Video: Synack's SmartScan (Aralık 2024)
Güvenlik dahil, bugünlerde hemen hemen her şeyden kitle kaynağını alabilirsiniz.
Synack'te, otomatik bir tehdit algılama sistemi ve bir sonraki seviyeye penetrasyon testi yapmak için dünya genelinde yüzlerce güvenlik araştırmacısı ağı oluşturdu. San Francisco’dan yapılan son bir tartışmada, siber güvenliğin durumu, beyaz şapka korsanları ve çevrimiçi güvenliğini sağlamak için kişisel olarak attığı adımlar hakkında konuştuk. Konuşma metnini okuyun veya aşağıdaki videoyu izleyin.
Tüm unvanlarınız arasında CEO ve kurucu ortak çok etkileyici olabilir, ancak beni etkileyen şey Savunma Bakanlığı'nda kırmızı bir ekibin üyesi olarak çalışmak. Anladığım kadarıyla hepimize söyleyemeyebilirsin
Herhangi bir parçası olarak herhangi bir kırmızı takıma üye olarak
Savunma amaçlı saldırmak yerine NSA’da bulunduğum yerde NSA’da yaptığım çalışmayla
Bana öyle geliyor ki aynı yaklaşımı benimsemiş, özel sektöre getirmişsiniz ve sanırım, hackerların lejyonlarını kullanıyor ve kitle kaynaklı ağ güvenliği kullanıyorsunuz. Bize bunun nasıl çalıştığını biraz konuşalım.
Aldığımız yaklaşım daha çok hacker destekli bir yaklaşım. Yaptığımız şey, 50'den fazla ülkedeki küresel üst düzey beyaz şapka güvenlik araştırmacılarından oluşan küresel bir ağdan yararlanmak ve kurumsal müşterilerimizdeki güvenlik açıklarını ortaya çıkarmak için sonuçlara etkili bir şekilde ödeme yapıyoruz ve şimdi hükümetle bir ton iş yapıyoruz. yanı sıra.
Buradaki asıl amaç, soruna daha fazla göz atmak. Bir veya iki kişinin bir sisteme, bir ağa, bir uygulamaya bakıp bu güvenlik açıklarını gidermeye çalışmasının bir şey olduğunu söylüyorum. Herkese 100, 200 kişi diyebilecek başka biri.
Tipik müşteri kim olurdu? "Yeni bir Azure platformu başlatıyoruz, gelip sistemimizde delikler açmayı deneyin" diyen bir Microsoft gibi mi olur?
Microsoft gibi büyük bir teknoloji şirketinden, çevrimiçi ve mobil uygulamalarını, bankacılık uygulamalarını test etmek istedikleri büyük bir bankaya kadar her yerde olabilir. Aynı zamanda federal hükümet olabilir; Vergi mükellefi bilgilerini gönderdiğiniz yeri veya DoD'un bakış açısıyla bordro sistemleri ve çok hassas veriler içeren diğer sistemler gibi konuları kilitlemek için DoD ve Dahili Gelir Hizmeti ile çalışıyoruz. Geçmişte gördüğümüz gibi bu şeylerin ödün vermemesi önemlidir, çok, çok zarar verici olabilir. Sonunda problemi çözmek için daha ilerici bir yaklaşım izliyorlar, geçmişte gördüğümüz daha metalaşmış çözümlerden uzaklaşıyorlar.
İnsanları nasıl buluyorsun? Sanırım sadece bir mesaj panosuna yazıp "Hey, enerjilerinizi buna yönlendirin ve sonra bir şey bulursanız bize haber verin, size ödeyeceğiz" demeyin.
Erken
Bazı istatistiklere bakarsanız, 2021 yılında 3, 5 milyon açık siber güvenlik işine sahip olacağımızı söylüyorlar. Çözmeye çalıştığımız muazzam bir arz ve talep kopukluğu ve sorun var. Bu sorunu çözmek için kitle kaynağını kullanmak bizim için çok iyi çalıştı çünkü onları işe almak zorunda değiliz. Serbest çalışıyorlar ve gerçekten bu konuda daha fazla göz almak daha iyi sonuçlara yol açıyor.
Nın-nin
Bu bilgisayar korsanları, Dark Web'de kendi başlarına kazanabileceklerinden daha fazla para kazanabilir mi? Yani, bu modelde beyaz bir şapka olmak karlı mı?
Biliyorsun, karanlık ağda çalıştığını ve otomatik olarak bu zengin kişi olacağına dair yaygın bir yanılgı var.
Ayrıca çok paramparça olursun.
Çok paramparça oluyorsun, ama gerçek şu ki birlikte çalıştığımız insanlar son derece profesyonel ve etik. Çok büyük şirketler veya diğer güvenlik danışmanlığı şirketleri için çalışıyorlar ve içinde yasa dışı şeyler yapmak istemedikleri çok fazla etiği olan insanlar var. Hareket etmek istiyorlar, korsanlığı seviyorlar, şeyleri parçalamayı seviyorlar, ancak kovuşturmayacaklarını bildikleri bir ortamda yapmak istiyorlar.
Bu güzel bir artı. Başlıca tehditler olarak ne görüyorsunuz?
Bu gerçekten ilginç. Birkaç yıl önce bana soruyu sorarsanız, ulus-devletlerin siber saldırılarda başarılı olacak en donanımlı kuruluşlar olduğunu söyleyebilirim. Demek istediğim, sıfır günlük açıkların stoğu üzerinde oturuyorlar, çok paraları ve çok kaynakları var.
Bu sıfır gün stoklarında oturmak fikrini açıklayın. Çünkü bu güvenlik alanının dışında kalan bir insanın gerçekten anlayabildiğini sanmıyorum.
Bu nedenle, sıfır günlük bir istismar etkili bir şekilde, belki de hiç kimsenin o kuruluştan başka bir şey bilmediği büyük bir işletim sisteminde güvenlik açığıdır. Buldular, üzerinde oturuyorlar ve avantajları için kullanıyorlar. Araştırma ve geliştirmeye ne kadar para harcadıkları ve kaynakları için ne kadar para ödedikleri göz önüne alındığında, bunları başka kimsenin bulamayacağı bir yerde bulma yetenekleri vardır. Bu, yaptıkları işte bu kadar başarılı olmalarının büyük bir nedeni.
Genellikle bunu istihbarat kazanımı amacıyla yapıyorlar ve karar vericilere daha iyi politika kararları vermelerine yardımcı oluyorlar. Suç sendikalarının avantajlarından dolayı bu sızıntı araçlarından bazılarından yararlandığı son birkaç yıl içinde bir değişim görüyoruz. Shadow Brokers’ın en büyük örneği olarak sızanlara bakarsanız, dışarıda oldukça korkutucu oluyor. Satıcılar sistemlerini yamalarken, oradaki işletmeler ve şirketler aslında onları saldırılara karşı duyarlı kılan ya da kötü adamların örgütlerine girmelerini ve fidye yazılımları ortaya koymalarını sağlamak için ellerinden alınmasını sağlayan yamaları kullanmıyor. onlardan para.
WannaCry enfeksiyonu çok sayıda sistemi etkiledi, ancak Windows 10 sistemlerini etkilemedi. Eğer insanlar indirip kursaydı, yamalı olan bir istismardı, ancak milyonlarca insan bunu yapmaz ve kapıyı açardı.
Bu kesinlikle doğru. Yama yönetimi hala organizasyonların büyük çoğunluğu için gerçekten zor bir şey. Hangi sürümlerin çalıştığını ve hangi kutuların yamalı ve hangilerinin olmadığına dair bir tutamağı yok ve tüm iş modelimizi yaratmamızın nedenlerinden biri - bu soruna daha fazla dikkat çekmek, ortaya çıkarmak konusunda proaktif olmak. yaması yapılmamış ve müşterilerimize şunları söylüyor: "Hey, bunları düzeltsen iyi olur ya da bir sonraki büyük ihlal olacaksın ya da WannaCry gibi saldırılar organizasyonlarına karşı başarılı olacak." Hizmetlerimizi sürekli olarak kullanan müşteriler, bu bizim için gerçekten başarılı bir kullanım olmuştur.
Hizmetlerinizi kısa süreli testler için satıyor musunuz? Ya da devam ediyor olabilir?
Geleneksel olarak penetrasyon testi, zaman içinde belirli bir ilişki türü olmuştur, değil mi? Bir hafta, iki hafta gel, bana bir rapor ver, sonra bir yıl sonra görüşürüz, bir sonraki denetimimiz için görüşürüz. Müşterileri altyapının son derece dinamik olduğu anlayışına kaydırmaya çalışıyoruz, uygulamalarınızda her zaman kod değişikliklerini önlüyorsunuz, istediğiniz zaman yeni güvenlik açıkları oluşturabilirsiniz. Neden bu şeylere sürekli olarak gelişim yaşam döngüsünüzle aynı güvenlik açısından bakmıyorsunuz?
Hizmet olarak yazılım da harika bir model. Servis olarak servis de harika bir modeldir.
Doğru. Bunun arkasında oturan büyük yazılım bileşenlerine sahibiz, bu nedenle sadece araştırmacılarımız ve müşterilerimiz arasındaki etkileşimi kolaylaştıracak bir platformumuz yok, aynı zamanda "Hey, Araştırmacılarımız işlerinde daha verimli ve etkili, zaman harcamasını istemediğimiz şeyleri otomatikleştirelim. ” Sağ? Asılı meyvelerin tümü, içine girdikleri çevre hakkında daha fazla bilgi veriyor ve insan ve makine eşleşmesinin son derece iyi çalıştığını ve siber güvenlik alanında çok güçlü olduğunu buluyoruz.
Çok uzun zaman önce Kara Şapka'dan yeni döndün, çok korkutucu şeyler gördün, hayal ediyorum. Orada seni şaşırtan bir şey var mıydı?
Bilirsiniz, Defcon'da oylama sistemlerine büyük bir odaklanıldı ve bence hepimiz bu konuda çok fazla baskı gördük. Bence bilgisayar korsanlarının fiziksel erişim verilen bu oylama sistemlerinden birinin kontrolünü ne kadar çabuk kontrol altına alabildiklerini görmek oldukça korkutucu. Daha önceki seçim sonuçlarını sorgulamanızı sağlar. Kağıt izi olan pek çok sistem olmadığını görünce, bunun oldukça korkutucu bir teklif olduğunu düşünüyorum.
Ancak bunun ötesinde, kritik altyapıya çok fazla odaklanıldı. Nükleer santrallerdeki radyasyonu tespit eden radyasyon sistemlerinin temelde hacklenmesi ve bu sistemlere girmenin ne kadar kolay olduğu üzerine bir konuşma yapıldı. Demek istediğim, bu oldukça korkutucu ve kritik altyapımızın oldukça kötü bir yerde olduğuna inanıyorum. Bugün çoğunun aslında tehlikeye girdiğini düşünüyorum ve başka bir ulus devletle savaşa girmemiz durumunda kaldıraçlı olmayı bekleyen kritik altyapımızın her tarafında oturan birkaç implant var.
Yani, "Bugün kritik altyapımız tehlikeye giriyor" derken, elektrik fabrikalarında, nükleer üretim tesislerinde, orada herhangi bir zamanda faaliyete geçebilecek yabancı güçlerin yerleştirdiği yel değirmeni çiftliklerinde kod bulunduğunu mu söylüyorsunuz?
Evet. Bu kesinlikle doğru. Bunu desteklemek için mutlaka bir şeyim yok
Muhtemelen rakiplerimiz üzerinde benzer bir kaldıraca sahip olmamız ve kodlarımızı kritik altyapılarında da kullanmamızın rahatlığını çıkarabilir miyiz, en azından belki güvenebileceğimiz güvence altına alınmış bir imha var mı?
Çok benzer şeyler yaptığımızı varsayardım.
Tamam. Bildiğiniz her şeyi söyleyemeyeceğinizi varsayıyorum, ama en azından savaşın sürdürülmesinde rahatladım. Açıkçası bunun herhangi bir şekilde veya biçimde tırmanmasını istemiyoruz, ama en azından her iki taraf için de savaşıyoruz ve muhtemelen savunmaya daha fazla odaklanmalıyız.
Doğru. Yani, kesinlikle savunmaya daha çok odaklanmalıyız, ancak saldırganlık yeteneklerimiz de aynı derecede önemlidir. Biliyorsunuz, rakiplerimizin bize nasıl saldırdığını ve yeteneklerini anlayabilmeniz.
Bu yüzden size haberlerde yer alan bir konu hakkında sormak istiyorum.
Yani, doğru bilmek zor? Ve bence bu kuruluşlarla olan bağları sorgulamamız gerektiği gerçeği göz önüne alındığında, özellikle yaygın dağıtım konusunda sadece dikkatli olmak zorundayız. Tüm sistemlerimizde Kaspersky gibi bir virüsten koruma çözümü kadar yaygın olan bir şey var, hükümet dikkatli davranıyor ve nükleer savaş başlıkları ve füze savunma sistemlerimizi inşa etmeye çalıştığımız gibi çözümler, ev yapımı çözümler olduğu göz önüne alındığında ABD’de, bazı ABD’lerde siber güvenlik perspektifinden inşa edilen çözümlerden yararlanmalıyız. Bence sonuçta yapmaya çalıştıkları şey bu.
Sence çoğu tüketicinin güvenlik açısından yanlış yaptığı bir şey nedir?
Tüketici düzeyinde, sadece çok basit, değil mi? Bence çoğu insan güvenlik hijyeni uygulamaz. Şifreleri kullanma, farklı web sitelerinde farklı şifreler kullanma, şifre yönetimi araçlarını kullanma, iki faktörlü kimlik doğrulama. Bugün kaç insanın onu kullanmadığını söyleyemem ve tüketicilerin kullandıkları hizmetlerin sadece onları zorlamadığı şaşırtıcı. Bence bazı bankalar bunu yapmaya başlıyor, görmek harika, ama sosyal medya hesaplarını görmeye devam ediyorlar, çünkü iki faktöre sahip olmayan insanlar sadece gözlerimde çılgınca.
Bu yüzden, temel güvenlik hijyenini geçene kadar, kendilerini korumak için daha ileri tekniklerden bazılarını konuşmaya başlayabileceğimizi sanmıyorum.
Peki, bana kişisel güvenlik uygulamalarınızdan biraz bahseder misiniz? Bir şifre yöneticisi kullanıyor musunuz?
Tabii ki. Tabii ki. kullanırım
VPN servisleri bağlantınızı biraz yavaşlatabilir, ancak kurulumları nispeten kolaydır ve ayda birkaç dolara bir tane alabilirsiniz.
Kurulumu çok kolaydır ve saygın bir sağlayıcıya gitmek istiyorsunuz, çünkü trafik gönderiyorsunuz
Aynı zamanda, sadece sistemimi güncellemek gibi basit şeyler yapmak, cep telefonumda herhangi bir güncelleme olduğunda
O kadar çılgın değil. Tüketici olarak güvende kalmak o kadar da zor değil. Dışarıda bulunan çok gelişmiş teknikleri veya çözümleri kullanmak zorunda değilsiniz. Sadece sağduyu hakkında düşün.
İki faktörün birçok insanı kafasını karıştıran ve birçok insanı korkutacak bir sistem olduğunu düşünüyorum. E-posta hesaplarına her giriş yaptıklarında telefonlarını kapatmak zorunda kalacaklarını düşünüyorlar ve bu böyle değil. Sadece bir kez yapmanız gerekir, o dizüstü bilgisayarı yetkilendirirsiniz ve bunu başkası yaparak başka bir dizüstü bilgisayardan hesabınıza giriş yapamazsınız ki bu çok büyük bir korumadır.
Kesinlikle. Evet, nedense birçok insanı korkutuyor. Bazıları her 30 günde bir yapman gerekecek şekilde ayarlanmış, fakat
O kadar uzun zamandır bu sektörde değilsiniz, ancak manzarayı nasıl gördüğünüzü paylaşabilir misiniz?
Aslında siber güvenlik görevindeyim ve 15 senedir onunla gerçekten ilgileniyorum. 13 yaşından beri ve ortak bir web barındırma şirketi koştum beri. Müşterilerimizin web sitelerini ve sunucu yönetimini korumaya ve bu sunucuların kilitlendiğinden emin olmaya odaklanıldı. Bilginin saldırganın tarafına nasıl ilerlediğini görüyorsunuz. Bence güvenlik başlı başına gelişen bir endüstri, sürekli evrim geçiriyor ve her zaman bir dizi yeni yenilikçi çözüm ve teknoloji var. Bu alanda yeniliğin hızlı hızını görmek heyecan verici. Şirketlerin, giderek duyduğumuz her şeyden önce duyduğumuz defacto isimlerinden uzaklaşan, giderek daha fazla eğilimli çözümlerden yararlandığını görmek heyecan verici.
Çoğunlukla virüslerle ilgiliydi ve tanımlarınızı güncellemeniz gerekiyordu ve bu veritabanını sizin için yönetmesi için bir şirkete ödeme yapacaktınız ve sahip olduğun sürece tehditlerin yüzde 90'ından fazlasıyla güvendeydin. . Ancak tehditler bugün çok daha hızlı bir şekilde gelişti. İnsanların kendilerini ifşa ettikleri gerçek bir dünya bileşeni var çünkü bir kimlik avı saldırısı yapıyorlar, cevap veriyorlar ve kimlik bilgilerini teslim ediyorlar. Organizasyonları bu şekilde etkilenir ve teknolojik bir konudan ziyade neredeyse bir eğitim sorunudur.
Bence başarılı olan saldırıların büyük çoğunluğu o kadar gelişmiş değil. Herhangi bir kuruluşun güvenliğinin en az ortak paydası
Kaç tane tehdidin sadece e-posta tabanlı olduğu hakkında araştırma yapmayı çok isterim. Sadece binlerce ve binlerce e-posta çıkıyor ve insanlar bir şeyleri tıklıyor. İnsanlar bir süreç ve kontrolden çıkmış bir dizi olay yaratıyorlar. Ancak e-posta yoluyla gelir çünkü e-posta çok kolay ve her yerde bulunur ve insanlar bunu hafife alır.
Şimdi sadece e-posta tabanlı saldırılardan sosyal kimlik avı, mızrak avlama saldırılarına geçişi görmeye başlıyoruz. Bununla ilgili korkutucu olan şey, sosyal medyaya verilen doğal bir güven olduğu. Bir arkadaşından gelen bir bağlantı görürseniz
Size mobil güvenlik hakkında bilgi vereyim. İlk günlerde insanlara bir iOS aygıtınız varsa, muhtemelen bir virüsten korumaya ihtiyacınız olmadığını, Android bir aygıtınız varsa, belki de kurmak istediğinizi söyledim. Her telefonda güvenlik yazılımına ihtiyaç duyduğumuz bir noktaya mı gittik?
Cihazların kendi içlerinde yapılan güvenliğe gerçekten güvenmemiz gerektiğini düşünüyorum. Örneğin Apple'ın işletim sistemlerini nasıl tasarladığını ve her şeyin oldukça güvenli olduğunu düşününce değil mi? Bir uygulama bu uygulamanın sınırlarının dışında bir şey yapamaz. Android biraz farklı tasarlanmış, ancak fark etmek zorunda olduğumuz şey, uygulamalara konumumuz, adres defterimiz veya o telefondaki diğer veriler gibi uygulamalara erişim sağladığımızda, hemen kapıdan dışarı çıkıyor. . Ve sürekli güncellenmektedir, böylece konumunuzu taşırken, bu uygulamanın sahibi olan kişiye geri gönderilir. Gerçekten, "Bu insanlara bilgilerimle güveniyor muyum? Bu şirketin güvenliğine güveniyor muyum?" Diye düşünmeniz gerekiyor. Çünkü sonuçta adres defterinizi barındırıyorlarsa ve hassas verileriniz, eğer birileri onlardan ödün verirse, şimdi buna erişebilir.
Ve kalıcı erişim.
Doğru.
Kutunun dışında düşünmelisin. Sırf havalı görünen yeni bir oyun indirdiğiniz için, konum bilgilerinizi ve takvim bilgilerinizi isterler ve telefona tam erişim isterlerse, sonsuza dek tüm bu erişime sahip olmalarına güveniyorsunuzdur.
Bu kesinlikle doğru. Bence "Neden bunu istiyorlar? Gerçekten buna ihtiyaçları var mı?" Diye düşünmeniz gerekiyor. Ve "Reddet" demek ve ne olduğunu görmek de sorun değil. Belki hiçbir şeyi etkilemeyecek ve o zaman gerçekten merak etmelisin "Peki neden bunu gerçekten istediler?"
Sadece kişisel bilgileri toplamak için oluşturulmuş binlerce uygulama var, sadece indirmenizi sağlamak için bir miktar değer sunuyorlar, ancak asıl amaç sizin hakkınızda bilgi toplamak ve telefonunuzu izlemektir.
Aslında bu kötü amaçlı varlıkları diğer uygulamalara benzeyen uygulamalar oluştururken gördüğünüz yaygın bir sorundur. Belki değilken çevrimiçi bankanız gibi davranırlar. Onlar aslında sadece kimlik bilgileriniz için kimlik avı yapıyorlar, bu yüzden gerçekten dikkatli olmalısınız.
Size bu gösteriye gelen herkese sorduğum soruları sormak istiyorum. Sizi en çok üzen belirli bir teknolojik trend var mı?
Sizi etkileyecek mucizelere ilham veren, her gün kullandığınız bir uygulama, hizmet veya gadget var mı?
Bu iyi bir soru. Google’ın araç takımının büyük bir hayranıyım. Gerçekten etkileşime giriyorlar ve son derece iyi çalışıyorlar ve birlikte iyi bütünleşiyorlar, bu yüzden büyük bir Google uygulamaları kullanıcısıyım. ve bunun nedeni Google’ın şirketimize yatırım yapan biri olmamasıdır.
Her yerde biraz Google var.
Her yerde küçük bir Google var.
Bir dakikanızı ayırıp söylenenlere kredi vermek için söylenecek bir şey var. Gerçekten dünyanın bilgisini aranabilir ve anlaşılabilir hale getirmek istediler ve bunun için oldukça iyi bir iş çıkardılar.
Aslında ofisimizde yeni bir beyaz tahta, dijital beyaz tahta var - Jamboard - ve uzun zamandır gördüğüm en havalı cihazlardan biri. Sadece bir şeyi beyaz tahtaya yazma, geri kazanma ve geri getirme veya başka bir ucundaki biriyle veya iPad'deki herhangi biriyle etkileşimde bulunma ve etkileşimde bulunma yeteneği. Yani bu sadece şaşırtıcı ve uzaktan işbirliği hakkında konuşmak, onu daha da kolaylaştırıyor.
Bu ilerlemeyi birlikte çalışabileceğimiz şekilde görmek heyecan verici. İnsanları merkezi bir konumda tek bir ofise yerleştirmek zorunda değiliz, kötü eski fikirler getirebiliriz ve bunun gerçekten harika olduğunu düşünüyorum.
Çok, çok havalı bir ürün. Laboratuarda test ettik ve bazı yazılımlarda sorun yaşadık ama
Kesinlikle katılıyorum.
Sadece biraz daha kolay hale getirmek için birkaç yazılım güncellemesi gerekiyor.
Küçük bir araba, ama yine de şaşırtıcı.
İnsanlar sizi nasıl yakalayabilir ve çevrimiçi ortamda nasıl takip edebilir ve ne yaptığınızı takip edebilir?
Evet, Twitter'da @ MayKaplan. Synack.com/blog adresindeki blogumuz, siber güvenlik haberlerini ve şirket olarak yaptıklarımızı en son duymak için de harika bir yer ve arada bir de bazı görevlerim var. Ben de LinkedIn'im, orada sık sık gönderiyorum. Sosyal medyada olabildiğince aktif olmaya çalışıyorum. Ben en iyisi değilim.
Çok zaman alır.
Bunda, ama deniyorum.
Senin de yapacak bir işin var.
Kesinlikle.
