جاي كابلان سيناك لديه جيش القراصنة قبعة بيضاء

يمكنك التعهيد الجماعي لأي شيء تقريبًا هذه الأيام ، بما في ذلك الأمان.

في هذه الحلقة من Fast Forward ، أتحدث مع جاي كابلان المدير التنفيذي والمؤسس المشارك لسيناك. قبل تأسيس Synack ، عمل جاي في عدة مناصب متعلقة بالأمن السيبراني في وزارة الدفاع وبصفته محللًا كبيرًا لاستغلال شبكات الضعف في الكمبيوتر في إدارة الأمن القومي.

في Synack ، قام ببناء نظام آلي للكشف عن التهديد وشبكة تم إنشاؤها من مئات الباحثين في مجال الأمن في جميع أنحاء العالم لنقل اختبار الاختراق إلى المستوى التالي. في مناقشة حديثة من سان فرانسيسكو ، تحدثنا عن حالة الأمن السيبراني ، والمتسللين القبعة البيضاء ، والخطوات التي يتخذها شخصيا لضمان أمنه على الإنترنت. اقرأ النص أو شاهد الفيديو أدناه.

من بين جميع ألقابك ، قد يكون الرئيس التنفيذي والمؤسس المشارك مؤثرًا جدًا ، لكن الشيء الذي يثير إعجابي هو أنني أعمل كعضو في فريق أحمر في وزارة الدفاع. أفهم أنك قد لا تكون قادرًا على إخبارنا جميعًا من التفاصيل ، لكن هل هذا يعني بالضبط؟

كعضو في أي فريق أحمر كجزء من أي منظمة أنت مسؤول عن التصرف كمهاجم ، مثل الخصم الذي نحاول جميعًا الدفاع عنه ضد كل يوم. لذلك كان عملي في وزارة الدفاع يركز بشكل كبير على أنظمة DoD الحمراء. سواء أكانت أنظمة وشبكات وأجهزة عسكرية منتشرة في الميدان ، ومهما كان ، فقد أردنا التأكد من أنها آمنة وغير معرضة للانتهاكات الفعلية.

أنت تقرن أنه مع عملي في وكالة الأمن القومي ، حيث كنت بدلاً من الهجوم لأغراض دفاعية هجوم الجانب لأغراض هجومية. إنك تتزوج من هذين الموقفين معًا ، فقد ساعدتنا حقًا في إضفاء الطابع الرسمي على المفهوم الكامل وراء Synack ونموذج العمل الذي لدينا اليوم.

يبدو لي أنك قد اتبعت نفس النهج ، فأدخلته إلى القطاع الخاص ، وأنت ، على ما أعتقد ، توظف جحافل من المتسللين وأمن الشبكات. تحدث إلينا قليلاً عن كيفية ذلك.

النهج الذي نتخذه هو أكثر من نهج القراصنة التي تعمل بالطاقة. ما نقوم به هو الاستفادة من شبكة عالمية من كبار الباحثين في مجال أمن القبعة البيضاء في أكثر من 50 دولة مختلفة ، ونحن ندفع لهم بشكل فعال على أساس النتائج للكشف عن نقاط الضعف الأمنية عبر عملاء المؤسسة ، والآن نقوم بعمل كبير مع الحكومة كذلك.

الهدف كله هنا هو الحصول على مزيد من العيون على المشكلة. أعني أنه أمر واحد هو أن ينظر شخص أو شخصان إلى نظام ، وشبكة ، وتطبيق ، ويحاولان التخلص من هذا الثغرات الأمنية. إنه لأمر آخر أن نقول ربما 100 ، 200 شخص ، الجميع نظرة في قطعة واحدة من معدات تكنولوجيا المعلومات ، أو أياً كان شكلها ، وحاول معرفة ماهية الثغرات الأمنية ، وعندما تدفع لك النجاح. إنه تحول نموذجي كبير وهو يعمل بشكل جيد للغاية في الممارسة.

من سيكون العميل النموذجي؟ هل سيكون مثل Microsoft الذي يقول "نحن نطلق منصة Azure جديدة ، تعال ونحاول بث ثقوب في نظامنا؟"

يمكن أن يكون في أي مكان من شركة تكنولوجيا كبيرة مثل Microsoft إلى بنك كبير حيث يريدون اختبار تطبيقاتهم على الإنترنت والهاتف المحمول ، التطبيقات المصرفية. قد تكون أيضًا الحكومة الفيدرالية ؛ نحن نعمل مع DoD و Internal Revenue Service لإغلاق المكان الذي تقدم فيه معلومات دافع الضرائب ، أو من وجهة نظر DoD أشياء مثل أنظمة الرواتب والأنظمة الأخرى التي تحتوي على بيانات حساسة للغاية. من المهم ألا تتعرض هذه الأشياء للخطر ، حيث رأينا جميعًا في الماضي أنها قد تكون ضارة جدًا. إنهم في النهاية يتبعون نهجًا أكثر تقدمًا في حل المشكلة ، مبتعدين عن الحلول الأكثر سلعة التي رأيناها في الماضي.

كيف تجد الناس؟ أتصور أنك لا تنشرها فقط على لوحة الرسائل وتقول "مرحبًا ، وجه طاقاتك نحو ذلك ، ثم إذا وجدت شيئًا فأخبرنا بذلك وسندفع لك المال".

في وقت مبكر أيام من الواضح أننا استفدنا من شبكتنا بشكل كبير. لقد استعاننا بأشخاص عرفناهم ، وقد نما هذا بشكل عضوي وبدأنا في استقدام أشخاص من جميع أنحاء العالم يمارسون الأمن السيبراني ، وحتى أولئك الذين لا يمارسون الأمن السيبراني بالضرورة يومًا بعد يوم. لدينا الكثير من المطورين كجزء من شبكتنا ، المهندسين جزء من شركات التكنولوجيا الكبرى. قوة ما نقوم به هو إعطاء العملاء تنوع الموارد ، والوصول إلى المواهب التي لن يتمكنوا من الوصول إليها تقليديا.

إذا نظرت إلى بعض الإحصاءات ، فإنهم يقولون إنه بحلول عام 2021 سيكون لدينا 3.5 مليون وظيفة من وظائف الأمن السيبراني المفتوحة. هناك انقطاع كبير في العرض والطلب والتحدي الذي نحاول حله. إن الاستفادة من التعهيد الجماعي لحل هذه المشكلة قد عملت بشكل جيد للغاية بالنسبة لنا لأنه لا يتعين علينا توظيفهم. إنهم مستقلون وحقًا ما يحصلون على المزيد من الاهتمام بهذه المشكلة ، فإن ذلك يضفي نتائج أفضل.

من دورة صحة تلك الشبكة أمر بالغ الأهمية لأعمالنا كذلك. يجب أن نعرف أننا قادرون على الوثوق بهم ، وعلينا أن نضع باحثينا في مجموعة من اختبارات الخلفية ، والتحقق من الهوية ، ونقوم حتى بمراجعة حركة المرور الخاصة بهم للتأكد من أنهم يلتزمون بنطاق وقواعد الاشتباك ، ولكن من المثير حقًا أن نرى آلية للانخراط في نموذج التعهيد الجماعي ولكن لديك الكثير من التحكم المخبوز في تمكين الشركات المعنية من الوصول إلى هذا النوع من المنهجية.

هل يمكن لهؤلاء المتسللين كسب المزيد من المال معك أكثر مما يمكنهم الخروج بمفردهم على شبكة الإنترنت المظلمة؟ أقصد ، هل من المربح أن تكون قبعة بيضاء في هذا النموذج؟

هناك اعتقاد خاطئ شائع مفاده أنك تعمل في شبكة الويب المظلمة وستصبح تلقائيًا هذا الشخص الغني.

أنت أيضا الحصول على انفصل الكثير.

لقد انفصلت كثيرًا ، لكن الواقع هو أن الأشخاص الذين نعمل معهم هم من المحترفين والأخلاقيين. إنهم يعملون لدى شركات كبيرة جدًا ، أو شركات استشارية أمنية أخرى ، وهناك أشخاص لديهم الكثير من الأخلاقيات التي لا يرغبون في القيام بها بشكل غير قانوني. إنهم يريدون التصرف ، وأنهم يحبون القرصنة ، وهم يحبون كسر الأشياء ، لكنهم يريدون القيام بذلك في بيئة يعرفون أنهم لن يحاكموا فيها.

هذا زائد لطيفة. ماذا ترى في التهديدات الرئيسية في الأمن اليوم؟ يجب أن نكون قلقين بشأن المؤسسات الإجرامية؟ الجهات الفاعلة في الدولة القومية؟ من أين ترى غالبية التهديدات تأتي من؟

انها مثيرة للاهتمام حقا. لو كنت سألتني السؤال قبل عامين ، أقول إن الدول القومية هي أكثر المنظمات المجهزة جيدًا للنجاح في الهجمات الإلكترونية. أعني أنهم يجلسون على مخزونات من مآثر يوم الصفر ، ولديهم الكثير من المال ، والكثير من الموارد.

اشرح فكرة الجلوس على تلك المخزونات ذات الأيام الصفرية. لأن هذا شيء خارج نطاق الأمان ، لا أعتقد أن الشخص العادي يفهم حقًا.

لذلك يعد استغلال يوم الصفر بفعالية نقطة ضعف في نظام تشغيل رئيسي ربما لا أحد يعرفه سوى تلك المنظمة. لقد وجدوا ذلك ، إنهم يجلسون عليه ، ويستخدمونه لصالحهم. بالنظر إلى مقدار الأموال التي يودعونها في البحث والتطوير ، وبالنظر إلى مقدار الأموال التي يدفعونها لمواردهم ، فإن لديهم القدرة على العثور على هذه الأشياء التي لا يمكن لأي شخص آخر العثور عليها. هذا سبب كبير لنجاحهم في ما يقومون به.

عادةً ما يقومون بذلك بغرض الحصول على معلومات استخبارية ومساعدة صناع القرار لدينا على اتخاذ قرارات سياسية أفضل. نشهد تحولًا على مدار العامين الماضيين حيث تستغل عصابات الجريمة بعض أدوات التسرب هذه لصالحها. إذا نظرت إلى تسرب Shadow Brokers كمثال أولي على ذلك ، فسيصبح الأمر مخيفًا للغاية. بينما يقوم البائعون بترميم أنظمتهم ، لا تستفيد الشركات والشركات في الواقع من تلك التصحيحات مما يجعلها عرضة للهجمات وتمكين الأشرار من اقتحام مؤسساتهم وطرح فدية ، على سبيل المثال ، لمحاولة الحصول على المال منها.

أثرت إصابة WannaCry على عدد هائل من الأنظمة ، ولكن ليس على أنظمة Windows 10. لقد كان استغلالًا تم ترقيته إذا قام الناس بتنزيله وتثبيته ، لكن ملايين الأشخاص لم يفعلوا ذلك وفتحوا الباب.

هذا صحيح تماما. إدارة التصحيح أمر صعب حقًا بالنسبة للغالبية العظمى من المنظمات. ليس لديهم مؤشر على الإصدارات التي يتم تشغيلها ، والمربعات التي تم تصحيحها وتلك التي لم تقم بتصحيحها ، وهذا أحد الأسباب التي أوجدناها في إنشاء نموذج أعمالنا بالكامل - الحصول على مزيد من الانتباه حول هذه المشكلة ، والاستباقية في الكشف عن الأنظمة التي لم يتم تصحيحها وإخبار عملائنا: "مهلا ، من الأفضل إصلاح هذه الأشياء أو ستكون الاختراق الكبير التالي أو الهجمات مثل WannaCry ستكون ناجحة ضد مؤسساتك." والعملاء الذين يستخدمون خدماتنا بشكل مستمر ، فقد كانت هذه حالة استخدام ناجحة لنا حقًا.

هل تبيع خدماتك للاختبار على المدى القصير؟ أو يمكن أن تكون مستمرة كذلك؟

لقد كان اختبار الاختراق التقليدي نوعًا من الاشتباك في الوقت المناسب ، أليس كذلك؟ أنت تقول أن تأتي لمدة أسبوع أو أسبوعين ، أعطني تقريراً ، ثم سنراك بعد عام عندما ننتظر تدقيقنا التالي. نحن نحاول تحويل العملاء إلى عقلية مفادها أن البنية التحتية ديناميكية للغاية ، فأنت تقوم بدفع تغييرات الكود إلى تطبيقاتك في كل وقت ، ويمكن أن تقدم ثغرات جديدة في أي وقت. لماذا لا تنظر إلى هذه الأشياء من منظور الأمان بشكل مستمر بنفس الطريقة التي تتعامل بها مع دورة حياة التطوير الخاصة بك؟

والبرامج كخدمة نموذج رائع. الخدمة كخدمة هي أيضًا نموذج رائع.

صحيح. لدينا مكونات برمجية كبيرة تجلس في الجزء الخلفي من هذا كله ، لذلك لدينا منصة كاملة لا تسهل التفاعل بين باحثينا وعملائنا فحسب ، ولكننا نعمل أيضًا على بناء الأتمتة ليقول "يا ، من أجل جعل الباحثون لدينا أكثر كفاءة وفعالية في وظائفهم ، دعونا أتمتة الأشياء التي لا نريدهم لقضاء بعض الوقت عليها. " حق؟ جميع الثمار المنخفضة المعلقة ، مما يمنحهم سياقًا أكبر للبيئة المحيطة بهم ، ونجد أن إقران الرجل والآلة يعمل بشكل جيد للغاية وهو قوي جدًا في مجال الأمن السيبراني.

لقد عدت للتو من Black Hat منذ وقت ليس ببعيد ، حيث رأيت الكثير من الأشياء المخيفة ، كنت أتخيل. هل كان هناك أي شيء فاجأك؟

كما تعلمون ، كان هناك تركيز كبير في Defcon على أنظمة التصويت ، وأعتقد أننا رأينا جميعًا الكثير من الصحافة حول ذلك. أعتقد أن مجرد رؤية مدى سرعة تمكن المتسللين من السيطرة على أحد أنظمة التصويت هذه بالنظر إلى إمكانية الوصول المادي أمر مخيف للغاية. هذا يجعلك حقا السؤال نتائج الانتخابات السابقة. نظرًا لعدم وجود مجموعة كبيرة من الأنظمة التي بها مسارات ورقية ، أعتقد أن هذا اقتراح مخيف للغاية.

ولكن بعد ذلك ، كان هناك تركيز كبير على البنية التحتية الحيوية. كان هناك حديث واحد ركز على اختراق أنظمة الإشعاع التي تكشف الإشعاع في محطات الطاقة النووية ، ومدى سهولة اقتحام تلك الأنظمة. أعني أن الأشياء مخيفة إلى حد ما ، وأعتقد اعتقادا راسخا أن البنية التحتية الحيوية لدينا في مكان سيء للغاية. أعتقد أن معظمها يتعرض للخطر فعليًا اليوم ، وهناك عدد من عمليات الزرع التي تجلس في جميع أنحاء البنية التحتية الحيوية لدينا فقط في انتظار أن يتم الاستفادة منها في حالة خوضنا حربًا مع دولة قومية أخرى.

لذلك عندما تقول "البنية التحتية الحيوية لدينا معرضة للخطر اليوم" ، هل تعني أن هناك كودًا يجلس في المصانع الكهربائية أو في محطات توليد الطاقة النووية أو مزارع طواحين الهواء التي وضعت هناك من قبل قوى أجنبية يمكن تفعيلها في أي وقت؟

نعم. هذا صحيح تماما. ليس لدي أي شيء بالضرورة لدعم ذلك فوق، ولكن فقط بالنظر إلى معرفتي بحالة الأمن السيبراني داخل منظمات البنية التحتية الحيوية هذه ، ليس لدي شك في أن هناك نسبة كبيرة للغاية هي للخطر اليوم ، ووضعنا في موقف مخيف جدا في المستقبل.

هل يمكن أن نشعر بالراحة في حقيقة أننا ربما يكون لدينا نفوذ مماثل على خصومنا ولدينا رمز في البنية التحتية الحيوية الخاصة بهم وكذلك على الأقل ربما هناك تدمير مؤكد متبادل يمكننا الاعتماد عليه؟

أفترض أننا نفعل أشياء متشابهة للغاية.

حسنا. أفترض أنك لا تستطيع أن تقول كل ما قد تعرفه ، لكنني أشعر بالارتياح لأن الحرب قد شنت على الأقل. من الواضح أننا لا نريد أن يتصاعد هذا بأي شكل أو شكل ، لكننا على الأقل نقاتل على الجانبين ، وربما ينبغي أن نركز أكثر على الدفاع.

صحيح. أعني ، يجب علينا بالتأكيد التركيز أكثر على الدفاع ، لكن قدراتنا الهجومية لا تقل أهمية. كما تعلمون ، أن تكون قادرًا على فهم كيف يهاجمنا أعداؤنا وما قدراتهم يتطلب نهج هجومي ، وهذا هو السبب وراء قيام وكالة الأمن القومي بما تفعله ، ولمنظمات الاستخبارات الأخرى قدرات مماثلة.

لذلك ، أردت أن أسألك عن موضوع كان في الأخبار في الاخير شهرين ، وهذا هو دور شركات التكنولوجيا الأجنبية. إن تقنيتهم ​​مضمنة في بنيتنا التحتية ، وفي شركاتنا ، وفي وكالاتنا الحكومية ، وبعد ذلك كل ستة أشهر أو نحو ذلك ، هناك قصة تقول "أوه ، لا ينبغي أن نثق في البنية التحتية للاتصالات لشركة Huawei." مؤخرا كانت هناك قصة تدور حول أنه ربما يجب علينا أن ننظر إلى برنامج أمان Kaspersky Labs لأنهم عملوا مع خدمات الأمن الروسية. ما رأيك في هذه الأنواع من العلاقات؟ هل هذه شركات مستقلة ، أم أنها أسلحة للدول التي تعمل منها؟

من الصعب معرفة ذلك؟ وأعتقد أنه بالنظر إلى حقيقة أنه يتعين علينا التشكيك في العلاقات مع هذه المنظمات ، علينا أن نكون حذرين بشأن النشر ، وخاصة الانتشار الواسع النطاق. شيء على نطاق واسع مثل حل مكافحة الفيروسات مثل كاسبرسكي على جميع أنظمتنا ، والحكومة حريصة ، وبالنظر إلى أن لدينا حلول ، حلول محلية ، بنفس الطريقة التي نحاول بها بناء رؤوسنا النووية ، وأنظمة الدفاع الصاروخي لدينا في الولايات المتحدة ، يجب أن نستفيد من الحلول التي يتم بناؤها في الولايات المتحدة من منظور الأمن السيبراني. أعتقد أن هذا ما يحاولون القيام به في النهاية.

ما رأيك هو الشيء الأول الذي يخطئ معظم المستهلكين من منظور الأمان؟

على مستوى المستهلك ، إنه بسيط للغاية ، أليس كذلك؟ أعتقد أن معظم الناس لا يمارسون النظافة الأمنية. كلمات مرور الدراجات ، باستخدام كلمات مرور مختلفة على مواقع ويب مختلفة ، باستخدام أدوات إدارة كلمة المرور ، مصادقة ثنائية العامل. لا أستطيع أن أخبركم كم من الناس اليوم لا يستخدمونها ، ويفاجئني أن الخدمات التي يستخدمها المستهلكون لا تفرض عليهم فقط. أعتقد أن بعض البنوك بدأت تفعل ذلك ، وهو أمر رائع أن نرى ، ولكن لا تزال ترى حسابات وسائل التواصل الاجتماعي تتعرض للخطر لأن الناس ليس لديهم عاملين في ذلك هو مجرد نوع من الجنون في عيني.

لذلك ، إلى أن نتجاوز النظافة الأمنية الأساسية ، لا أعتقد أننا يمكن أن نبدأ في الحديث عن بعض التقنيات الأكثر تقدماً لحماية أنفسهم.

أخبرني قليلاً عن ممارساتك الأمنية الشخصية؟ هل تستخدم مدير كلمة السر؟

بالتاكيد. بالتاكيد. أنا أستعمل OnePassword ، وبالتالي في الأساس يحتوي كل موقع ويب واحد أقوم بزيارته والحساب الذي أقوم بإنشائه على كلمة مرور مختلفة ، دائمًا لا تقل عن 16 حرفًا أقوم بتغيير كلمات المرور هذه بانتظام ويتم إنشاؤها جميعًا تلقائيًا. أستخدم شبكات VPN على شبكات غير محمية. شركتنا لديها حل VPN ، لذلك في اي وقت أنا على شبكة لاسلكية لا أخشى استخدام الشبكة اللاسلكية طالما كانت تلك الاتصالات تمر عبر نفق آمن.

قد تؤدي خدمات VPN إلى إبطاء اتصالك قليلاً ، لكن من السهل نسبيًا إعدادها ويمكنك الحصول على واحدة مقابل دولارين في الشهر.

إنها سهلة الإعداد للغاية وتريد الذهاب مع مزود ذو سمعة جيدة لأنك ترسل حركة مرور عبر هذا المزود. أنت فقط تريد التأكد من أن لديهم سمعة جيدة ويمكنك الوثوق بهم مع حركة المرور الخاصة بك.

في الوقت نفسه ، مجرد القيام بأشياء بسيطة مثل تحديث نظامي ، في أي وقت يوجد تحديث على هاتفي المحمول جهاز، أو جهاز الكمبيوتر الخاص بي أنا الاستفادة منه. أعني أن هناك سببًا وراء دفعهم لهذا التحديث إلى هناك ، لذا فهو في الحقيقة مجرد أساسيات. و ثم بالطبع أنت تراقب تقارير الائتمان الخاصة بك ، وبطاقات الائتمان الخاصة بك ، وأي علامات على وجود نشاط مشبوه تقوم بالتحري عنه.

انها ليست مجنونة. في الحقيقة ليس من الصعب الحفاظ على أمانك كمستهلك. ليس عليك استخدام تقنيات أو حلول متقدمة للغاية موجودة. مجرد التفكير في المنطق السليم.

أعتقد أن عاملين هو نظام يربك الكثير من الناس ويرهب الكثير من الناس. يعتقدون أنه سيتعين عليهم التحقق من هواتفهم في كل مرة يقومون فيها بتسجيل الدخول إلى حساب بريدهم الإلكتروني ، وهذا ليس هو الحال. ما عليك سوى القيام بذلك مرة واحدة ، فأنت تخوّل ذلك الكمبيوتر المحمول ، وبذلك لا يمكن لشخص آخر تسجيل الدخول إلى حسابك من أي كمبيوتر محمول آخر ، وهو ضمان كبير.

إطلاقا. نعم ، لسبب ما يخيف الكثير من الناس. يتم إعداد بعضها حيث قد تضطر إلى القيام بذلك كل 30 يومًا أو نحو ذلك ، ولكن ما يزال إنه ليس مرهقًا كما قد يبدو وأنه ميزة أمنية ضخمة يجب تنفيذها. بالتأكيد أود أن أوصي بوضع عاملين في المكان.

لم تكن في هذه الصناعة منذ فترة طويلة ، ولكن يمكنك مشاركة كيف رأيت المشهد يتغيرون منذ أن بدأت؟ كيف تهديدات الإنترنت لها تطورت في ذلك الوقت؟

لقد كنت في الواقع في مجال الأمن السيبراني وأهتم به حقًا لمدة 15 عامًا. منذ أن كان عمري 13 عامًا وأديرت شركة مشتركة لاستضافة المواقع. كان هناك تركيز كبير على حماية مواقع عملائنا ، وإدارة الخادم ، والتأكد من إغلاق هذه الخوادم. تنظر في كيفية تقدم المعرفة إلى جانب المهاجم. أعتقد أن الأمن صناعة ناشئة بحد ذاتها ، فهي تتطور باستمرار ، وهناك دائمًا مجموعة كبيرة من الحلول والتقنيات المبتكرة الجديدة. أعتقد أنه من المثير رؤية الخطى السريعة للابتكار في هذا المجال. من المثير أن نرى الشركات تستفيد من المزيد من الحلول التي تميل إلى التدريج ، ونوع من الابتعاد عن أسماء defacto التي سمعناها جميعًا ، Symantecs و ال McAfees من العالم والتوجه نحو بعض الشركات الجديدة الموجودة هناك ، مع إدراك أن عليها أن تكون مبتكرة مع الطريقة التي تعامل بها مع الأمن السيبراني. وإذا لم يكن الأمر كذلك ، فإن المهاجمين سيكونون أمامهم خطوة واحدة.

اعتاد أن يكون في الغالب يتعلق بالفيروسات وستحتاج إلى تحديث تعريفاتك ، وستدفع لشركة لإدارة قاعدة البيانات هذه نيابةً عنك ، وطالما كان لديك أنك في مأمن من 90 في المئة من التهديدات. لكن التهديدات تطورت بسرعة أكبر اليوم. وهناك عنصر في العالم الحقيقي حيث يفضح الناس أنفسهم لأنهم يتعرضون لهجوم تصيد ، ويستجيبون ويسلمون أوراق اعتمادهم. هذه هي الطريقة التي يتم بها اختراق منظمتهم وهذه مسألة تربوية تقريبًا وليست مشكلة تكنولوجية.

أعتقد أن الغالبية العظمى من الهجمات الناجحة ليست متقدمة. القاسم المشترك الأقل لأمن أي منظمة هي الناس. إذا لم يكن الأشخاص متعلمين لعدم النقر فوق رسالة بريد إلكتروني عندما تبدو مشبوهة ، فانتهي اللعبة. الأمر سهل للغاية هذه الأيام ، وهناك الكثير من الشركات التي تحاول مهاجمة تلك المشكلة التي تركز بشكل خاص على التصيد الاحتيالي. بالإضافة إلى جميع الحلول الأخرى التي يطبقونها لمعالجة الثغرات الأمنية ، ومعالجة التهديدات السيبرانية ، ولكن يتعين علينا معالجة مشكلة الأشخاص أولاً لأننا الآن نجعلها سهلة للغاية.

أحب أن أرى بحثًا عن عدد التهديدات القائمة على البريد الإلكتروني فقط. فقط الآلاف والآلاف من رسائل البريد الإلكتروني الخروج والناس النقر على الأشياء. يقوم الأشخاص بإنشاء عملية وسلسلة من الأحداث التي تخرج عن نطاق السيطرة. لكن ذلك يأتي عبر البريد الإلكتروني لأن البريد الإلكتروني سهل الاستخدام وشائع الاستخدام ويستهان به الناس.

لقد بدأنا نرى الآن أنه ينتقل من مجرد الهجمات القائمة على البريد الإلكتروني إلى هجمات التصيد الاجتماعي وهجمات التصيد العشوائي. الأمر المخيف في ذلك هو وجود ثقة متأصلة في وسائل التواصل الاجتماعي. إذا رأيت رابطًا قادمًا من صديق صديق، أو حتى حساب صديق للخطر ، ستكون على الأرجح أكثر عرضة للنقر فوق ذلك حلقة الوصل، أو تنزيل ملف وهذا أمر مخيف. لديك أيضا القدرة على الوصول إلى جمهور أوسع بكثير ، أليس كذلك؟ أنت لا ترسل رسائل بريد إلكتروني إلى الأشخاص ، يمكنك الآن نشر تغريدة تحتوي على رابط يصل تلقائيًا الآن إلى عشرات الآلاف ، وملايين الأشخاص حسب الحساب الذي تجلس عليه. هذا هو السبب في أن هذه الحسابات تزداد وطأة في الطبيعة وتؤثر على عدد أكبر من الناس أكثر من أي وقت مضى.

اسمحوا لي أن أسألك عن أمن المحمول. أخبرنا الأشخاص في الأيام الأولى ما إذا كان لديك جهاز يعمل بنظام iOS ، وربما لا تحتاج إلى برنامج مكافحة فيروسات ، وإذا كان لديك جهاز يعمل بنظام Android ، فربما تريد تثبيته. هل تقدمنا ​​إلى نقطة نحتاج فيها إلى برنامج أمان على كل هاتف؟

أعتقد أننا يجب أن نثق حقًا بالأمان الذي يتم خبزه في الأجهزة نفسها. بالنظر إلى كيفية قيام Apple ، على سبيل المثال ، بتصميم نظام التشغيل الخاص بها بحيث يكون كل شيء محميًا بشكل جيد ، أليس كذلك؟ لا يمكن للتطبيق القيام بكامله خارج حدود هذا التطبيق. تم تصميم Android بشكل مختلف بعض الشيء ، ولكن ما يتعين علينا إدراكه هو أنه عندما نعطي التطبيقات إمكانية الوصول إلى أشياء مثل موقعنا أو دفتر عناويننا أو أي بيانات أخرى موجودة على هذا الهاتف ، فإن ذلك سيخرج على الفور.. ويتم تحديثه باستمرار ، فكلما كنت تنقل موقعك ، سيتم إرسال نسخة احتياطية إلى السحابة لمن يملك هذا التطبيق. عليك أن تفكر حقًا في "هل أثق في هؤلاء الأشخاص بمعلوماتي؟ هل أثق في أمان هذه الشركة؟" لأنه في النهاية إذا كانوا يحتفظون بدفتر العناوين الخاص بك ، وبياناتك الحساسة ، إذا تعرض أي شخص للخطر ، فيمكنهم الآن الوصول إليه.

وانها الوصول الدائم.

صحيح.

يجب أن تفكر خارج الصندوق. لمجرد قيامك بتنزيل لعبة جديدة تبدو رائعة ، إذا طلبوا معلومات عن موقعك ومعلومات التقويم الخاصة بك ، وتمكنت من الوصول الكامل إلى الهاتف ، فأنت تثق بهم في الحصول على هذا الوصول إلى الأبد.

هذا صحيح تماما. أعتقد أنك بحاجة حقًا إلى التفكير في "لماذا يطلبون هذا؟ هل يحتاجون بالفعل إلى هذا؟" ومن المقبول أن نقول "رفض" ونرى ما سيحدث. ربما لن يؤثر ذلك على أي شيء ، ثم عليك حقًا أن تتساءل "حسنًا لماذا طلبوا ذلك حقًا؟"

هناك الآلاف من التطبيقات التي تم إنشاؤها فقط لجمع المعلومات الشخصية ، وهي توفر بعض القيمة فقط لتتمكن من تنزيلها ، لكن الغرض الحقيقي الوحيد هو جمع المعلومات عنك ومراقبة هاتفك.

إنها في الواقع مشكلة واسعة الانتشار حيث ترى هذه الكيانات الخبيثة تقوم بإنشاء تطبيقات تشبه التطبيقات الأخرى. ربما يتظاهر بأنه بنكك على الإنترنت عندما لا يكون كذلك. إنها في الواقع مجرد خداع لأوراق اعتمادك ، لذلك عليك أن تكون حذرًا. بوضوح هناك عملية اجتهاد يجب أن تمر بها هذه التطبيقات قبل نشرها في متجر التطبيقات ، ولكنها ليست مضمونة.

أريد أن أطرح عليك الأسئلة التي أطرحها على كل من يأتي في هذا العرض. هل هناك اتجاه تكنولوجي معين يقلقك أكثر من ذلك تحافظ أنت مستيقظ في الليل؟

فعلا كنا نتحدث عن الهاتف المحمول ، وأعتقد أن التبني السريع لمعاملات الهاتف المحمول والجميع إلى حد كبير يحدث على الهاتف المحمول مقابل متصفح الويب. الأمر المخيف بالنسبة لي هو الافتقار إلى الاجتهاد الأمني ​​الذي يحدث من منظور الشركة ، والأشخاص الذين يقومون بتطوير هذه التطبيقات. إنهم لا يفكرون في الأمان في هذه التطبيقات بنفس الطريقة التي يتعاملون بها مع شبكات الشركات وبيئات تطبيقات الويب الخاصة بهم ، وبالتالي هناك واجهات برمجة تطبيقات قابلة للهجمات. إنهم يخزنون كلمات المرور على الجهاز ، وغالبًا ما يتم تنفيذ التشفير بطريقة غير صحيحة. هذا أمر مخيف بالنسبة لي ، مع العلم أن عددًا متزايدًا من الأشخاص يتعاملون على هذه الأجهزة ، ولكن الشركات التي تطور هذه التطبيقات لا تفكر في الأمان بنفس الطريقة التي تعمل بها في كل شيء آخر. أعتقد أنه يتحسن ، لكننا لم نصل إلى هذا الحد بعد.

هل هناك تطبيق أو خدمة أو أداة ذكية تستخدمها كل يوم والتي تلهمك فقط ، مما يثير إعجابك؟

هذا سؤال جيد أنا معجب كبير بمجموعة أدوات Google. إنهم يتفاعلون حقًا ويعملون بشكل جيد للغاية ويتكاملون جيدًا معًا ، لذلك أنا مستخدم تطبيقات Google كبير. وهذا ليس فقط لأن Google مستثمر في شركتنا.

هناك القليل من جوجل في كل مكان.

هناك القليل من جوجل في كل مكان.

هناك شيء يمكن قوله لقضاء بعض الوقت ومنحهم الفضل في ما فعلوه. لقد أرادوا حقًا جعل معلومات العالم قابلة للبحث وقابلة للفهم ، وقد قاموا بعمل جيد جدًا في ذلك.

لقد حصلنا للتو على لوح أبيض جديد ، ولوح أبيض رقمي في مكتبنا - Jamboard - وهو أحد أروع الأجهزة التي رأيتها منذ فترة طويلة. فقط القدرة على استخدام لوحة بيضاء ، وحفظها وإعادتها احتياطيًا ، أو التفاعل والتفاعل مع شخص ما في جهة أخرى ، أو أي شخص على جهاز iPad. أعني أن هذا مدهش ، والحديث عن التعاون عن بعد يجعل الأمر أسهل بكثير.

من المثير رؤية هذا التقدم بالطريقة التي يمكننا من خلالها العمل سويًا. ليس من الضروري أن يكون لدينا أشخاص في موقع واحد فقط في مكتب واحد ، يمكننا تقديم أفكار قديمة سيئة وأعتقد أن هذا أمر رائع حقًا.

إنه منتج رائع جدًا. لقد اختبرناها في المختبر وواجهنا بعض المشاكل مع بعض البرامج ، لكنها كانت كذلك أول توليد. لقد خرجت للتو منذ شهرين ، وستكون على الإطلاق الطريقة التي يتواصل بها الأشخاص في قاعات المؤتمرات لسنوات قادمة.

أتفق تماما.

إنها تحتاج فقط إلى اثنين من تحديثات البرامج لجعلها أسهل قليلاً.

انها عربات التي تجرها الدواب قليلا ، لكنها لا تزال مذهلة.

كيف يمكن للناس اللحاق بك ومتابعتك عبر الإنترنت وتتبع ما تفعله؟

نعم ، أنا على تويتر @ JayKaplan. تعد مدونتنا على Synack.com/blog مكانًا رائعًا لك لتستمع إلى آخر أخبار أخبار الأمن السيبراني وما نفعله كشركة ولدي بعض المنشورات هناك كل فترة. أنا أيضًا على LinkedIn ، ونشرها هناك كثيرًا. أحاول أن أبقى نشيطًا على وسائل التواصل الاجتماعي قدر استطاعتي. أنا لست الأفضل.

ياخذ الكثير من الوقت.

في ذلك ، لكنني أحاول.

لديك وظيفة للقيام بها كذلك.

بالضبط.