家 Appscout Synack的Jay Kaplan拥有一名白帽黑客部队

Synack的Jay Kaplan拥有一名白帽黑客部队

2024

这些天，您几乎可以众包所有资源，包括安全性。

在本期《快进》中，我与杰伊·卡普兰（Jay Kaplan）首席执行官和Synack的联合创始人。在创建Synack之前，Jay曾在国防部担任多个与网络安全相关的职位，并在美国国家安全局（National Security Administration）担任高级计算机网络利用和漏洞分析师。

在Synack，他构建了一个自动威胁检测系统，并创建了一个由全球数百名安全研究人员组成的网络，以将渗透测试提高到一个新的水平。在旧金山最近的一次讨论中，我们谈到了网络安全的状态，白帽黑客以及他亲自采取的确保其在线安全的步骤。阅读成绩单或观看下面的视频。

在您所有的头衔中，CEO和联合创始人可能会给人留下深刻的印象，但令我印象深刻的是，作为国防部的一个红色团队的成员。我了解您可能无法告诉我们所有人的细节，但这到底意味着什么？

作为任何红色团队的成员组织您有责任像攻击者一样行事，就像我们每天都在努力防御的对手一样。因此，我在国防部的工作非常专注于红色团队国防部系统。无论是在现场部署的军事系统，网络，设备，无论可能是什么，我们都想确保它们是安全的，并且不会受到实际破坏的影响。

您将其与我在国家安全局（NSA）的工作相结合，而我不是在为防御目的而进攻，而是在攻击出于进攻目的。您将这两个职位结合在一起，确实可以帮助我们将Synack背后的整个概念和当今的商业模式正式化。

在我看来，您采用了相同的方法，并将其带入了私营部门，我想您正在雇用大量的黑客和众包网络安全。和我们谈谈它是如何工作的。

我们采用的方法更多是由黑客提供的方法。我们的工作是利用遍布50多个不同国家的顶级白帽安全研究人员的全球网络，我们以结果为基础有效地向他们付款，以发现我们企业客户中的安全漏洞，现在我们正在与政府进行大量工作也一样

这里的总体目标是让更多的人关注这个问题。我的意思是让一个或两个人查看系统，网络，应用程序，并试图摆脱该应用程序的漏洞是一回事。再说一遍大概100、200个人看在这台IT设备上，或在可能有的设备上，尝试找出漏洞所在，并在成功时向您付款。这是一个非常大的范式转换，并且在实践中效果非常好。

谁是典型的客户？就像Microsoft所说的那样：“我们正在启动一个新的Azure平台，来尝试戳破我们的系统吗？”

它可以在任何地方，从像Microsoft这样的大型技术公司到想要测试其在线和移动应用程序，银行应用程序的大型银行。也可能是联邦政府。我们正在与国防部和国税局合作，以锁定您提交纳税人信息的位置，或者从国防部的角度锁定工资系统和其他包含非常敏感数据的系统。重要的是，不要让这些事情妥协，因为我们过去都看到过，这可能非常非常有害。他们最终将采用一种更先进的方法来解决问题，从而摆脱我们过去看到的更为商品化的解决方案。

你如何找到人？我想您不只是将其张贴在留言板上，然后说：“嘿，将精力投入到此事上，然后，如果您发现某些问题，请告诉我们，我们将向您付款。”

在早期的天我们显然非常充分地利用了我们的网络。我们带来了我们认识的人，并且有机地成长了，我们开始吸引全世界从事网络安全的人们，甚至是那些不一定要日复一日地进行网络安全的人们。我们的网络中有很多开发人员，大型技术公司中有工程师。我们做事的力量是为客户提供资源的多样性，获得他们传统上无法获得的人才的机会。

如果您查看一些统计数据，他们说到2021年，我们将拥有350万个开放的网络安全职位。我们正在努力解决巨大的供需矛盾和挑战。利用众包解决这个问题对我们非常有效，因为我们不必雇用他们。他们是自由职业者，实际上只是更多地关注这个问题可以带来更好的结果。

的课程该网络的准确性对我们的业务也至关重要。我们必须知道我们可以信任他们，因此我们必须对研究人员进行严格的背景调查和身份验证，甚至还要对他们的访问量进行审核，以确保他们遵守参与范围和规则，但很高兴看到一种参与众包模型的机制，但在让相关企业能够使用这种方法的过程中产生了大量控制权。

这些黑客可以和您一起赚更多的钱，而不是他们独自在Dark Web上赚到的钱吗？我的意思是，在这种模式下成为白帽子是否有利可图？

有一个普遍的误解，就是您在Dark Web中运作，并且您会自动成为这个有钱人。

您还会被扯很多。

您被骗了很多，但现实是我们与之合作的人员都是高度专业和道德的。他们正在为非常大的公司或其他安全咨询公司工作，其中有些人具有很多道德准则，他们不愿意非法行事。他们想采取行动，喜欢黑客，喜欢破坏事物，但是他们想在知道自己不会受到起诉的环境中这样做。

这是一个不错的加分。您认为主要威胁是什么 在 今天的安全？我们应该担心犯罪企业吗？民族国家演员？您认为大多数威胁来自何处？

真的很有趣如果您在几年前问过我这个问题，我想说的是，这些民族国家是能够成功进行网络攻击的装备最完善的组织。我的意思是，他们坐着零日漏洞的宝库，他们有很多钱，还有很多资源。

解释一下坐零天库存的想法。因为那是安全领域之外的事情，所以我认为普通人并不了解。

因此，零日漏洞利用实际上是一个主要操作系统中的一个漏洞，除了一个组织之外，其他人可能一无所知。他们找到了它，他们坐在上面，并且利用它来发挥自己的优势。考虑到他们投入了多少研发资金，以及付出了多少钱来支付资源，他们就有能力找到这些东西，而其他人找不到。这是他们在工作中如此成功的重要原因。

通常，他们这样做是为了获得情报并帮助我们的决策者做出更好的政策决策。在过去的几年中，我们看到了一个转变，犯罪集团正在利用其中的一些泄漏工具来谋取利益。如果您将影子经纪人泄漏视为一个典型的例子，那么那里的情况就变得非常恐怖。在供应商修补系统的过程中，那里的企业和公司实际上并未利用这些修补程序的优势，从而使他们容易受到攻击，并使坏人能够侵入其组织并发布勒索软件，例如，试图获取勒索软件。从他们身上赚钱。

WannaCry感染影响了许多系统，但没有影响Windows 10系统。如果人们下载并安装了此漏洞，则已经进行了修补，但是数百万人没有下载并打开了大门。

没错对于绝大多数组织来说，补丁管理仍然是一件非常困难的事情。他们不了解正在运行的版本，未打补丁的框以及未打补丁的框，这是我们创建整个业务模型的原因之一-更加关注此问题，积极主动地发现未打补丁的系统，并告诉我们的客户：“嘿，您可以更好地解决这些问题，否则您将成为下一个重大漏洞，或者像WannaCry这样的攻击将对您的组织成功。” 正是客户不断使用我们的服务，这对我们来说是一个非常成功的用例。

您是否出售服务以进行短期测试？还是可以继续进行？

传统上，渗透测试一直是参与的时间点类型，对吗？您说进来一周两个星期，给我一份报告，然后一年以后，当我们准备进行下一次审核时，我们会再见。我们正在努力使客户转向基础架构高度动态的心态，您一直在向应用程序推送代码更改，您随时可能引入新的漏洞。为什么不以与开发生命周期相同的方式从安全角度连续地研究这些内容？

软件即服务是一个很好的模型。服务即服务也是一个很好的模型。

那就对了。我们确实有大量的软件组件位于其背面，因此我们有一个完整的平台，不仅可以促进研究人员和客户之间的互动，而且还可以构建自动化系统，说“嘿，为了我们的研究人员在工作中会越来越有效率，让我们自动化我们不想让他们花时间的事情。” 对？所有低调的成果，为他们提供了所要进入的环境的更多环境，我们发现人机配对非常有效，并且在网络安全领域非常强大。

您不久前刚从黑帽回来，我想您会在这里看到很多令人恐惧的东西。有什么让您感到惊讶的吗？

您知道，Defcon着重于投票系统，我想我们都看到了很多关于此的新闻。我认为，鉴于物理访问权限，仅看到黑客能够以多快的速度控制这些投票系统之一，这简直令人恐惧。它确实使您对以前的选举结果提出质疑。看到并没有很多具有纸张记录功能的系统，我认为这是一个非常可怕的主张。

但是除此之外，人们还非常关注关键基础架构。有一个演讲的重点是从根本上破解用于检查核电站辐射的辐射系统，以及侵入这些系统有多容易。我的意思是，这些东西非常可怕，我坚信我们关键的基础设施处境非常糟糕。我认为今天大多数威胁实际上已经受到损害，并且在我们与另一个民族国家交战的情况下，我们的关键基础设施中遍布着许多植入物，它们正等待被利用。

因此，当您说“今天我们的关键基础设施已经遭到破坏”时，您的意思是说，有代码存在于电力工厂，核电站，风车场中，这些代码可以随时随地被外国电力激活吗？

是。没错我没有什么要支持的上，但是，仅凭我对这些关键基础架构组织中网络安全状况的了解，我无疑会发现是今天的妥协使我们在未来处于非常恐怖的境地。

我们是否可以对对手具有类似的影响力，并在其关键基础架构中使用我们的代码，是否可以放心？至少我们可以依靠相互保证的销毁能力？

我认为我们所做的事情非常相似。

好的。我假设您无法说出您可能知道的所有内容，但至少在这场战争正在进行中，我感到安慰。我们显然不希望这种情况以任何形式或形式升级，但至少我们在双方都在战斗，我们可能应该更多地专注于防御。

那就对了。我的意思是，我们绝对应该更加专注于防御，但是我们的进攻能力同样重要。您知道，能够了解我们的对手如何攻击我们以及他们的能力需要一种进攻方法，这就是为什么国家安全局会做自己的事，而其他情报组织也具有类似的能力。

所以，我想问你一个关于新闻中的话题 持续几个月，这就是外国技术公司的角色。他们的技术被嵌入到我们的基础架构，公司，政府机构中，然后每六个月左右就有一个故事说：“哦，我们不应该信任华为电信基础架构。” 最近发生了一个故事，也许我们应该看看卡巴斯基实验室的安全软件，因为它们已经与俄罗斯安全服务局合作了。您对这些类型的关系有何看法？这些是独立公司，还是它们所经营的州的分支机构？

所以，很难知道吧？而且我认为，鉴于我们必须质疑与这些组织的关系这一事实，我们仅需谨慎对待部署，尤其是广泛部署。像卡巴斯基这样的防病毒解决方案在我们的所有系统中广泛使用，政府非常谨慎，并且鉴于我们拥有解决方案，自主开发的解决方案，就像我们尝试在核武器中建造核弹头和导弹防御系统一样在美国，我们应该从网络安全的角度利用美国正在构建的解决方案。我认为这就是他们最终想要做的。

从安全角度来看，您认为大多数消费者做错的第一件事是什么？

在消费者层面，这是非常基本的，对吧？我认为大多数人都没有采取安全卫生措施。循环密码，在不同的网站上使用不同的密码，使用密码管理工具以及两因素身份验证。我无法告诉您今天有多少人只是不使用它，而令我感到惊讶的是，消费者使用的服务并不只是将其强加给他们。我认为有些银行已经开始这样做了，这真是太好了，但我仍然看到社交媒体帐户受到损害，因为人们没有双重因素，这在我眼中简直是疯了。

因此，除非我们通过基本的安全防护，否则我认为我们无法开始谈论一些保护自己的更先进的技术。

那么，请告诉我一些关于您的个人安全做法？您是否使用密码管理器？

当然。当然。我用密码，所以基本上我访问的每个网站和我创建的帐户都使用不同的密码，密码始终至少16个字符。我会定期更改这些密码，并且它们都是自动生成的。我在不受保护的网络上使用VPN。我们公司有VPN解决方案，所以任何时候我在无线网络上，只要这些连接通过安全隧道，我就不怕使用无线网络。

VPN服务可能会稍微减慢您的连接速度，但是它们设置起来相对容易，您每月只需花几美元就可以得到一个。

它们非常容易设置，并且您想与信誉良好的提供商一起使用，因为您正在发送流量通过该提供商。您只想确保它们具有良好的声誉，就可以通过流量来信任他们。

同时，只要做一些简单的事情，例如更新我的系统，只要我的手机上有更新设备，或我的电脑，我会利用它。我的意思是他们之所以将更新推送到这里是有原因的，所以实际上这只是基础。和那当然您正在监视自己的信用报告，信用卡以及您刚刚调查的任何可疑活动的迹象。

没那么疯狂。作为消费者，保持安全确实并不难。您不必使用非常先进的技术或解决方案。只要考虑常识。

我认为两因素制是一个使很多人感到困惑和恐吓很多人的系统。他们认为每次登录电子邮件帐户都必须在手机上进行结帐，事实并非如此。您只需要执行一次，就可以授权该笔记本电脑，否则其他人就无法从任何其他笔记本电脑登录您的帐户，这是一个巨大的保障。

绝对。是的，由于某种原因，它确实吓到了很多人。其中一些设置可能需要每30天左右执行一次，但是仍然它不像听起来那么麻烦，而且实现起来具有巨大的安全优势。我绝对会建议将两个因素放在适当的位置。

您从事该行业的时间不长，但是可以分享一下您对景观的看法 更改 自从你开始？怎么样 网络威胁 在那个时代进化了？

我实际上已经从事网络安全，并且对它感兴趣的时间可能长达15年。从我13岁起，我就经营着一家共享的网络托管公司。人们非常关注保护客户的网站和服务器管理，并确保这些服务器被锁定。您看一下知识如何发展到攻击者那一边。我认为安全性本身就是一个新兴产业，它在不断发展，并且总是有许多新的创新解决方案和技术。我认为看到这个领域的快速创新步伐令人兴奋。令人高兴的是，看到公司利用了更多的渐进式解决方案，而摆脱了我们都听说过的事实上的名称，赛门铁克和迈克菲认识到他们必须在如何处理网络安全方面进行创新，从而走向世界各地的新公司。如果不是这样，攻击者将比他们领先一步。

过去，这主要是关于病毒的，因此您需要更新定义，并且您需要付费给一家公司来管理该数据库，只要您确信自己几乎可以抵御90％的威胁。但是，如今威胁发展得更快。而且有一个真实的组成部分，人们会因为遭受网络钓鱼攻击而暴露自己，他们做出回应并移交凭据。这就是他们的组织渗透的方式，这几乎是教育问题，而不是技术问题。

我认为绝大多数成功的攻击都不那么先进。任何组织的安全性中最不常见的标准是人民。如果人们没有受过教育，不要在看起来可疑时不单击电子邮件，那么就结束比赛。如今这太容易了，许多公司都试图解决专门针对网络钓鱼的问题。除了所有其他解决方案之外，他们还解决了漏洞，解决了网络威胁，但是我们必须首先解决人员问题，因为现在我们只是太容易了。

我希望看到有关基于电子邮件的威胁数量的研究。只有成千上万的电子邮件发送出去，人们点击了东西。人们创建一个过程和一系列无法控制的事件。但是它是通过电子邮件发送的，因为电子邮件是如此的容易和无处不在，人们对此低估了。

现在，我们开始看到它已从基于电子邮件的攻击转变为社交网络钓鱼，鱼叉式网络钓鱼攻击。令人恐惧的是，社交媒体中固有一种信任。如果您看到来自某个朋友的链接朋友，甚至朋友的帐户被盗，您可能会更倾向于点击链接，或下载文件，这很可怕。您也有能力接触更广泛的受众，对吗？您无需向他人发送电子邮件，现在可以发布带有链接的推文，该推文现在会自动达到数万，数百万的人，具体取决于您所使用的帐户。这就是为什么这些帐户本质上变得越来越恐怖，并影响了比以往更多的人。

让我问您有关移动安全性的问题。早期，我们告诉人们，如果您有iOS设备，则可能不需要防病毒软件；如果您有Android设备，则可能要安装它。我们是否已发展到在每部手机上都需要安全软件的地步？

我认为我们必须真正信任设备本身所具有的安全性。举例来说，假设苹果公司是如何设计其操作系统的，那么所有内容都可以被沙盒化，对吧？在该应用程序的范围之外，应用程序不能做很多事情。 Android的设计略有不同，但是我们必须意识到的是，当我们为应用程序提供对位置，地址簿或手机上任何其他数据的访问权限时，立即可以使用。而且它会不断更新，因此在您移动位置时，会将位置发送回云端到拥有此应用程序的任何人。您必须真正考虑“我是否相信我的信息？我相信这家公司的安全吗？” 因为最终如果他们保存了您的地址簿和敏感数据，那么如果有人泄露了它们，他们现在就可以访问它。

这是永久的访问权限。

那就对了。

您必须跳出框框思考。仅仅因为您正在下载看起来很酷的新游戏，如果他们询问您的位置信息和日历信息，并且可以完全访问手机，就可以使他们永远拥有所有这些访问权限。

没错我认为您确实需要考虑“他们为什么要这个？他们真的需要这个吗？” 可以说“ Deny”，看看会发生什么。也许它什么都不会影响，然后您真的不得不怀疑“为什么他们真的要这么做？”

创建了成千上万个仅用于收集个人信息的应用程序，它们只是在其之上提供了一些价值以供您下载，但真正的唯一目的是收集有关您的信息并监控您的手机。

实际上，这是一个普遍存在的问题，您会看到这些恶意实体创建的应用看上去与其他应用类似。也许他们假装不是您的网上银行。他们实际上只是在骗取您的凭据，因此您真的必须要小心。明显在将这些应用发布到应用商店之前，必须经过一个认真的过程，但这并不是万无一失的。

我想问你一个问题，我问这个节目中的每个人。是否有最让您担心的特定技术趋势？ 保持 你晚上起床吗？

其实我们谈论的是移动设备，我认为移动设备的快速采用以及几乎每个人的交易都发生在移动设备上，而不是在Web浏览器中。从公司的角度来看，正在开发这些应用程序的人员缺乏安全性，这使我感到恐惧。他们没有像在公司网络和Web应用程序环境中那样考虑这些应用程序中的安全性，因此存在容易受到攻击的API。他们将密码存储在设备上，加密通常不正确地实现。知道越来越多的人正在使用这些设备进行事务处理，这让我感到恐惧，但是正在开发这些应用程序的公司并未像其他所有应用程序一样考虑安全性。我认为它会越来越好，但是我们还没有到那儿。

您每天使用的应用程序，服务或小工具是否会激发奇迹，给您留下深刻的印象？

这是个好问题。我是Google工具套件的忠实拥护者。他们之间的互动和协作非常出色，并且集成在一起非常好，所以我是Google Apps的大用户。不仅仅是因为Google是我们公司的投资者。

到处都有一些Google。

到处都有一个小小的Google。

可以花点时间说些什么，并称赞他们所做的事情。他们确实想使世界的信息变得可搜索和可理解，并且他们做得很好。

实际上，我们办公室里只有一个新的白板，数字白板-Jamboard，它是我很长时间以来见过的最酷的设备之一。只是可以将某些东西白板化，保存并备份，或者与另一端的人或iPad上的任何人进行交互和互动的功能。我的意思是，这真是太棒了，而远程谈论协作将使事情变得简单得多。

看到我们可以一起工作的方式取得进展，这是令人兴奋的。我们不必只将人们放在一个办公室的中央，我们可以带来坏主意，我认为那真的很酷。

这是非常非常酷的产品。我们在实验室中对其进行了测试，但在某些软件方面遇到了一些麻烦，但是 第一 代。它就像两个月前才问世，这绝对是未来几年人们在会议室中交流的方式。

完全同意。

它只需要进行几次软件更新即可使其变得更容易。

这是一个小车，但仍然很棒。

人们如何能跟上您的步伐，并在网上关注您，并跟踪您在做什么？