Synack's jay kaplan memiliki pasukan peretas topi putih

Anda dapat melakukan crowdsource apa saja hari ini, termasuk keamanan.

Dalam episode Fast Forward ini, saya berbicara dengan Jay Kaplan, sang CEO dan salah satu pendiri Synack. Sebelum mendirikan Synack, Jay bertugas di berbagai posisi terkait keamanan siber di Departemen Pertahanan dan sebagai Analis Eksploitasi dan Kerentanan Jaringan Komputer Senior di Administrasi Keamanan Nasional.

Di Synack, ia membangun sistem deteksi ancaman otomatis dan jaringan yang diciptakan oleh ratusan peneliti keamanan di seluruh dunia untuk melakukan pengujian penetrasi ke tingkat selanjutnya. Dalam sebuah diskusi baru-baru ini dari San Francisco, kami berbicara tentang keadaan cybersecurity, peretas topi putih, dan langkah-langkah yang diambilnya secara pribadi untuk memastikan keamanannya online. Baca transkrip atau tonton videonya di bawah.

Dari semua gelar Anda, CEO dan salah satu pendiri mungkin sangat mengesankan, tetapi hal yang membuat saya terkesan adalah bekerja sebagai anggota tim merah di Departemen Pertahanan. Saya mengerti bahwa Anda mungkin tidak dapat memberi tahu kami semua dari detailnya, tetapi bagaimana tepatnya artinya?

Sebagai anggota tim merah apa pun sebagai bagian dari tim mana pun organisasi Anda bertanggung jawab untuk bertindak seperti seorang penyerang, seperti musuh yang kita semua coba pertahankan setiap hari. Jadi pekerjaan saya di DoD sangat fokus pada sistem DoD timing merah. Baik itu sistem militer, jaringan, perangkat yang digunakan di lapangan, apa pun itu, kami ingin memastikan mereka aman dan tidak rentan terhadap pelanggaran yang sebenarnya.

Anda berpasangan dengan pekerjaan saya di NSA, di mana alih-alih menyerang untuk tujuan defensif, saya ada di sana menyerang sisi untuk tujuan ofensif. Anda menggabungkan kedua posisi itu bersama-sama. Ini sangat membantu kami memformalkan seluruh konsep di balik Synack dan model bisnis yang kami miliki saat ini.

Tampaknya bagi Anda bahwa Anda telah mengambil pendekatan yang sama, membawanya ke sektor swasta, dan Anda, saya kira, mempekerjakan banyak peretas dan keamanan jaringan crowdsourcing. Bicaralah dengan kami sedikit tentang cara kerjanya.

Pendekatan yang kami ambil lebih dari pendekatan yang didukung oleh peretas. Apa yang kami lakukan adalah memanfaatkan jaringan global para peneliti keamanan topi putih di lebih dari 50 negara yang berbeda dan kami secara efektif membayar mereka berdasarkan hasil untuk mengungkap kerentanan keamanan di seluruh pelanggan perusahaan kami, dan sekarang kami sedang melakukan banyak pekerjaan dengan pemerintah demikian juga.

Seluruh tujuan di sini adalah untuk lebih memperhatikan masalah ini. Maksud saya satu hal untuk memiliki satu atau dua orang melihat suatu sistem, jaringan, aplikasi, dan mencoba untuk menyingkirkan aplikasi kerentanan itu. Lain lagi dengan mengatakan mungkin 100, 200 orang, semuanya melihat di salah satu peralatan IT ini, atau apa pun itu, dan cobalah mencari tahu apa kerentanannya, dan kapan Anda berhasil membayar Anda. Ini adalah perubahan paradigma yang sangat besar dan bekerja sangat baik dalam praktiknya.

Siapa yang akan menjadi pelanggan khas? Apakah itu seperti Microsoft yang mengatakan, "Kami meluncurkan platform Azure baru, datang dan coba dan colok lubang di sistem kami?"

Itu bisa di mana saja dari perusahaan teknologi besar seperti Microsoft ke bank besar di mana mereka ingin menguji aplikasi mobile dan online mereka, aplikasi perbankan. Bisa juga pemerintah federal; kami bekerja sama dengan DoD dan Internal Revenue Service untuk mengunci di mana Anda mengirimkan informasi wajib pajak, atau dari perspektif DoD, hal-hal seperti sistem penggajian, dan sistem lain yang menyimpan data yang sangat sensitif. Sangat penting bahwa hal-hal ini tidak dikompromikan, seperti yang kita semua lihat di masa lalu itu bisa sangat, sangat merusak. Mereka akhirnya mengambil pendekatan yang lebih progresif untuk menyelesaikan masalah, menjauh dari solusi yang lebih bersifat komoditas yang telah kita lihat di masa lalu.

Bagaimana Anda menemukan orang? Saya membayangkan Anda tidak hanya mempostingnya di papan pesan dan berkata, "Hei, arahkan energi Anda ke arah ini dan kemudian jika Anda menemukan sesuatu, beri tahu kami dan kami akan membayar Anda."

Di awal hari kami jelas memanfaatkan jaringan kami cukup banyak. Kami membawa orang-orang yang kami kenal, dan itu tumbuh secara organik dan kami mulai mengajak orang-orang di seluruh dunia mempraktikkan keamanan siber, dan bahkan mereka yang tidak perlu melakukan keamanan siber hari demi hari. Kami memiliki banyak pengembang sebagai bagian dari jaringan kami, insinyur bagian dari perusahaan teknologi besar. Kekuatan dari apa yang kami lakukan adalah memberi pelanggan beragam sumber daya, akses ke bakat yang secara tradisional tidak akan mereka miliki.

Jika Anda melihat beberapa statistik, mereka mengatakan bahwa pada tahun 2021 kita akan memiliki 3, 5 juta pekerjaan keamanan siber terbuka. Ada pemutusan pasokan dan permintaan besar-besaran dan tantangan yang kami coba selesaikan. Memanfaatkan crowdsourcing untuk menyelesaikan masalah ini telah bekerja dengan sangat baik bagi kami karena kami tidak perlu mempekerjakan mereka. Mereka lepas dan benar-benar hanya mendapatkan lebih banyak perhatian pada masalah ini memberikan hasil yang lebih baik.

Dari tentu saja kebenaran jaringan itu juga sangat penting bagi bisnis kami. Kami harus tahu bahwa kami dapat mempercayai mereka dan karenanya kami harus menempatkan peneliti kami melalui pemeriksaan latar belakang yang ketat, dan verifikasi ID, dan kami bahkan melakukan audit lalu lintas mereka untuk memastikan bahwa mereka mematuhi ruang lingkup dan aturan keterlibatan, tetapi sangat menarik melihat mekanisme untuk terlibat dalam model crowdsource tetapi memiliki satu ton kontrol dalam memungkinkan perusahaan terkait untuk mendapatkan akses ke jenis metodologi ini.

Bisakah peretas ini menghasilkan lebih banyak uang dengan Anda daripada yang mereka dapat sendiri di Web Gelap? Maksud saya, apakah menguntungkan menjadi topi putih dalam model ini?

Ada kesalahpahaman umum bahwa, Anda tahu, Anda beroperasi di Web Gelap dan Anda secara otomatis akan menjadi orang kaya ini.

Anda juga sering ditipu.

Anda sering ditipu, tetapi kenyataannya adalah orang-orang yang bekerja sama dengan kami sangat profesional dan beretika. Mereka bekerja untuk perusahaan yang sangat besar, atau perusahaan konsultan keamanan lainnya dan ada orang yang memiliki banyak etika di dalamnya sehingga mereka tidak ingin melakukan hal-hal secara ilegal. Mereka ingin bertindak, mereka suka peretasan, mereka suka merusak barang-barang, tetapi mereka ingin melakukannya di lingkungan di mana mereka tahu mereka tidak akan dituntut.

Itu plus bagus. Apa yang Anda lihat sebagai ancaman utama di keamanan hari ini? Haruskah kita khawatir tentang perusahaan kriminal? Aktor negara-bangsa? Dari mana Anda melihat sebagian besar ancaman datang?

Sangat menarik. Jika Anda akan mengajukan pertanyaan kepada saya beberapa tahun yang lalu, saya akan mengatakan negara-bangsa adalah organisasi yang paling lengkap untuk berhasil dalam serangan cyber. Maksud saya mereka duduk di tumpukan eksploitasi nol hari, mereka punya banyak uang, dan banyak sumber daya.

Jelaskan gagasan untuk duduk di atas tumpukan persediaan yang tidak menghasilkan selama berhari-hari. Karena itu adalah sesuatu yang di luar ruang keamanan, saya tidak berpikir orang kebanyakan benar-benar mengerti.

Jadi eksploitasi nol hari secara efektif adalah kerentanan dalam mungkin sistem operasi utama yang mungkin tidak ada yang tahu selain organisasi itu. Mereka menemukannya, mereka duduk di atasnya, dan mereka menggunakannya untuk keuntungan mereka. Mengingat berapa banyak uang yang mereka habiskan untuk penelitian dan pengembangan, dan mengingat berapa banyak uang yang mereka bayar untuk sumber dayanya, mereka memiliki kemampuan untuk menemukan hal-hal ini di mana tidak ada orang lain yang dapat menemukannya. Itulah alasan besar mengapa mereka begitu sukses dengan apa yang mereka lakukan.

Biasanya, mereka melakukan ini untuk tujuan mendapatkan intelijen dan membantu pembuat keputusan kami membuat keputusan kebijakan yang lebih baik. Kami melihat perubahan selama beberapa tahun terakhir di mana sindikat kejahatan mengambil keuntungan dari beberapa alat kebocoran ini untuk keuntungan mereka. Jika Anda melihat kebocoran Broker Bayangan sebagai contoh utama dari itu, itu menjadi sangat menakutkan di luar sana. Sementara vendor menambal sistem mereka, perusahaan dan perusahaan di luar sana sebenarnya tidak mengambil keuntungan dari tambalan itu sehingga membuat mereka rentan terhadap serangan dan memungkinkan orang jahat masuk ke organisasi mereka dan mengeluarkan ransomware, sebagai contoh, untuk mencoba mendapatkan uang dari mereka.

Infeksi WannaCry memengaruhi sejumlah besar sistem, tetapi bukan sistem Windows 10. Itu adalah eksploitasi yang telah ditambal jika orang telah mengunduh dan menginstal, tetapi jutaan orang tidak dan membuka pintu.

Benar sekali. Manajemen tambalan masih merupakan hal yang sangat sulit bagi sebagian besar organisasi. Mereka tidak memiliki pegangan tentang versi apa yang sedang berjalan, dan kotak apa yang telah ditambal dan mana yang belum, dan itu adalah salah satu alasan kami menciptakan seluruh model bisnis kami - lebih memperhatikan masalah ini, bersikap proaktif dalam mengungkap sistem yang belum ditambal, dan memberi tahu pelanggan kami: "Hei, Anda sebaiknya memperbaiki hal-hal ini atau Anda akan menjadi pelanggaran besar berikutnya atau serangan seperti WannaCry akan berhasil melawan organisasi Anda." Dan pelanggan yang menggunakan layanan kami secara terus menerus, ini adalah kasus penggunaan yang sangat sukses bagi kami.

Apakah Anda menjual layanan Anda untuk pengujian jangka pendek? Atau bisa juga berkelanjutan?

Secara tradisional, pengujian penetrasi telah menjadi tipe keterlibatan tepat waktu, bukan? Anda mengatakan masuk selama seminggu, dua minggu, beri saya laporan dan kemudian kami akan melihat Anda setahun kemudian ketika kita siap untuk audit kami berikutnya. Kami mencoba menggeser pelanggan ke mentalitas bahwa infrastrukturnya sangat dinamis, Anda selalu mendorong perubahan kode ke aplikasi Anda, Anda bisa memperkenalkan kerentanan baru kapan saja. Mengapa tidak melihat hal-hal ini dari perspektif keamanan secara terus-menerus dengan cara yang sama dengan siklus hidup pengembangan Anda?

Dan perangkat lunak sebagai layanan adalah model yang bagus. Layanan sebagai layanan juga merupakan model yang hebat.

Tepat sekali. Kami memiliki komponen perangkat lunak besar yang mendukung hal ini, jadi kami memiliki seluruh platform yang memfasilitasi tidak hanya interaksi antara peneliti dan pelanggan kami, tetapi kami juga membangun otomasi untuk mengatakan "Hei, untuk membuat peneliti kami lebih efisien dan efektif dalam pekerjaan mereka, mari kita mengotomatisasi hal-hal yang kita tidak ingin mereka habiskan. " Baik? Semua buah yang menggantung rendah, memberi mereka lebih banyak konteks lingkungan tempat mereka berjalan, dan kami menemukan bahwa pasangan manusia dan mesin bekerja sangat baik dan sangat kuat di ruang keamanan siber.

Anda baru saja kembali dari Black Hat belum lama ini, di mana Anda melihat banyak hal menakutkan, saya bayangkan. Apakah ada sesuatu yang mengejutkan Anda?

Anda tahu, ada fokus besar di Defcon pada sistem pemilihan, dan saya pikir kita semua telah melihat banyak pers tentang hal itu. Saya pikir hanya melihat seberapa cepat para peretas dapat mengendalikan salah satu dari sistem pemungutan suara ini mengingat akses fisik cukup menakutkan. Itu membuat Anda benar-benar mempertanyakan hasil pemilihan sebelumnya. Melihat bahwa tidak ada banyak sistem yang memiliki jalur kertas, saya pikir itu proposisi yang cukup menakutkan.

Namun di luar itu, ada banyak fokus pada infrastruktur kritis. Ada satu pembicaraan yang berfokus pada dasarnya meretas sistem radiasi yang mendeteksi radiasi di pembangkit listrik tenaga nuklir dan betapa mudahnya untuk masuk ke sistem itu. Maksud saya hal-hal itu cukup menyeramkan, dan saya sangat yakin bahwa infrastruktur kritis kita berada di tempat yang sangat buruk. Saya pikir sebagian besar benar-benar dikompromikan hari ini dan ada sejumlah implan duduk di seluruh infrastruktur kritis kami hanya menunggu untuk dimanfaatkan jika kita pergi berperang dengan negara-bangsa lain.

Jadi, ketika Anda mengatakan "Infrastruktur penting kami dikompromikan hari ini, " maksud Anda ada kode di pabrik listrik, di pembangkit listrik tenaga nuklir, peternakan kincir angin yang ditempatkan di sana oleh kekuatan asing yang dapat diaktifkan kapan saja?

Iya. Benar sekali. Saya tidak punya apa-apa untuk mendukung itu naik, tetapi hanya memberikan pengetahuan saya tentang keadaan keamanan siber dalam organisasi infrastruktur kritis ini, saya tidak ragu bahwa ada persentase yang sangat besar bahwa adalah kompromi hari ini, menempatkan kami dalam posisi yang cukup menakutkan di masa depan.

Bisakah kita menghibur diri dengan kenyataan bahwa kita mungkin memiliki pengaruh yang sama atas musuh kita dan memiliki kode kita dalam infrastruktur mereka yang kritis juga sehingga setidaknya ada kemungkinan kehancuran yang dapat kita andalkan bersama?

Saya berasumsi kita sedang melakukan hal-hal yang sangat mirip.

Baik. Saya berasumsi Anda tidak bisa mengatakan semua yang Anda tahu, tetapi saya merasa nyaman karena setidaknya perang sedang berlangsung. Kami jelas tidak ingin ini meningkat dengan cara atau bentuk apa pun, tapi setidaknya kami bertarung di kedua sisi dan kami mungkin harus lebih fokus pada pertahanan.

Tepat sekali. Maksudku, kita harus lebih fokus pada pertahanan, tetapi kemampuan ofensif kita sama pentingnya. Anda tahu, bisa memahami bagaimana musuh kita menyerang kita dan apa kemampuan mereka diperlukan pendekatan ofensif, dan itulah sebabnya NSA melakukan apa yang mereka lakukan dan organisasi intelijen lainnya memiliki kemampuan yang sama.

Jadi, saya ingin bertanya tentang topik yang ada di berita terakhir beberapa bulan, dan itu adalah peran perusahaan teknologi asing. Teknologi mereka tertanam dalam infrastruktur kami, ke perusahaan kami, ke lembaga pemerintah kami, dan kemudian setiap enam bulan sekali ada cerita yang mengatakan, "Oh, kita seharusnya tidak memercayai infrastruktur Huawei Telecommunications." Belakangan ini ada cerita yang beredar bahwa mungkin kita harus melihat perangkat lunak keamanan Kaspersky Labs karena mereka telah bekerja dengan Layanan Keamanan Rusia. Apa pendapat Anda tentang tipe-tipe hubungan itu? Apakah ini perusahaan independen, atau mereka lengan negara tempat mereka beroperasi?

Jadi, sulit diketahui bukan? Dan saya pikir mengingat fakta bahwa kita harus mempertanyakan ikatan dengan organisasi-organisasi ini, kita harus berhati-hati tentang penyebaran, khususnya penyebaran luas. Sesuatu yang meluas seperti solusi antivirus seperti Kaspersky di semua sistem kami, pemerintah berhati-hati, dan mengingat bahwa kami memiliki solusi, solusi buatan sendiri, cara yang sama seperti kami mencoba membangun hulu ledak nuklir kami, dan sistem pertahanan rudal kami di AS, kita harus mengambil keuntungan dari solusi yang sedang dibangun di AS beberapa dari perspektif keamanan siber. Saya pikir itulah yang akhirnya mereka coba lakukan.

Menurut Anda apa hal nomor satu yang dilakukan sebagian besar konsumen dari sudut pandang keamanan?

Di tingkat konsumen, itu sangat mendasar, bukan? Saya pikir kebanyakan orang tidak mempraktikkan kebersihan keamanan. Bersepeda kata sandi, menggunakan kata sandi yang berbeda di situs web yang berbeda, menggunakan alat manajemen kata sandi, otentikasi dua faktor. Saya tidak bisa memberi tahu Anda berapa banyak orang saat ini yang tidak menggunakannya, dan itu mengejutkan saya bahwa layanan yang digunakan konsumen tidak hanya memaksanya. Saya pikir beberapa bank mulai melakukan itu, yang bagus untuk dilihat, tetapi masih melihat akun media sosial dikompromikan karena orang tidak memiliki dua faktor hanya gila di mata saya.

Jadi, sampai kita melewati kebersihan dasar keamanan, saya tidak berpikir kita bisa mulai berbicara tentang beberapa teknik yang lebih canggih untuk melindungi diri mereka sendiri.

Jadi, ceritakan sedikit tentang praktik keamanan pribadi Anda? Apakah Anda menggunakan pengelola kata sandi?

Tentu saja. Tentu saja. saya menggunakan OnePassword jadi pada dasarnya setiap situs web yang saya kunjungi dan akun yang saya buat memiliki kata sandi yang berbeda, selalu minimum 16 karakter. Saya mengganti kata sandi itu secara teratur dan semuanya dibuat secara otomatis. Saya menggunakan VPN di jaringan yang tidak terlindungi. Perusahaan kami memiliki solusi VPN, jadi kapan saja Saya berada di jaringan nirkabel Saya tidak takut menggunakan jaringan nirkabel selama koneksi tersebut melalui terowongan yang aman.

Layanan VPN mungkin memperlambat koneksi Anda sedikit, tetapi mereka relatif mudah diatur dan Anda bisa mendapatkannya untuk beberapa dolar sebulan.

Mereka super mudah untuk diatur dan Anda ingin pergi dengan penyedia terkemuka karena Anda mengirim lalu lintas melalui penyedia itu. Anda hanya ingin memastikan bahwa mereka memiliki reputasi yang baik dan Anda dapat mempercayai mereka dengan traffic Anda.

Pada saat yang sama, hanya melakukan hal-hal sederhana seperti memperbarui sistem saya, setiap kali ada pembaruan di ponsel saya alat, atau komputer saya, saya memanfaatkannya. Maksud saya ada alasan mengapa mereka mendorong pembaruan itu di luar sana, jadi itu hanya dasar-dasarnya saja. Dan tentu saja Anda sedang memantau laporan kredit Anda, dan kartu kredit Anda, dan tanda-tanda aktivitas mencurigakan yang baru saja Anda selidiki.

Itu tidak gila. Sebenarnya tidak sulit untuk tetap aman sebagai konsumen. Anda tidak harus menggunakan teknik atau solusi yang sangat canggih yang ada di luar sana. Coba pikirkan akal sehat.

Saya pikir dua faktor adalah sistem yang membingungkan banyak orang dan mengintimidasi banyak orang. Mereka berpikir bahwa mereka harus memeriksa ponsel mereka setiap kali mereka masuk ke akun email mereka, dan bukan itu masalahnya. Anda hanya perlu melakukannya sekali, Anda mengotorisasi laptop itu, dan dengan melakukan itu orang lain tidak dapat masuk ke akun Anda dari laptop lain, yang merupakan perlindungan besar.

Benar. Ya, untuk beberapa alasan itu membuat banyak orang takut. Beberapa dari mereka diatur di mana Anda mungkin harus melakukannya setiap 30 hari atau lebih, tetapi masih itu tidak rumit seperti kedengarannya dan itu keuntungan keamanan yang sangat besar untuk diterapkan. Saya pasti akan merekomendasikan menempatkan dua faktor pada tempatnya.

Anda belum berada di industri ini selama itu, tetapi dapatkah Anda membagikan bagaimana Anda telah melihat bentang alam perubahan sejak kamu mulai? Bagaimana ancaman cyber miliki berkembang pada waktu itu?

Saya sebenarnya sudah berada di cybersecurity dan benar-benar tertarik dengannya mungkin selama 15 tahun. Sejak saya berusia 13 tahun dan saya menjalankan perusahaan web hosting bersama. Ada banyak fokus untuk melindungi situs web pelanggan kami, dan administrasi server, dan memastikan server-server itu dikunci. Anda melihat bagaimana pengetahuan telah berkembang ke sisi penyerang. Saya pikir keamanan adalah industri yang baru lahir dengan sendirinya, terus berkembang, dan selalu ada solusi inovatif dan teknologi baru. Saya pikir itu menarik untuk melihat laju inovasi di ruang ini. Sangat menyenangkan melihat perusahaan mengambil keuntungan dari lebih banyak solusi yang semakin condong, semacam menjauh dari nama-nama defacto yang telah kita semua dengar, Symantec dan McAfees tentang dunia dan bergerak menuju beberapa perusahaan baru di luar sana, mengakui bahwa mereka harus inovatif dengan cara mereka mendekati keamanan siber. Dan jika tidak, para penyerang akan selangkah lebih maju dari mereka.

Dulu sebagian besar tentang virus dan Anda perlu memperbarui definisi Anda, dan Anda akan membayar perusahaan untuk mengelola database itu untuk Anda, dan selama Anda memiliki cukup banyak aman dari 90 persen ancaman.. Tetapi ancaman berkembang jauh lebih cepat hari ini. Dan ada komponen dunia nyata di mana orang mengekspos diri mereka sendiri karena mereka mendapatkan serangan phishing, mereka merespons dan menyerahkan kredensial mereka. Begitulah cara organisasi mereka ditembus dan itu hampir merupakan masalah pendidikan daripada masalah teknologi.

Saya pikir sebagian besar serangan yang berhasil tidak setinggi itu. Penyebut paling umum dari keamanan organisasi mana pun adalah orang orang. Jika orang-orang tidak dididik untuk tidak mengklik email ketika terlihat mencurigakan, maka game over. Ini terlalu mudah akhir-akhir ini, dan ada banyak perusahaan yang mencoba menyerang masalah yang secara khusus berfokus pada phishing. Selain semua solusi lain yang mereka siapkan mengatasi kerentanan, mengatasi ancaman dunia maya, tetapi kita harus mengatasi masalah orang-orang terlebih dahulu karena saat ini kami hanya membuatnya terlalu mudah.

Saya ingin melihat penelitian tentang berapa banyak ancaman yang hanya berbasis email. Hanya ribuan dan ribuan surel yang keluar dan orang-orang mengklik sesuatu. Orang-orang menciptakan proses dan serangkaian acara yang lepas kendali. Tapi itu datang melalui email karena email sangat mudah dan ada di mana-mana dan orang-orang meremehkannya.

Kami mulai melihat sekarang peralihan dari hanya serangan berbasis email ke phising sosial, serangan phishing tombak. Apa yang menakutkan tentang itu adalah bahwa ada kepercayaan yang melekat dimasukkan ke media sosial. Jika Anda melihat tautan yang berasal dari teman a teman, atau bahkan akun teman yang disusupi, Anda mungkin akan cenderung mengkliknya tautan, atau mengunduh file dan itu menakutkan. Anda juga memiliki kemampuan untuk menjangkau audiens yang lebih luas, bukan? Anda tidak mengirim email ke orang, Anda sekarang dapat memposting tweet dengan tautan di dalamnya yang secara otomatis sekarang mencapai puluhan ribu, jutaan orang, tergantung pada akun apa yang Anda gunakan. Itulah sebabnya akun-akun ini semakin menakutkan dan memengaruhi lebih banyak orang daripada sebelumnya.

Izinkan saya bertanya tentang keamanan seluler. Dini hari kami memberi tahu orang-orang jika Anda memiliki perangkat iOS Anda mungkin tidak perlu antivirus, jika Anda memiliki perangkat Android, mungkin Anda ingin menginstalnya. Sudahkah kita berkembang ke titik di mana kita memerlukan perangkat lunak keamanan di setiap telepon?

Saya pikir kita harus benar-benar mempercayai keamanan yang dimasukkan ke dalam perangkat itu sendiri. Mengingat bagaimana Apple, misalnya, telah merancang sistem operasi mereka sehingga semuanya cukup dikosongkan, bukan? Aplikasi tidak dapat melakukan banyak hal di luar batas aplikasi itu. Android dirancang sedikit berbeda, tetapi yang harus kita sadari adalah ketika kita memberikan aplikasi akses ke hal-hal seperti lokasi kita, buku alamat kita, atau data lain apa pun yang ada di telepon itu, yang langsung keluar pintu. Dan ini terus diperbarui, sehingga saat Anda memindahkan lokasi Anda dikirim kembali ke cloud kepada siapa pun yang memiliki aplikasi ini. Anda harus benar-benar berpikir tentang "Apakah saya mempercayai orang-orang ini dengan informasi saya? Apakah saya mempercayai keamanan perusahaan ini?" Karena pada akhirnya jika mereka menyimpan buku alamat Anda, dan data sensitif Anda, jika ada yang kompromi, mereka sekarang memiliki akses ke sana.

Dan itu akses abadi.

Tepat sekali.

Anda harus berpikir di luar kotak. Hanya karena Anda mengunduh game baru yang terlihat keren, jika mereka meminta informasi lokasi Anda dan informasi kalender Anda, dan akses lengkap ke ponsel, Anda memercayai mereka untuk memiliki semua akses itu selamanya.

Benar sekali. Saya pikir Anda benar-benar perlu berpikir tentang "Mengapa mereka meminta ini? Apakah mereka benar-benar membutuhkan ini?" Dan boleh saja mengatakan "Tolak" dan lihat apa yang terjadi. Mungkin itu tidak akan mempengaruhi apa pun dan kemudian Anda benar-benar harus bertanya-tanya, "Mengapa mereka benar-benar memintanya?"

Ada ribuan aplikasi yang dibuat hanya untuk mengumpulkan informasi pribadi, mereka hanya menawarkan beberapa nilai di atasnya untuk membuat Anda mengunduhnya, tetapi tujuan sebenarnya adalah untuk mengumpulkan informasi tentang Anda dan memonitor telepon Anda.

Ini sebenarnya masalah yang meresap di mana Anda melihat entitas jahat ini membuat aplikasi yang terlihat seperti aplikasi lain. Mungkin mereka berpura-pura menjadi bank online Anda ketika tidak. Mereka sebenarnya hanya phising untuk kredensial Anda, jadi Anda benar-benar harus berhati-hati. Jelas sekali ada proses ketekunan yang harus dilalui aplikasi ini sebelum dipublikasikan ke app store, tapi itu tidak mudah.

Saya ingin menanyakan pertanyaan yang saya ajukan kepada semua orang yang datang di acara ini. Apakah ada tren teknologi tertentu yang paling mengkhawatirkan Anda? terus kamu bangun di malam hari?

Sebenarnya kami berbicara tentang seluler, dan saya pikir adopsi seluler yang cepat dan cukup banyak transaksi semua orang yang terjadi pada seluler versus di peramban web. Yang menakutkan bagi saya adalah kurangnya ketekunan keamanan yang terjadi dari perspektif perusahaan, orang-orang yang mengembangkan aplikasi ini. Mereka tidak memikirkan keamanan dalam aplikasi ini dengan cara yang sama seperti untuk jaringan perusahaan dan lingkungan aplikasi web mereka, jadi ada API yang rentan terhadap serangan. Mereka menyimpan kata sandi pada perangkat, kriptografi sering diimplementasikan dengan tidak benar. Itu menakutkan bagi saya, mengetahui bahwa semakin banyak orang bertransaksi pada perangkat ini, namun perusahaan yang mengembangkan aplikasi ini tidak memikirkan keamanan dengan cara yang sama seperti mereka adalah segalanya. Saya pikir ini menjadi lebih baik, tetapi kita masih belum sampai.

Apakah ada aplikasi, atau layanan, atau gadget yang Anda gunakan setiap hari yang hanya menginspirasi keajaiban, yang membuat Anda terkesan?

Itu pertanyaan yang bagus. Saya penggemar berat alat Google. Mereka benar-benar berinteraksi dan bekerja dengan sangat baik dan berintegrasi dengan baik, jadi saya adalah pengguna besar aplikasi Google. dan itu bukan hanya karena Google adalah investor di perusahaan kami.

Ada sedikit Google di mana-mana.

Ada sedikit Google di mana-mana.

Ada sesuatu yang bisa dikatakan untuk meluangkan waktu dan memberi mereka pujian atas apa yang telah mereka lakukan. Mereka benar-benar ingin membuat informasi dunia dapat dicari dan dipahami, dan mereka telah melakukan pekerjaan yang cukup bagus.

Kami sebenarnya baru saja mendapatkan papan tulis baru, papan tulis digital di kantor kami - Jamboard - dan itu salah satu perangkat paling keren yang pernah saya lihat dalam waktu yang lama. Hanya kemampuan untuk menulis sesuatu di luar, menyimpannya dan membawanya kembali, atau berinteraksi dan terlibat dengan seseorang di ujung lain, atau siapa pun di iPad. Maksud saya itu luar biasa, dan berbicara tentang kolaborasi dari jarak jauh itu membuatnya lebih mudah.

Sangat menyenangkan melihat perkembangan itu dalam cara kita dapat bekerja bersama. Kami tidak harus memiliki orang yang hanya berlokasi di satu kantor, kami dapat membawa ide-ide lama yang buruk dan saya pikir itu sangat keren.

Ini produk yang sangat, sangat keren. Kami mengujinya di lab dan kami mengalami beberapa masalah dengan beberapa perangkat lunak, tetapi itu pertama generasi. Itu baru keluar seperti dua bulan lalu, dan itu benar-benar akan menjadi cara orang berkomunikasi di ruang konferensi selama bertahun-tahun yang akan datang.

Sangat setuju.

Hanya perlu beberapa pembaruan perangkat lunak untuk membuatnya sedikit lebih mudah.

Agak buggy, tapi tetap menakjubkan.

Bagaimana orang dapat mengejar Anda, dan mengikuti Anda secara online, dan melacak apa yang Anda lakukan?

Ya, saya di Twitter @JayKaplan. Blog kami di Synack.com/blog, itu juga tempat yang tepat bagi Anda untuk mendengar berita terbaru tentang keamanan dunia maya, dan apa yang kami lakukan sebagai perusahaan, dan saya memiliki beberapa posting di sana sesekali. Saya juga di LinkedIn, memposting di sana sesering mungkin. Saya mencoba untuk tetap aktif di media sosial semampu saya. Saya bukan yang terbaik.

Butuh banyak waktu.

Itu, tapi aku sedang berusaha.

Anda punya pekerjaan yang harus dilakukan juga.

Persis.