De Vlaamse gaai van Synack heeft een leger van hackers met witte hoeden

Je kunt tegenwoordig bijna alles crowdsourcen, inclusief beveiliging.

In deze aflevering van Fast Forward spreek ik met Jay Kaplan, de Directeur en mede-oprichter van Synack. Voordat hij Synack oprichtte, was Jay werkzaam in meerdere cybersecurity-gerelateerde functies bij het ministerie van Defensie en als Senior Computer Network Exploitation and Vulnerability Analyst bij de National Security Administration.

Bij Synack bouwde hij een geautomatiseerd bedreigingsdetectiesysteem en een gecreëerd netwerk van honderden beveiligingsonderzoekers over de hele wereld om penetratietests naar een hoger niveau te tillen. In een recente discussie uit San Francisco hebben we het gehad over de staat van cybersecurity, white hat hackers en de stappen die hij persoonlijk neemt om zijn veiligheid online te waarborgen. Lees het transcript of bekijk de video hieronder.

Van al je titels zijn CEO en mede-oprichter misschien heel indrukwekkend, maar het ding dat indruk op mij maakt, is werken als lid van een rood team bij het ministerie van Defensie. Ik begrijp dat u ons misschien niet allemaal kunt vertellen van de details, maar wat betekent dat precies?

Als lid van een rood team als onderdeel van een organisatie jij bent verantwoordelijk voor het optreden als een aanvaller, zoals de tegenstander waartegen we allemaal elke dag proberen te verdedigen. Mijn werk bij de DoD was dus erg gericht op rode DoD-systemen voor teams. Of het nu gaat om militaire systemen, netwerken, apparaten die in het veld worden ingezet, wat het ook is, we wilden ervoor zorgen dat ze veilig waren en niet gevoelig waren voor daadwerkelijke inbreuken.

Je koppelt dat aan mijn werk bij de NSA, waar ik in plaats van aan te vallen voor defensieve doeleinden, op de aanval voor aanstootgevende doeleinden. Je combineert die twee posities samen, het heeft ons echt geholpen om het hele concept achter Synack en het bedrijfsmodel dat we vandaag hebben te formaliseren.

Het lijkt mij dat u diezelfde aanpak hebt gekozen, het in de particuliere sector hebt gebracht, en u vermoedt dat u legioenen hackers en netwerkbeveiliging voor crowdsourcing gebruikt. Praat met ons een beetje over hoe dat werkt.

De aanpak die we volgen, is meer een door hackers aangedreven aanpak. Wat we doen is gebruik maken van een wereldwijd netwerk van toponderzoekers op het gebied van white hat-beveiliging in meer dan 50 verschillende landen en we betalen ze effectief op basis van resultaten om beveiligingskwetsbaarheden bij onze zakelijke klanten aan het licht te brengen, en nu doen we veel werk met de overheid ook.

Het hele doel hier is om meer zicht te krijgen op het probleem. Ik bedoel, het is één ding om een ​​of twee mensen naar een systeem, een netwerk, een applicatie te laten kijken en die applicatie van kwetsbaarheden te ontdoen. Het is een andere om te zeggen misschien 100, 200 mensen, iedereen kijken naar dit ene stuk IT-apparatuur, of wat het ook is, en probeer erachter te komen wat de kwetsbaarheden zijn en wanneer u succesvol bent u te betalen. Het is een heel grote paradigmaverschuiving en het werkt extreem goed in de praktijk.

Wie zou de typische klant zijn? Zou het zijn als een Microsoft die zegt: "We lanceren een nieuw Azure-platform, komen en proberen gaten in ons systeem te prikken?"

Het kan overal zijn, van een groot technologiebedrijf zoals Microsoft tot een grote bank waar ze hun online en mobiele applicaties, bankapplicaties willen testen. Het kan ook de federale overheid zijn; we werken samen met de DoD en de Internal Revenue Service om te vergrendelen waar u informatie over de belastingbetaler verzendt, of vanuit het perspectief van de DoD dingen zoals salarisadministratiesystemen en andere systemen die zeer gevoelige gegevens bevatten. Het is belangrijk dat deze dingen niet in gevaar worden gebracht, zoals we in het verleden allemaal hebben gezien, kan het heel, heel schadelijk zijn. Ze nemen eindelijk een meer progressieve aanpak om het probleem op te lossen en stappen weg van de meer gecodificeerde oplossingen die we in het verleden hebben gezien.

Hoe vind je mensen? Ik stel me voor dat je het niet gewoon op een prikbord plaatst en zegt: "Hé, richt je energieën hiernaar en als je iets vindt, laat het ons weten en wij betalen je."

In de vroege dagen we hebben ons netwerk uiteraard behoorlijk zwaar benut. We trokken mensen aan die we kenden, en dat groeide organisch en we begonnen mensen over de hele wereld aan te trekken die cybersecurity beoefenden, en zelfs degenen die niet noodzakelijkerwijs dag in dag uit cybersecurity doen. We hebben veel ontwikkelaars als onderdeel van ons netwerk, ingenieurs onderdeel van grote technologiebedrijven. De kracht van wat we doen is klanten de diversiteit van middelen bieden, toegang tot talent waar ze traditioneel geen toegang toe zouden hebben.

Als je naar enkele statistieken kijkt, zeggen ze dat we tegen 2021 3, 5 miljoen open cybersecurity-banen hebben. Er is een enorme loskoppeling van vraag en aanbod die we proberen op te lossen. Crowdsourcing gebruiken om dit probleem op te lossen heeft voor ons enorm goed gewerkt omdat we ze niet hoeven aan te nemen. Ze zijn freelance en krijgen gewoon meer aandacht voor dit probleem, wat leidt tot betere resultaten.

Van Cursus de betrouwbaarheid van dat netwerk is ook van het grootste belang voor ons bedrijf. We moeten weten dat we hen kunnen vertrouwen en daarom moeten we onze onderzoekers een strenge achtergrondcontrole en ID-verificatie doorstaan, en we voeren zelfs audits uit op hun verkeer om ervoor te zorgen dat ze zich houden aan de reikwijdte en de engagementsregels, maar het is echt opwindend om een ​​mechanisme te zien om deel te nemen aan een crowdsource-model, maar een heleboel controle te hebben om betrokken ondernemingen toegang te geven tot dit soort methodologie.

Kunnen deze hackers meer geld met je verdienen dan ze alleen op het Dark Web zouden kunnen verdienen? Ik bedoel, is het winstgevend om een ​​witte hoed in dit model te zijn?

Er is een veel voorkomende misvatting dat, weet je, je op het Dark Web werkt en je automatisch deze rijke persoon wordt.

Je wordt ook veel opgelicht.

Je wordt veel opgelicht, maar de realiteit is dat de mensen waarmee we werken zeer professioneel en ethisch zijn. Ze werken voor zeer grote bedrijven of andere beveiligingsadviesbureaus en er zijn mensen met veel ethiek dat ze dingen niet illegaal willen doen. Ze willen handelen, ze houden van hacken, ze houden ervan dingen te breken, maar ze willen het doen in een omgeving waarvan ze weten dat ze niet vervolgd worden.

Dat is een leuke plus. Wat zie je als de belangrijkste bedreigingen in beveiliging vandaag? Moeten we ons zorgen maken over criminele ondernemingen? Natiestaat acteurs? Waar zie je de meerderheid van de bedreigingen vandaan komen?

Het is erg interessant. Als je me een paar jaar geleden de vraag had gesteld, zou ik zeggen dat de natiestaten de best uitgeruste organisaties zijn om succesvol te zijn in cyberaanvallen. Ik bedoel, ze zitten op voorraden zero-day exploits, ze hebben veel geld en veel middelen.

Leg dat idee uit om op die voorraden van nul dagen te zitten. Omdat dat iets is dat buiten de beveiligingsruimte valt, denk ik niet dat de gemiddelde persoon het echt begrijpt.

Dus een zero-day exploit is effectief een kwetsbaarheid in misschien een groot besturingssysteem dat misschien niemand anders kent dan die ene organisatie. Ze vonden het, ze zitten erop en gebruiken het in hun voordeel. Gezien hoeveel geld ze steken in onderzoek en ontwikkeling en gezien hoeveel geld ze hun middelen betalen, kunnen ze deze dingen vinden waar niemand anders ze kan vinden. Dat is een grote reden waarom ze zo succesvol zijn in wat ze doen.

Meestal doen ze dit met het doel informatie te verkrijgen en onze besluitvormers te helpen betere beleidsbeslissingen te nemen. We zien de afgelopen jaren een verschuiving waarbij misdaadsyndicaten profiteren van enkele van deze lekinstrumenten voor hun voordeel. Als je het lek van Shadow Brokers als een goed voorbeeld daarvan ziet, wordt het behoorlijk eng. Terwijl leveranciers hun systemen patchen, profiteren de ondernemingen en bedrijven daar niet echt van die patches waardoor ze vatbaar zijn voor de aanvallen en de slechteriken in staat stellen in te breken in hun organisaties en bijvoorbeeld ransomware proberen te krijgen geld van hen.

De WannaCry-infectie heeft een enorm aantal systemen getroffen, maar geen Windows 10-systemen. Het was een exploit die was gepatcht als mensen hadden gedownload en geïnstalleerd, maar vele miljoenen mensen hadden dat niet gedaan en dat opende de deur.

Dat klopt precies. Patchbeheer is nog steeds heel moeilijk voor de overgrote meerderheid van organisaties. Ze hebben geen grip op welke versies actief zijn, en welke boxen zijn gepatcht en welke niet, en het is een van de redenen waarom we ons hele bedrijfsmodel hebben gecreëerd - meer inzicht krijgen in dit probleem, proactief zijn in het ontdekken de systemen die niet gepatcht zijn en onze klanten vertellen: "Hé, je kunt deze dingen beter oplossen of je gaat de volgende grote inbreuk of aanvallen worden zoals WannaCry succesvol zal zijn tegen je organisaties." En het zijn klanten die onze diensten continu gebruiken, dit is voor ons een zeer succesvolle use case geweest.

Verkoopt u uw diensten voor testen op korte termijn? Of kan dit ook aan de gang zijn?

Traditioneel is penetratietesten een bepaald soort betrokkenheid geweest, toch? U zegt, kom binnen voor een week, twee weken, geef me een rapport en dan zien we u een jaar later wanneer we klaar zijn voor onze volgende audit. We proberen klanten te verplaatsen naar de mentaliteit dat de infrastructuur zeer dynamisch is, je duwt de hele tijd codewijzigingen in je applicaties, je kunt op elk moment nieuwe kwetsbaarheden introduceren. Waarom bekijkt u dit soort zaken niet vanuit een beveiligingsperspectief continu op dezelfde manier als in uw ontwikkelingslevenscyclus?

En software als een service is een geweldig model. Service as a service is ook een geweldig model.

Dat klopt. We hebben hier grote softwarecomponenten achter, dus we hebben een heel platform dat niet alleen de interactie tussen onze onderzoekers en onze klanten mogelijk maakt, maar we bouwen ook automatisering in om te zeggen: "Hee, om onze onderzoekers efficiënter en effectiever in hun werk, laten we de dingen automatiseren waarvan we niet willen dat ze daar tijd aan besteden. " Rechtsaf? Al het laaghangende fruit, waardoor ze meer context krijgen van de omgeving waarin ze lopen, en we zien dat die combinatie van mens en machine buitengewoon goed werkt en zeer krachtig is in de cybersecurity-ruimte.

Je bent net niet zo lang geleden terug van Black Hat, waar je veel enge dingen zag, zou ik me kunnen voorstellen. Was er iets dat je verbaasde?

Weet je, er was bij Defcon veel aandacht voor stemsystemen, en ik denk dat we daar allemaal veel pers over hebben gezien. Ik denk dat het gewoon beangstigend is om te zien hoe snel hackers de controle over een van deze stemsystemen kunnen krijgen bij fysieke toegang. Het laat je echt eerdere verkiezingsresultaten in twijfel trekken. Gezien het feit dat er niet veel systemen zijn met papieren sporen, vind ik dat een behoorlijk enge propositie.

Maar verder was er veel aandacht voor kritieke infrastructuur. Er was één gesprek dat zich voornamelijk richtte op het hacken van de stralingssystemen die straling detecteren bij kerncentrales en hoe gemakkelijk het is om in die systemen in te breken. Ik bedoel dat dingen best eng zijn, en ik ben er vast van overtuigd dat onze kritieke infrastructuur op een behoorlijk slechte plek staat. Ik denk dat het meeste hiervan vandaag daadwerkelijk is aangetast en dat er een aantal implantaten overal in onze kritieke infrastructuur zitten te wachten om te worden gebruikt in het geval dat we oorlog voeren met een andere natiestaat.

Dus als u zegt: "Onze kritieke infrastructuur is vandaag gecompromitteerd", bedoelt u dat er code aanwezig is bij elektrische fabrieken, bij kerncentrales, windmolenparken die daar door buitenlandse mogendheden waren geplaatst die op elk moment konden worden geactiveerd?

Ja. Dat klopt precies. Ik heb niets per se om dat te ondersteunen up, maar net gezien mijn kennis van de staat van cybersecurity binnen deze kritieke infrastructuurorganisaties, twijfel ik er niet aan dat er een zeer groot percentage is dat zijn vandaag gecompromitteerd, waardoor we ons in de toekomst in een behoorlijk enge positie bevinden.

Kunnen we ons geruststellen dat we waarschijnlijk een vergelijkbare invloed hebben op onze tegenstanders en onze code ook in hun kritieke infrastructuur hebben, zodat er in elk geval misschien een wederzijds verzekerde vernietiging is waarop we kunnen vertrouwen?

Ik neem aan dat we dingen doen die erg op elkaar lijken.

Oke. Ik neem aan dat je niet alles kunt zeggen wat je misschien weet, maar ik troost me in elk geval dat de oorlog wordt gevoerd. We willen natuurlijk niet dat dit op enigerlei wijze escaleert, maar we vechten tenminste aan beide kanten en we moeten ons waarschijnlijk meer richten op verdediging.

Dat klopt. Ik bedoel, we moeten ons zeker meer richten op defensie, maar onze aanvalsmogelijkheden zijn net zo belangrijk. Weet je, in staat zijn te begrijpen hoe onze tegenstanders ons aanvallen en wat hun mogelijkheden zijn zijn vereist een aanstootgevende aanpak, en daarom doet de NSA wat ze doen en de andere inlichtingenorganisaties hebben vergelijkbare mogelijkheden.

Dus ik wilde je vragen stellen over een onderwerp dat in het nieuws is geweest laatste enkele maanden, en dat is de rol van buitenlandse technologiebedrijven. Hun technologie is ingebed in onze infrastructuur, in onze bedrijven, in onze overheidsinstellingen, en dan om de zes maanden is er een verhaal dat zegt: "Oh, we moeten de Huawei Telecommunications-infrastructuur niet vertrouwen." De laatste tijd er is een verhaal aan de gang dat we misschien naar de beveiligingssoftware van Kaspersky Lab moeten kijken omdat ze met de Russische beveiligingsdiensten hebben samengewerkt. Wat is uw mening over dat soort relaties? Zijn deze onafhankelijke bedrijven, of zijn zij wapens van de staten van waaruit zij opereren?

Dus, moeilijk om te weten toch? En ik denk dat we, gezien het feit dat we de banden met deze organisaties moeten betwijfelen, alleen maar voorzichtig moeten zijn met de inzet, met name de wijdverspreide inzet. Iets dat zo wijdverspreid is als een antivirusoplossing zoals Kaspersky op al onze systemen, de overheid is voorzichtig, en gezien het feit dat we oplossingen, oplossingen van eigen bodem hebben, op dezelfde manier waarop we onze nucleaire kernkoppen proberen te bouwen, en onze raketafweersystemen in de VS, we moeten gebruik maken van de oplossingen die in de VS worden gebouwd, sommige vanuit cybersecurityperspectief. Ik denk dat ze dat uiteindelijk proberen te doen.

Wat is volgens u het belangrijkste dat de meeste consumenten verkeerd doen vanuit een beveiligingsperspectief?

Op consumentenniveau is het gewoon heel basic, toch? Ik denk dat de meeste mensen geen veiligheidshygiëne toepassen. Cycluswachtwoorden, gebruik van verschillende wachtwoorden op verschillende websites, gebruik van hulpmiddelen voor wachtwoordbeheer, tweefactorauthenticaties. Ik kan je niet zeggen hoeveel mensen het tegenwoordig gewoon niet gebruiken, en het verbaast me dat de diensten die consumenten gebruiken hen niet alleen opdringen. Ik denk dat sommige banken dat beginnen te doen, wat geweldig is om te zien, maar nog steeds zien dat accounts op sociale media in gevaar worden gebracht omdat mensen geen two-factor hebben, is gewoon een beetje gek in mijn ogen.

Dus tot we voorbij de basisveiligheidshygiëne zijn, denk ik niet dat we kunnen beginnen met praten over enkele van de meer geavanceerde technieken om zichzelf te beschermen.

Vertel eens wat over uw persoonlijke beveiligingspraktijken? Gebruik je een wachtwoordbeheerder?

Natuurlijk. Natuurlijk. ik gebruik OnePassword dus eigenlijk elke website die ik bezoek en elk account dat ik maak, heeft een ander wachtwoord, altijd minimaal 16 tekens. Ik verander die wachtwoorden regelmatig en ze worden allemaal automatisch gegenereerd. Ik gebruik VPN's op onbeschermde netwerken. Ons bedrijf heeft een VPN-oplossing, dus elk moment Ik ben op een draadloos netwerk Ik ben niet bang om het draadloze netwerk te gebruiken zolang deze verbindingen door een beveiligde tunnel gaan.

VPN-services kunnen uw verbinding een beetje vertragen, maar ze zijn relatief eenvoudig in te stellen en u kunt er een krijgen voor een paar dollar per maand.

Ze zijn supereenvoudig in te stellen en u wilt met een gerenommeerde provider werken omdat u verkeer verzendt door die provider. U wilt er gewoon voor zorgen dat ze een goede reputatie hebben en u kunt ze vertrouwen met uw verkeer.

Tegelijkertijd, gewoon simpele dingen doen zoals mijn systeem updaten, elke keer als er een update op mijn mobiel is apparaat, of mijn computer profiteer ik ervan. Ik bedoel, er is een reden waarom ze die update naar buiten brengen, dus het zijn eigenlijk alleen de basisprincipes. En dan natuurlijk u controleert uw kredietrapporten en uw creditcards en alle tekenen van verdachte activiteiten die u zojuist onderzoekt.

Het is niet zo gek. Het is echt niet zo moeilijk om als consument veilig te blijven. U hoeft geen zeer geavanceerde technieken of oplossingen te gebruiken die er zijn. Denk maar aan gezond verstand.

Ik denk dat two-factor een systeem is dat veel mensen in verwarring brengt en veel mensen intimideert. Ze denken dat ze elke keer dat ze inloggen op hun e-mailaccount op hun telefoon moeten afvinken, en dat is niet het geval. Je hoeft het maar één keer te doen, je machtigt die laptop, en door dat te doen kan iemand anders niet op je account inloggen vanaf een andere laptop, wat een enorme beveiliging is.

Absoluut. Ja, om de een of andere reden maakt het veel mensen bang. Sommigen van hen zijn ingesteld waar u het misschien om de 30 dagen of zo moet doen, maar nog steeds het is niet zo omslachtig als het klinkt en het is een enorm beveiligingsvoordeel om te implementeren. Ik zou zeker aanraden om twee factoren in te voeren.

Je bent nog niet zo lang in deze branche, maar kun je vertellen hoe je het landschap hebt gezien? verandering sinds je begon? Hoe de cyberdreigingen hebben geëvolueerd in die tijd?

Ik ben eigenlijk al in cybersecurity en ben daar misschien al 15 jaar echt in geïnteresseerd. Sinds ik 13 jaar oud was en een gedeeld webhostingbedrijf runde. Er was veel aandacht voor het beschermen van de websites van onze klanten, en serverbeheer, en ervoor zorgen dat die servers waren vergrendeld. Je kijkt naar hoe de kennis is geëvolueerd naar de kant van de aanvaller. Ik denk dat beveiliging een op zichzelf staande industrie is, het is voortdurend in ontwikkeling en er is altijd een hoop nieuwe innovatieve oplossingen en technologie. Ik vind het spannend om het snelle tempo van innovatie in deze ruimte te zien. Het is spannend om te zien dat bedrijven profiteren van meer van de geleidelijk leunende oplossingen, een beetje afstappen van de defacto-namen waarvan we allemaal hebben gehoord, de Symantecs en de McAfees van de wereld en op weg naar enkele van de nieuwe bedrijven die er zijn, in het besef dat ze innovatief moeten zijn met hoe ze cybersecurity benaderen. En als ze dat niet zijn, zullen de aanvallers hen een stap voor blijven.

Vroeger ging het meestal om virussen en moest je je definities bijwerken, en je zou een bedrijf betalen om die database voor je te beheren, en zolang je dat had was je vrijwel veilig tegen 90 procent van de bedreigingen. Maar de bedreigingen evolueerden vandaag veel sneller. En er is een real-world component waar mensen zichzelf blootstellen omdat ze een phishing-aanval krijgen, ze reageren en hun referenties overdragen. Dat is hoe hun organisatie wordt gepenetreerd en dat is bijna meer een educatieve kwestie dan een technologische kwestie.

Ik denk dat de overgrote meerderheid van de aanvallen die succesvol zijn, niet zo geavanceerd is. De kleinste gemene deler van de beveiliging van een organisatie zijn de mensen. Als de mensen niet zijn opgeleid om niet op een e-mail te klikken wanneer deze er verdacht uitziet, speel dan over. Het is tegenwoordig gewoon te gemakkelijk en er zijn veel bedrijven die dat probleem proberen aan te pakken, specifiek gericht op phishing. Naast alle andere oplossingen die ze implementeren, pakken we kwetsbaarheden aan, pakken cyberdreigingen aan, maar we moeten eerst het mensenprobleem aanpakken, omdat we het nu gewoon te gemakkelijk maken.

Ik zou graag onderzoek willen zien over hoeveel bedreigingen alleen op e-mail zijn gebaseerd. Slechts duizenden en duizenden e-mails die uitgaan en mensen die op dingen klikken. Mensen die een proces en een reeks gebeurtenissen creëren die uit de hand lopen. Maar het komt via e-mail omdat e-mail zo gemakkelijk en alomtegenwoordig is en mensen het onderschatten.

We beginnen nu de overgang te zien van alleen e-mailgebaseerde aanvallen naar sociale phishing, spear-phishing-aanvallen. Wat eng is, is dat er een inherent vertrouwen is ingebakken in sociale media. Als je een link ziet komen van een vriend van een vriend, of zelfs het gecompromitteerde account van een vriend, zul je waarschijnlijk meer geneigd zijn om daarop te klikken koppeling, of een bestand downloaden en dat is eng. Je hebt ook de mogelijkheid om een ​​veel breder publiek te bereiken, toch? Je stuurt geen e-mails naar mensen, je kunt nu een tweet plaatsen met een link erin die nu automatisch tienduizenden, miljoenen mensen bereikt, afhankelijk van het account waar je op zit. Daarom worden deze accounts enger van aard en treffen ze meer mensen dan ooit tevoren.

Laat me je vragen stellen over mobiele beveiliging. Vroeger vertelden we mensen dat als je een iOS-apparaat hebt, je waarschijnlijk geen antivirus nodig hebt, als je een Android-apparaat hebt, wil je het misschien installeren. Zijn we zover dat we beveiligingssoftware op elke telefoon nodig hebben?

Ik denk dat we echt moeten vertrouwen op de beveiliging die in de apparaten zelf is ingebouwd. Gezien hoe Apple bijvoorbeeld zijn besturingssysteem zo heeft ontworpen dat alles behoorlijk in een sandbox zit, toch? Een applicatie kan niet veel doen buiten de grenzen van die applicatie. Android is een beetje anders ontworpen, maar we moeten ons realiseren dat wanneer we applicaties toegang geven tot dingen zoals onze locatie, ons adresboek of andere gegevens die op die telefoon staan, dat onmiddellijk de deur uit gaat. En het wordt voortdurend bijgewerkt, dus terwijl u uw locatie verplaatst, wordt deze teruggestuurd naar de cloud naar degene die deze applicatie bezit. Je moet echt nadenken over "Vertrouw ik deze mensen met mijn informatie? Vertrouw ik de veiligheid van dit bedrijf?" Omdat uiteindelijk als ze uw adresboek en uw gevoelige gegevens huisvesten, als iemand ze compromitteert, ze nu toegang hebben tot het.

En het is eeuwigdurende toegang.

Dat klopt.

Je moet buiten de kaders denken. Alleen omdat je een nieuwe game downloadt die er cool uitziet, als ze om je locatiegegevens en je agendagegevens vragen, en volledige toegang tot de telefoon, vertrouw je erop dat ze die toegang voor altijd hebben.

Dat klopt precies. Ik denk dat je echt moet nadenken over "Waarom vragen ze hierom? Hebben ze dit echt nodig?" En het is prima om "Weigeren" te zeggen en te zien wat er gebeurt. Misschien zal het niets beïnvloeden en dan moet je je echt afvragen: "Waarom hebben ze daar echt om gevraagd?"

Er zijn duizenden apps die alleen zijn gemaakt om persoonlijke informatie te verzamelen, ze bieden daarbovenop nog wat waarde om u te laten downloaden, maar het enige doel is om informatie over u te verzamelen en uw telefoon te controleren.

Het is eigenlijk een wijdverbreid probleem waarbij je deze kwaadaardige entiteiten ziet die apps maken die op andere apps lijken. Misschien doen ze zich voor als uw online bank terwijl ze dat niet zijn. Ze zijn eigenlijk alleen maar phishing voor uw gegevens, dus u moet echt voorzichtig zijn. Klaarblijkelijk er is een zorgvuldigheidsproces dat deze apps moeten doorlopen voordat ze worden gepubliceerd in de app store, maar het is niet waterdicht.

Ik wil je de vragen stellen die ik iedereen stel die op deze show komt. Is er een bepaalde technologische trend waar je je het meest zorgen over maakt? houdt ben je 's nachts wakker?

Werkelijk we hadden het over mobiel, en ik denk dat de snelle acceptatie van mobiel en vrijwel alle transacties die plaatsvinden op mobiel versus in een webbrowser. Wat ik eng vind, is het gebrek aan beveiligingsonderzoek dat zich voordoet vanuit een bedrijfsperspectief, de mensen die deze applicaties ontwikkelen. Ze denken niet over beveiliging in deze applicaties op dezelfde manier als voor hun bedrijfsnetwerken en hun webapplicatieomgevingen en daarom zijn er API's die vatbaar zijn voor aanvallen. Ze slaan wachtwoorden op het apparaat op, de cryptografie wordt vaak onjuist geïmplementeerd. Dat is eng voor mij, wetende dat meer en meer mensen transacties uitvoeren op deze apparaten, maar de bedrijven die deze apps ontwikkelen, denken niet over de beveiliging op dezelfde manier als al het andere. Ik denk dat het beter wordt, maar we zijn er nog niet.

Is er een app, of een service of een gadget die je elke dag gebruikt en die je gewoon verwondert, die indruk op je maakt?

Dat is een goede vraag. Ik ben een grote fan van het hulpprogramma van Google. Ze werken echt heel goed samen en werken buitengewoon goed en integreren goed samen, dus ik ben een grote gebruiker van Google-apps. en het is niet alleen omdat Google een investeerder is in ons bedrijf.

Er is overal een klein beetje Google.

Er is overal een beetje Google.

Er is iets te zeggen om even de tijd te nemen en hen de eer te geven voor wat ze hebben gedaan. Ze wilden echt de informatie van de wereld doorzoekbaar en begrijpelijk maken, en ze hebben dat behoorlijk goed gedaan.

We hebben eigenlijk net een nieuw whiteboard, digitaal whiteboard in ons kantoor - het Jamboard - en het is een van de coolste apparaten die ik in lange tijd heb gezien. Alleen de mogelijkheid om iets te whiteboarden, te redden en weer terug te brengen, of te communiceren met iemand aan een ander uiteinde of iemand op een iPad. Ik bedoel, dat is gewoon geweldig, en praten over samenwerking op afstand maakt het gewoon veel gemakkelijker.

Het is opwindend om die vooruitgang te zien in de manier waarop we kunnen samenwerken. We hoeven geen mensen gewoon centraal in één kantoor te hebben, we kunnen slechte oude ideeën brengen en ik vind dat echt gaaf.

Het is een heel, heel cool product. We hebben het in het laboratorium getest en we hadden wat problemen met sommige software, maar dat is het wel eerste generatie. Het is net uitgekomen als twee maanden geleden en het zal absoluut de manier zijn waarop mensen jarenlang in vergaderruimtes communiceren.

Helemaal mee eens.

Het heeft slechts een paar software-updates nodig om het een beetje eenvoudiger te maken.

Het is een beetje buggy, maar het is nog steeds geweldig.

Hoe kunnen mensen je inhalen, je online volgen en bijhouden wat je doet?

Ja, ik ben op Twitter @JayKaplan. Onze blog op Synack.com/blog, dat is ook een geweldige plek voor u om het laatste nieuws over cybersecuritynieuws te horen, en wat we als bedrijf doen, en ik heb hier af en toe wat berichten over. Ik ben ook op LinkedIn en post daar zo nu en dan. Ik probeer zo actief mogelijk te blijven op sociale media. Ik ben niet de beste.

Het kost veel tijd.

Ik probeer het, maar ik probeer het.

Je hebt ook werk te doen.

Precies.