환경에 대한 더 많은 맥락을 제공하며, 우리는 사람과 기계의 쌍이 매우 잘 작동하고 사이버 보안 공간에서 매우 강력하다는 것을 알게되었습니다.
얼마 전에 Black Hat에서 돌아 왔는데, 무서운 것을 많이 보았을 때 나는 상상할 것입니다. 당신을 놀라게 한 것이 있습니까?
Defcon은 투표 시스템에 중점을 두 었으며, 우리 모두 그것에 대해 많은 언론 보도를 보았습니다. 해커가 물리적 인 접근을 고려할 때 이러한 투표 시스템 중 하나를 얼마나 빨리 제어 할 수 있는지 보는 것은 무섭습니다. 이전 선거 결과에 실제로 의문을 제기합니다. 종이 흔적이있는 시스템이 많지 않다는 것을 알면 꽤 무서운 제안이라고 생각합니다.
그러나 그 외에도 중요한 인프라에 많은 관심이있었습니다. 원자력 발전소의 방사선을 탐지하는 방사선 시스템을 해킹하고 이러한 시스템에 침입하는 것이 얼마나 쉬운 지에 초점을 둔 한 가지 토론이있었습니다. 나는 물건이 꽤 무섭다는 것을 의미하며, 우리의 중요한 인프라가 꽤 나쁜 곳에 있다고 확신합니다. 저는 오늘날 대부분이 실제로 침해 당했다고 생각합니다. 우리가 다른 국가 국가와 전쟁을 할 때 활용되기를 기다리는 중요한 인프라 전체에 수많은 임플란트가 있습니다.
"오늘날 우리의 핵심 인프라가 손상되었습니다"라고 말할 때 전기 공장, 원자력 발전소, 풍차 농장에 언제든 작동 할 수있는 외국 전력으로 배치 된 코드가 있다는 의미입니까?
예. 맞습니다. 나는 그것을 뒷받침 할 필요가 없습니다.
우리는 아마도 우리의 적들과 비슷한 지렛대를 가지고 있고 중요한 인프라에 코드를 가지고 있다는 사실에 대해 어느 정도 위안을 얻을 수 있습니까? 적어도 우리가 신뢰할 수있는 파괴가있을 수 있습니까?
나는 우리가 매우 비슷한 일을하고 있다고 가정합니다.
괜찮아. 나는 당신이 아는 모든 것을 말할 수 없다고 생각하지만, 적어도 전쟁이 진행되고 있다는 점에서 위안을 얻습니다. 우리는 분명히 이것이 어떤 형태 나 형태로도 확대되는 것을 원하지 않지만, 적어도 우리는 양쪽에서 싸우고 있으며 아마도 방어에 더 집중해야 할 것입니다.
맞습니다. 우리는 방어에 더 집중해야하지만 공격 능력도 마찬가지로 중요합니다. 우리의 적들이 우리를 어떻게 공격하고 그들의 능력을 이해할 수 있다는 것을 알고 있습니다.
뉴스 속의 주제에 대해 물어보고 싶었습니다.
알기 힘들어요? 그리고 이러한 조직과의 관계에 의문을 제기해야한다는 사실을 고려할 때 배포, 특히 광범위한 배포에주의해야합니다. 모든 시스템에서 카스퍼 스키와 같은 안티 바이러스 솔루션만큼 널리 퍼져있는 정부는 신중을 기하고 있으며, 솔루션, 자체 개발 솔루션, 핵탄두를 구축하려는 것과 같은 방식, 미사일 방어 시스템을 갖추고 있습니다. 미국의 경우 사이버 보안 관점에서 미국에 구축 된 솔루션을 활용해야합니다. 나는 그것이 궁극적으로하려는 것이라고 생각합니다.
대부분의 소비자가 보안 관점에서 잘못한 것 중 가장 중요한 것은 무엇이라고 생각하십니까?
소비자 수준에서는 매우 기본적입니다. 대부분의 사람들은 보안 위생을 실천하지 않는다고 생각합니다. 암호 관리 도구, 2 단계 인증을 사용하여 다른 웹 사이트에서 다른 암호를 사용하는 순환 암호 나는 오늘날 얼마나 많은 사람들이 그것을 사용하지 않는다고 말할 수 없으며, 소비자가 사용하는 서비스가 단순히 그것을 사용하지 않는다는 것이 놀랍습니다. 일부 은행이 그렇게하기 시작한 것 같습니다.보기에는 좋지만, 사람들이 이중 요인을 가지고 있지 않기 때문에 여전히 소셜 미디어 계정이 손상되는 것을보고 있습니다.
따라서 기본 보안 위생을 통과 할 때까지 스스로를 보호하기위한 고급 기술에 대해 이야기 할 수는 없습니다.
개인 보안 관행에 대해 조금 말씀해 주시겠습니까? 비밀번호 관리자를 사용하십니까?
물론이야. 물론이야. 나는 사용한다
VPN 서비스는 연결 속도를 약간 느리게 할 수 있지만 상대적으로 설정하기 쉬우 며 한 달에 몇 달러 씩받을 수 있습니다.
그것들은 설정하기가 쉽고 트래픽을 보내고 있기 때문에 평판이 좋은 공급자와 가고 싶습니다.
동시에 시스템 업데이트와 같은 간단한 작업 만 수행 할 때마다 모바일에 업데이트가있을 때
그렇게 미쳤어 소비자로서 안전을 유지하는 것은 그리 어렵지 않습니다. 최신 기술이나 솔루션을 사용할 필요는 없습니다. 상식에 대해 생각하십시오.
저는 2 인자가 많은 사람들을 혼란스럽게하고 많은 사람들을 위협하는 시스템이라고 생각합니다. 그들은 자신의 이메일 계정에 로그인 할 때마다 전화를 확인해야한다고 생각하지만, 그렇지 않습니다. 한 번만 수행하면 해당 랩톱에 권한이 부여되며 다른 사람이 다른 랩톱에서 계정에 로그온 할 수 없도록하는 것이 매우 안전합니다.
물론. 네, 어떤 이유로 많은 사람들을 놀라게합니다. 그들 중 일부는 30 일마다 그렇게해야 할 곳에 설치되어 있지만
오랫동안이 업계에 종사하지는 않았지만 풍경을 본 모습을 공유 할 수 있습니다
저는 실제로 사이버 보안에 종사했으며 15 년 동안 그에 관심이있었습니다. 13 살 때부터 공유 웹 호스팅 회사를 운영했습니다. 고객의 웹 사이트 및 서버 관리를 보호하고 해당 서버가 잠겨 있는지 확인하는 데 많은 관심이있었습니다. 지식이 공격자 측으로 어떻게 발전했는지 살펴 봅니다. 보안은 그 자체로는 초기 산업이며, 끊임없이 발전하고 있으며 항상 새로운 혁신적인 솔루션과 기술이 많이 있습니다. 이 공간에서 빠른 속도의 혁신을 보게되어 기쁩니다. 점점 더 기대되는 솔루션을 활용하는 회사, 우리 모두가 알고있는 사실상의 이름에서 멀어지고있는 것을 보게되어 매우 기쁩니다.
예전에는 바이러스에 관한 것이었고 정의를 업데이트해야했으며, 데이터베이스를 관리하기 위해 회사에 비용을 지불하고 90 %의 위협으로부터 안전하다고 생각하는 한. 그러나 위협은 오늘날 훨씬 더 빠르게 진화했습니다. 피싱 공격을 받고 자신의 자격 증명을 전달하여 사람들이 자신을 노출시키는 실제 구성 요소가 있습니다. 그것이 그들의 조직이 침투하는 방식이며 기술적 인 문제보다 교육적인 문제에 가깝습니다.
성공적인 공격의 대부분은 그렇게 진행된 것이 아니라고 생각합니다. 조직 보안의 최소 공통 분모
이메일 기반 위협의 수에 대한 연구를보고 싶습니다. 수천 개의 이메일이 발송되고 사람들이 물건을 클릭합니다. 통제 불능의 프로세스와 일련의 이벤트를 만드는 사람들. 그러나 이메일은 매우 쉽고 편재하고 사람들이 그것을 과소 평가하기 때문에 이메일을 통해 제공됩니다.
우리는 이제 이메일 기반 공격에서 소셜 피싱, 스피어 피싱 공격으로 전환되는 것을보고 있습니다. 무서운 것은 소셜 미디어에 내재 된 신뢰가 있다는 것입니다. 친구의 링크가 있으면
모바일 보안에 대해 물어 보겠습니다. 초기에 iOS 기기가 있다면 바이러스 백신이 필요하지 않을 수도 있고, Android 기기가 있으면 설치하고 싶을 수도 있습니다. 우리는 모든 전화에 보안 소프트웨어가 필요한 시점으로 발전 했습니까?
장치 자체에 포함 된 보안을 정말로 신뢰해야한다고 생각합니다. 예를 들어, Apple이 운영 체제를 어떻게 설계하여 모든 것이 제대로 샌드 박스 화되어 있는지를 고려해보십시오. 응용 프로그램은 해당 응용 프로그램의 범위를 벗어나서 많은 것을 할 수 없습니다. Android는 약간 다르게 설계되었지만, 위치, 주소록 또는 해당 휴대 전화에있는 다른 데이터에 액세스 할 수있는 응용 프로그램을 제공 할 때 즉각 문 밖으로 나가는 것입니다.. 그리고 위치가 지속적으로 업데이트되므로 위치를 이동함에 따라이 애플리케이션을 소유 한 사람에게 위치가 클라우드로 다시 전송됩니다. "내 정보로이 사람들을 믿습니까?이 회사의 보안을 믿습니까?"에 대해 정말로 생각해야합니다. 궁극적으로 이들이 주소록과 민감한 데이터를 보관하고 있다면 누군가가이를 훼손 할 경우 이제는 액세스 할 수 있습니다.
그리고 그것은 영원한 접근입니다.
맞습니다.
상자 밖에서 생각해야합니다. 멋지게 보이는 새 게임을 다운로드한다고해서 위치 정보와 캘린더 정보를 요청하고 전화에 대한 완전한 액세스 권한을 요청하는 경우 모든 액세스 권한을 영원히 유지할 수 있다고 신뢰하는 것입니다.
맞습니다. "왜 그들이 이것을 요구 하는가? 그들이 실제로 이것을 필요로 하는가?"에 대해 정말로 생각해야한다고 생각합니다. "거부"라고 말하고 무슨 일이 일어나는지 볼 수 있습니다. 어쩌면 그것은 아무 영향을 미치지 않을 것입니다. 그리고 당신은 정말로 "그들이 왜 그것을 정말로 요청 했습니까?"
개인 정보를 수집하기 위해 만들어진 수천 개의 앱이 있습니다. 앱을 다운로드하기 위해 그 위에 일부 가치를 제공 하지만 실제 유일한 목적은 정보를 수집하고 휴대 전화를 모니터링하는 것입니다.
실제로 이러한 악의적 인 엔티티가 다른 앱처럼 보이는 앱을 생성하는 것을 보는 것은 광범위한 문제입니다. 그렇지 않은 경우 온라인 은행 인 것처럼 가장 한 것일 수 있습니다. 실제로는 자격 증명에 대한 피싱 일 뿐이므로 조심해야합니다.
이 쇼에 나오는 모든 사람들에게 질문을하고 싶습니다. 당신을 가장 걱정하는 특별한 기술 동향이 있습니까?
매일 놀라게하는 영감을주는 앱, 서비스 또는 가제트가 있습니까?
그건 좋은 질문이야. 저는 Google 도구 모음을 좋아합니다. 그들은 실제로 상호 작용하고 매우 잘 작동하며 잘 통합되어 있으므로 큰 Google 앱 사용자입니다. Google이 회사의 투자자이기 때문이 아닙니다.
사방에 구글이 조금 있습니다.
어디에나 작은 구글이 있습니다.
잠시 시간을내어 그들이 한 일에 대해 신용을주는 말이 있습니다. 그들은 세계의 정보를 검색하고 이해할 수있게 만들고 싶었고, 그 일을 꽤 잘 해냈습니다.
우리는 실제로 사무실에 새로운 화이트 보드, 디지털 화이트 보드 인 Jamboard를 갖게되었으며 오랫동안 본 가장 멋진 장치 중 하나입니다. 무언가를 화이트 보드에 저장하고, 저장 한 후 다시 가져 오거나, 다른 쪽 사람이나 iPad에있는 사람과 교류하고 교류 할 수있는 기능. 그건 정말 놀랍고, 원격 협업에 대해 이야기하면 훨씬 쉬워집니다.
우리가 함께 일할 수있는 방식으로 진행되는 것을 보게되어 기쁩니다. 우리는 사람들을 한 사무실에 중앙에 위치시킬 필요가 없으며, 오래된 오래된 아이디어를 가져올 수 있으며 정말 멋지다고 생각합니다.
매우 멋진 제품입니다. 실험실에서 테스트 한 결과 일부 소프트웨어에 문제가 있었지만
물론 동의합니다.
조금 더 쉽게 만들려면 몇 가지 소프트웨어 업데이트 만 있으면됩니다.
약간 버그가 있지만 여전히 놀랍습니다.
사람들이 어떻게 당신을 따라 잡고 온라인으로 따라 가며, 하고있는 일을 추적 할 수 있습니까?
네, 트위터 @JayKaplan에 있습니다. Synack.com/blog의 블로그는 최신 사이버 보안 뉴스와 회사의 활동에 대한 소식을들을 수있는 좋은 장소이기도합니다. 저도 LinkedIn에 있습니다. 나는 가능한 한 소셜 미디어를 적극적으로 유지하려고 노력합니다. 난 최고가 아니야
시간이 많이 걸립니다.
그것에서, 하지만 노력하고 있습니다.
당신도 할 일이 있습니다.
바로 그거죠.
