Casa Appscout Synack's Jay Kaplan ha un esercito di hacker con cappello bianco

Synack's Jay Kaplan ha un esercito di hacker con cappello bianco

Video: Jay Kaplan: In Hackers We Trust (Novembre 2024)

Video: Jay Kaplan: In Hackers We Trust (Novembre 2024)
Anonim

Al giorno d'oggi puoi crowdsourcing praticamente qualsiasi cosa, compresa la sicurezza.

In questo episodio di Fast Forward, parlo con Jay Kaplan, il Amministratore delegato e co-fondatore di Synack. Prima di fondare Synack, Jay ha ricoperto diverse posizioni legate alla sicurezza informatica presso il Dipartimento della Difesa e come analista senior di sfruttamento e vulnerabilità della rete informatica presso la National Security Administration.

Alla Synack, ha creato un sistema automatizzato di rilevamento delle minacce e una rete creata di centinaia di ricercatori sulla sicurezza in tutto il mondo per portare i test di penetrazione al livello successivo. In una recente discussione di San Francisco, abbiamo parlato dello stato della sicurezza informatica, degli hacker con cappello bianco e dei passi che prende personalmente per garantire la sua sicurezza online. Leggi la trascrizione o guarda il video qui sotto.

Di tutti i tuoi titoli, CEO e co-fondatore possono essere davvero impressionanti, ma la cosa che mi impressiona sta lavorando come membro di una squadra rossa presso il Dipartimento della Difesa. Capisco che potresti non essere in grado di dirci tutti di i dettagli, ma cosa significa esattamente?

Come membro di qualsiasi squadra rossa come parte di qualsiasi organizzazione sei responsabile di comportarti come un attaccante, come l'avversario che stiamo tutti cercando di difendere ogni singolo giorno. Quindi il mio lavoro al DoD era molto incentrato sui sistemi DoD in team rosso. Che si tratti di sistemi militari, reti, dispositivi schierati sul campo, qualunque essa sia, volevamo assicurarci che fossero sicuri e non sensibili alle violazioni effettive.

Lo abbini al mio lavoro presso l'NSA, dove invece di attaccare per scopi difensivi, ero sul attacco lato per scopi offensivi. Metti insieme queste due posizioni e ci ha davvero aiutato a formalizzare l'intero concetto dietro Synack e il modello di business che abbiamo oggi.

Mi sembra che tu abbia adottato lo stesso approccio, lo abbia portato nel settore privato e, immagino, stai impiegando legioni di hacker e il crowdsourcing della sicurezza della rete. Parlaci un po 'di come funziona.

L'approccio che adottiamo è più un approccio basato sugli hacker. Ciò che facciamo è sfruttare una rete globale di ricercatori sulla sicurezza del cappello bianco in oltre 50 paesi diversi e li paghiamo efficacemente in base ai risultati per scoprire le vulnerabilità della sicurezza tra i nostri clienti aziendali, e ora stiamo facendo un sacco di lavoro con il governo anche.

L'intero obiettivo qui è quello di avere più occhi sul problema. Voglio dire, una cosa è avere una o due persone che guardano un sistema, una rete, un'applicazione e cercano di liberare quell'applicazione dalle vulnerabilità. È un altro dire forse 100, 200 persone, tutti Guarda in questo unico pezzo di attrezzatura IT, o qualunque cosa possa essere, e cerca di capire quali sono le vulnerabilità e quando hai successo ti pagano. È un grande cambiamento di paradigma e funziona estremamente bene in pratica.

Chi sarebbe il cliente tipico? Sarebbe come una Microsoft che dice "Stiamo lanciando una nuova piattaforma Azure, vieni e prova a creare buchi nel nostro sistema?"

Può essere ovunque da una grande azienda tecnologica come Microsoft a una grande banca in cui vogliono testare le loro applicazioni online e mobili, applicazioni bancarie. Potrebbe anche essere il governo federale; stiamo collaborando con il DoD e il Internal Revenue Service per bloccare la posizione in cui invii le informazioni sui contribuenti o dal punto di vista del DoD cose come i sistemi di gestione stipendi e altri sistemi che ospitano dati molto sensibili. È importante che queste cose non vengano compromesse, come abbiamo visto in passato, può essere molto, molto dannoso. Stanno finalmente adottando un approccio più progressivo per risolvere il problema, allontanandosi dalle soluzioni più mercificate che abbiamo visto in passato.

Come trovi le persone? Immagino che non lo pubblichi semplicemente su una bacheca e dica "Ehi, orienta le tue energie verso questo e poi se trovi qualcosa facci sapere e ti pagheremo."

All'inizio giorni ovviamente abbiamo sfruttato la nostra rete piuttosto pesantemente. Abbiamo attirato persone che conoscevamo e che sono cresciute organicamente e abbiamo iniziato a coinvolgere persone di tutto il mondo che praticano la sicurezza informatica, e anche quelle che non necessariamente praticano la sicurezza informatica giorno dopo giorno. Abbiamo molti sviluppatori come parte della nostra rete, ingegneri parte di grandi aziende tecnologiche. Il potere di ciò che facciamo è offrire ai clienti la diversità delle risorse, l'accesso ai talenti a cui tradizionalmente non avrebbero accesso.

Se osservi alcune delle statistiche, dicono che entro il 2021 avremo 3, 5 milioni di posti di lavoro aperti sulla sicurezza informatica. C'è una massiccia domanda e disconnessione e sfida che stiamo cercando di risolvere. L'utilizzo del crowdsourcing per risolvere questo problema ha funzionato moltissimo per noi perché non dobbiamo assumerli. Sono freelance e davvero solo avere più occhi su questo problema si presta a risultati migliori.

Di corso la veridicità di quella rete è fondamentale anche per la nostra attività. Dobbiamo sapere che possiamo fidarci di loro e quindi dobbiamo sottoporre i nostri ricercatori a un rigoroso controllo di background e verifica dell'ID, e facciamo persino auditing del loro traffico per assicurarci che aderiscano all'ambito e alle regole di ingaggio, ma è davvero interessante vedere un meccanismo per impegnarsi in un modello di crowdsource ma avere un sacco di controllo nel consentire alle imprese interessate di accedere a questo tipo di metodologia.

Questi hacker possono fare più soldi con te di quanti ne possano fare da soli sul Dark Web? Voglio dire, è redditizio essere un cappello bianco in questo modello?

C'è un malinteso comune sul fatto che tu operi nel Dark Web e diventerai automaticamente questa persona ricca.

Ti viene anche fregato molto.

Vieni derubato molto, ma la realtà è che le persone con cui stiamo lavorando sono altamente professionali ed etiche. Lavorano per grandi aziende o altre società di consulenza sulla sicurezza e ci sono persone che hanno molta etica e non vogliono fare cose illegalmente. Vogliono recitare, adorano l'hacking, amano rompere le cose, ma vogliono farlo in un ambiente in cui sanno che non verranno perseguiti.

Questo è un bel vantaggio. Quali consideri le principali minacce nel sicurezza oggi? Dovremmo essere preoccupati per le imprese criminali? Attori dello stato-nazione? Da dove viene la maggior parte delle minacce?

È davvero interessante Se mi avessi posto la domanda un paio di anni fa, direi che gli stati nazionali sono le organizzazioni più attrezzate per avere successo negli attacchi informatici. Voglio dire, sono seduti su scorte di exploit zero-day, hanno molti soldi e molte risorse.

Spiega l'idea di sederti su quelle scorte di zero giorni. Perché è qualcosa che al di fuori dello spazio di sicurezza, non credo che la persona media capisca davvero.

Quindi un exploit zero-day è effettivamente una vulnerabilità in un sistema operativo importante che forse nessuno conosce di diverso da quella organizzazione. L'hanno trovato, ci sono seduti e lo usano a loro vantaggio. Dati quanti soldi hanno investito nella ricerca e nello sviluppo e quanti soldi pagano le loro risorse, hanno la capacità di trovare queste cose dove nessun altro può trovarle. Questo è un grande motivo per cui hanno così tanto successo in quello che fanno.

Di solito lo stanno facendo allo scopo di ottenere informazioni di intelligence e aiutare i nostri decisori a prendere decisioni politiche migliori. Stiamo assistendo a un cambiamento negli ultimi due anni in cui i sindacati criminali stanno sfruttando alcuni di questi strumenti di fuga a loro vantaggio. Se guardi la fuga di Shadow Brokers come esempio principale, sta diventando abbastanza spaventoso là fuori. Mentre i fornitori stanno rattoppando i loro sistemi, le aziende e le aziende non stanno effettivamente sfruttando quelle patch lasciandole suscettibili agli attacchi e consentendo ai cattivi di entrare nelle loro organizzazioni e lanciare ransomware, ad esempio, per cercare di ottenere soldi da loro.

L'infezione da WannaCry ha interessato un numero enorme di sistemi, ma non i sistemi Windows 10. Era un exploit che era stato patchato se le persone avessero scaricato e installato, ma molti milioni di persone non lo avevano fatto e questo ha aperto la porta.

Esatto. La gestione delle patch è ancora difficile per la stragrande maggioranza delle organizzazioni. Non hanno un controllo su quali versioni sono in esecuzione, quali scatole sono state patchate e quali no, ed è uno dei motivi per cui abbiamo creato il nostro intero modello di business: ottenere più occhi su questo problema, essere proattivi sulla scoperta i sistemi che non sono stati corretti e che dicono ai nostri clienti: "Ehi, farai meglio a sistemare queste cose o sarai la prossima grande violazione o gli attacchi come WannaCry avranno successo contro le tue organizzazioni". E sono i clienti che impiegano i nostri servizi su base continua, questo è stato un caso d'uso di grande successo per noi.

Vendete i vostri servizi per test a breve termine? O potrebbe anche essere in corso?

Tradizionalmente i test di penetrazione sono stati un tipo di coinvolgimento temporaneo, giusto? Dici di venire per una settimana, due settimane, fammi un rapporto e poi ci vedremo un anno dopo, quando saremo pronti per il nostro prossimo audit. Stiamo cercando di spostare i clienti sulla mentalità secondo cui l'infrastruttura è altamente dinamica, spingi continuamente modifiche al codice alle tue applicazioni, potresti introdurre nuove vulnerabilità in qualsiasi momento. Perché non guardare queste cose dal punto di vista della sicurezza in modo continuo come nel ciclo di vita dello sviluppo?

E il software come servizio è un ottimo modello. Anche il servizio come servizio è un ottimo modello.

Giusto. Disponiamo di grandi componenti software su tutto questo, quindi abbiamo un'intera piattaforma che facilita non solo l'interazione tra i nostri ricercatori e i nostri clienti, ma stiamo anche costruendo automazione per dire "Ehi, al fine di rendere i nostri ricercatori più efficienti ed efficaci nel loro lavoro, automatizziamo le cose sulle quali non vogliamo che trascorrano del tempo ". Giusto? Tutti i frutti pendenti bassi, dando loro più contesto dell'ambiente in cui stanno camminando, e stiamo scoprendo che quell'accoppiamento tra uomo e macchina funziona molto bene ed è molto potente nello spazio della sicurezza informatica.

Sei appena tornato da Black Hat non molto tempo fa, dove hai visto un sacco di cose spaventose, immagino. C'è stato qualcosa che ti ha sorpreso?

Sai, c'è stato un grande focus su Defcon sui sistemi di voto, e penso che tutti noi abbiamo visto molta stampa al riguardo. Penso solo vedere quanto velocemente gli hacker sono in grado di assumere il controllo di uno di questi sistemi di voto, dato l'accesso fisico, è piuttosto spaventoso. Ti fa davvero mettere in discussione i risultati delle elezioni precedenti. Visto che non ci sono molti sistemi con tracce di carta, penso che sia una proposta piuttosto spaventosa.

Ma oltre a ciò, ci si è concentrati molto sulle infrastrutture critiche. C'è stato un discorso incentrato essenzialmente sull'hacking dei sistemi di radiazione che rilevano le radiazioni nelle centrali nucleari e su quanto sia facile rompere in quei sistemi. Voglio dire che le cose sono piuttosto spaventose e credo fermamente che la nostra infrastruttura critica si trovi in ​​un posto piuttosto brutto. Penso che oggi la maggior parte sia effettivamente compromessa e ci sono un certo numero di impianti che siedono in tutta la nostra infrastruttura critica in attesa di essere sfruttati nel caso in cui andiamo in guerra con un altro stato-nazione.

Quindi quando dici "La nostra infrastruttura critica oggi è compromessa", intendi dire che esiste un codice che si trova nelle fabbriche elettriche, negli impianti di generazione nucleare, nelle centrali eoliche che sono state collocate lì da potenze straniere che potrebbero essere attivate in qualsiasi momento?

Sì. Esatto. Non ho necessariamente nulla a sostegno di ciò su, ma dato la mia conoscenza dello stato della sicurezza informatica all'interno di queste organizzazioni di infrastrutture critiche, non ho dubbi sul fatto che esiste una percentuale molto grande che siamo compromesso oggi, mettendoci in una posizione piuttosto spaventosa in futuro.

Possiamo trarre conforto dal fatto che probabilmente abbiamo una leva finanziaria simile sui nostri avversari e abbiamo anche il nostro codice nella loro infrastruttura critica, quindi almeno c'è forse una distruzione reciprocamente assicurata su cui possiamo contare?

Suppongo che stiamo facendo cose molto simili.

Va bene. Presumo che tu non possa dire tutto ciò che potresti sapere, ma mi conforto almeno nel fatto che la guerra viene condotta. Ovviamente non vogliamo che questo si intensifichi in alcun modo forma o forma, ma almeno stiamo combattendo da entrambe le parti e probabilmente dovremmo concentrarci maggiormente sulla difesa.

Giusto. Voglio dire, dovremmo sicuramente concentrarci maggiormente sulla difesa, ma le nostre capacità offensive sono altrettanto importanti. Sai, essere in grado di capire come i nostri avversari ci stanno attaccando e quali sono le loro capacità sono richiesti un approccio offensivo, ed è per questo che la NSA fa quello che fa e le altre organizzazioni di intelligence hanno capacità simili.

Quindi, volevo chiederti un argomento che è stato nelle notizie in ultimo un paio di mesi, e questo è il ruolo delle società tecnologiche straniere. La loro tecnologia è integrata nella nostra infrastruttura, nelle nostre società, nelle nostre agenzie governative, e poi ogni sei mesi circa c'è una storia che dice "Oh, non dovremmo fidarci dell'infrastruttura di telecomunicazioni Huawei". Ultimamente c'è stata una storia in giro che forse dovremmo guardare al software di sicurezza di Kaspersky Labs perché hanno lavorato con i servizi di sicurezza russi. Cosa ne pensi di questi tipi di relazioni? Queste sono società indipendenti o sono armi degli stati da cui operano?

Quindi, difficile da sapere giusto? E penso che, dato il fatto che dobbiamo mettere in discussione i legami con queste organizzazioni, dobbiamo solo fare attenzione alla distribuzione, in particolare alla diffusione diffusa. Qualcosa di tanto diffuso come una soluzione antivirus come Kaspersky su tutti i nostri sistemi, il governo sta facendo attenzione e dato che abbiamo soluzioni, soluzioni interne, allo stesso modo in cui proviamo a costruire le nostre testate nucleari e i nostri sistemi di difesa antimissile nel Stati Uniti, dovremmo trarre vantaggio dalle soluzioni che vengono costruite negli Stati Uniti in parte dal punto di vista della sicurezza informatica. Penso che sia quello che alla fine stanno cercando di fare.

Quale pensi sia la cosa numero uno che la maggior parte dei consumatori fa male dal punto di vista della sicurezza?

A livello di consumatore, è solo molto semplice, giusto? Penso che molte persone non pratichino l'igiene della sicurezza. Ciclare le password, utilizzare password diverse su siti Web diversi, utilizzare strumenti di gestione delle password, autenticazioni a due fattori. Non posso dirvi quante persone oggi semplicemente non lo usano e mi sorprende che i servizi che i consumatori utilizzano non si limitano a forzarli. Penso che alcune banche stiano iniziando a farlo, il che è fantastico da vedere, ma vedere ancora i conti sui social media essere compromessi perché le persone che non hanno due fattori è solo un po 'folle ai miei occhi.

Quindi, fino a quando non supereremo l'igiene di sicurezza di base, non penso che potremo iniziare a parlare di alcune delle tecniche più avanzate per proteggersi.

Allora, dimmi qualcosa sulle tue pratiche di sicurezza personale? Usi un gestore di password?

Ovviamente. Ovviamente. Io uso OnePassword , così fondamentalmente ogni singolo sito web che visito e creo ha una password diversa, sempre di almeno 16 caratteri. Cambio periodicamente queste password e sono tutte generate automaticamente. Uso le VPN su reti non protette. La nostra azienda ha una soluzione VPN, quindi in qualsiasi momento Sono su una rete wireless Non ho paura di usare la rete wireless finché queste connessioni passano attraverso un tunnel sicuro.

I servizi VPN possono rallentare un po 'la connessione, ma sono relativamente facili da configurare e puoi ottenerne uno per un paio di dollari al mese.

Sono semplicissimi da configurare e vuoi andare con un fornitore affidabile perché stai inviando traffico attraverso quel fornitore. Vuoi solo assicurarti che abbiano una buona reputazione e di cui ti puoi fidare con il tuo traffico.

Allo stesso tempo, semplicemente facendo cose semplici come aggiornare il mio sistema, ogni volta che c'è un aggiornamento sul mio cellulare dispositivo, o il mio computer ne approfitto. Voglio dire, c'è un motivo per cui stanno spingendo quell'aggiornamento là fuori, quindi in realtà sono solo le basi. E allora ovviamente stai monitorando i tuoi rapporti di credito, le tue carte di credito e qualsiasi segno di attività sospetta che hai appena indagato.

Non è così folle. Non è poi così difficile rimanere al sicuro come consumatore. Non è necessario utilizzare tecniche o soluzioni molto avanzate disponibili. Pensa solo al buon senso.

Penso che il doppio fattore sia un sistema che confonde molte persone e intimidisce molte persone. Pensano che dovranno spuntare sul loro telefono ogni volta che accedono al loro account di posta elettronica, e non è così. Devi solo farlo una volta, autorizzi quel laptop e facendo così che qualcun altro non può accedere al tuo account da nessun altro laptop, il che è un'enorme protezione.

Assolutamente. Sì, per qualche motivo fa paura a molte persone. Alcuni di essi sono impostati dove potresti doverlo fare ogni 30 giorni circa, ma ancora non è così ingombrante come potrebbe sembrare ed è un enorme vantaggio di sicurezza da implementare. Consiglio vivamente di mettere in atto due fattori.

Non sei stato in questo settore per così tanto tempo, ma puoi condividere come hai visto il paesaggio modificare da quando hai iniziato? Come le minacce informatiche hanno si è evoluto in quel momento?

In realtà sono stato nella sicurezza informatica e sono davvero interessato da forse 15 anni. Da quando avevo 13 anni e gestivo una compagnia di web hosting condivisa. Ci siamo concentrati molto sulla protezione dei siti Web dei nostri clienti e sull'amministrazione dei server e sulla garanzia che tali server fossero bloccati. Guardi come la conoscenza è progredita dalla parte dell'attaccante. Penso che la sicurezza sia un'industria nascente a sé stante, in costante evoluzione e che ci sia sempre una serie di nuove soluzioni e tecnologie innovative. Penso che sia eccitante vedere il rapido ritmo dell'innovazione in questo spazio. È emozionante vedere le aziende trarre vantaggio da più soluzioni progressivamente inclinate, un po 'allontanarsi dai nomi defacto di cui tutti abbiamo sentito parlare, il Symantecs e il McAfees del mondo e si sta muovendo verso alcune delle nuove aziende che sono là fuori, riconoscendo che devono essere innovative nel modo in cui affrontano la sicurezza informatica. E se non lo sono, gli aggressori saranno un passo avanti a loro.

In passato si trattava principalmente di virus e dovevi aggiornare le tue definizioni, e pagavi un'azienda per gestire quel database per te, e fintanto che avevi praticamente al sicuro dal 90 percento delle minacce. Ma le minacce si sono evolute molto più rapidamente oggi. E c'è una componente del mondo reale in cui le persone si espongono perché ottengono un attacco di phishing, rispondono e consegnano le loro credenziali. È così che la loro organizzazione viene penetrata e questo è quasi più un problema educativo che un problema tecnologico.

Penso che la stragrande maggioranza degli attacchi riusciti non siano così avanzati. Il minimo comune denominatore della sicurezza di qualsiasi organizzazione siamo persone. Se le persone non sono istruite a non fare clic su un'e-mail quando sembra sospetta, allora il gioco finisce. Al giorno d'oggi è troppo facile e ci sono molte aziende che cercano di attaccare quel problema specificamente focalizzato sul phishing. Oltre a tutte le altre soluzioni che stanno mettendo in atto affrontando le vulnerabilità, affrontando le minacce informatiche, ma dobbiamo prima affrontare il problema delle persone perché in questo momento lo stiamo semplicemente rendendo troppo semplice.

Mi piacerebbe vedere ricerche su quante minacce sono solo basate su e-mail. Solo migliaia e migliaia di e-mail in uscita e persone che fanno clic sulle cose. Persone che creano un processo e una serie di eventi che sfuggono al controllo. Ma arriva attraverso la posta elettronica perché la posta elettronica è così semplice e onnipresente e la gente la sottovaluta.

Stiamo iniziando a vedere ora il passaggio da semplici attacchi basati su e-mail ad attacchi di phishing sociale e spear-phishing. La cosa spaventosa è che c'è una fiducia intrinseca nei social media. Se vedi un link proveniente da un amico di a amico, o anche l'account compromesso di un amico, probabilmente sarai più incline a fare clic su quello Link, o scaricare un file e questo è spaventoso. Hai anche la possibilità di raggiungere un pubblico molto più ampio, giusto? Non stai inviando e-mail alle persone, ora puoi pubblicare un tweet con un link che ora raggiunge automaticamente decine di migliaia, milioni di persone a seconda dell'account su cui stai seduto. Ecco perché questi account stanno diventando più spaventosi in natura e colpiscono più persone che mai.

Lascia che ti chieda informazioni sulla sicurezza mobile. All'inizio abbiamo detto alle persone se hai un dispositivo iOS che probabilmente non hai bisogno di un antivirus, se hai un dispositivo Android, forse vuoi installarlo. Siamo passati a un punto in cui abbiamo bisogno di software di sicurezza su ogni telefono?

Penso che dobbiamo fidarci davvero della sicurezza che è inserita nei dispositivi stessi. Dato come Apple, ad esempio, ha progettato il proprio sistema operativo in modo che tutto sia abbastanza sandbox, giusto? Un'applicazione non può fare molto al di fuori dei confini di tale applicazione. Android è progettato in modo leggermente diverso, ma ciò che dobbiamo capire è che quando stiamo dando alle applicazioni l'accesso a cose come la nostra posizione, la nostra rubrica o qualsiasi altro dato presente su quel telefono, che esce immediatamente dalla porta. E viene costantemente aggiornato, quindi mentre ti sposti la tua posizione viene rinviata nel cloud a chiunque sia proprietario di questa applicazione. Devi davvero pensare a "Mi fido di queste persone con le mie informazioni? Mi fido della sicurezza di questa azienda?" Perché alla fine se ospitano la tua rubrica e i tuoi dati sensibili, se qualcuno li compromette, ora possono accedervi.

Ed è un accesso perpetuo.

Giusto.

Devi pensare fuori dagli schemi. Solo perché stai scaricando un nuovo gioco che sembra interessante, se ti chiedono le informazioni sulla tua posizione e le informazioni del tuo calendario e l'accesso completo al telefono, ti stai fidando di avere tutto questo accesso per sempre.

Esatto. Penso che tu debba davvero pensare a "Perché lo stanno chiedendo? Ne hanno davvero bisogno?" Ed è giusto dire "Nega" e vedere cosa succede. Forse non influirà su nulla e poi dovrai davvero chiederti "Beh, perché l'hanno davvero chiesto?"

Ci sono migliaia di app create solo per raccogliere informazioni personali, offrono solo un valore in più per farti scaricare, ma il vero unico scopo è quello di raccogliere informazioni su di te e monitorare il tuo telefono.

In realtà è un problema pervasivo in cui vedi queste entità maligne creare app che assomigliano ad altre app. Forse fingono di essere la tua banca online quando non lo sono. In realtà sono solo phishing per le tue credenziali, quindi devi davvero stare attento. Ovviamente c'è un processo di diligenza che queste app devono attraversare prima di essere pubblicate sull'app store, ma non è infallibile.

Voglio farti le domande che faccio a tutti quelli che vengono in questo spettacolo. C'è una particolare tendenza tecnologica che ti preoccupa di più mantiene sei sveglio di notte?

In realtà stavamo parlando di dispositivi mobili e penso che la rapida adozione delle transazioni mobili e praticamente di tutti avvenga sui dispositivi mobili rispetto a un browser web. Ciò che mi fa paura è la mancanza di diligenza di sicurezza che si verifica dal punto di vista dell'azienda, le persone che stanno sviluppando queste applicazioni. Non stanno pensando alla sicurezza in queste applicazioni nello stesso modo in cui sono per le loro reti aziendali e i loro ambienti di applicazioni web e quindi ci sono API suscettibili agli attacchi. Stanno memorizzando le password sul dispositivo, la crittografia viene spesso implementata in modo errato. Questo mi fa paura, sapendo che sempre più persone effettuano transazioni su questi dispositivi, ma le aziende che stanno sviluppando queste app non pensano alla sicurezza nello stesso modo in cui sono tutto il resto. Penso che stia migliorando, ma non siamo ancora arrivati.

Esiste un'app, un servizio o un gadget che usi ogni giorno per ispirare meraviglia, per impressionarti?

Questa è una bella domanda. Sono un grande fan della suite di strumenti di Google. Interagiscono e funzionano davvero molto bene e si integrano bene insieme, quindi sono un grande utente di app Google. e non è solo perché Google è un investitore nella nostra azienda.

C'è un po 'di Google ovunque.

C'è un po 'di Google ovunque.

C'è qualcosa da dire per prendersi un momento e dare loro credito per quello che hanno fatto. Volevano davvero rendere le informazioni del mondo ricercabili e comprensibili, e hanno fatto un ottimo lavoro.

In realtà abbiamo appena ricevuto una nuova lavagna, una lavagna digitale nel nostro ufficio, la Jamboard, ed è uno dei dispositivi più belli che abbia mai visto da molto tempo. Solo la possibilità di cancellare qualcosa dalla lavagna, salvarla e ripristinarla, oppure interagire e interagire con qualcuno su un'altra estremità o chiunque su un iPad. Voglio dire, è semplicemente fantastico, e parlare della collaborazione da remoto rende tutto molto più semplice.

È emozionante vedere quella progressione nel modo in cui possiamo lavorare insieme. Non è necessario che le persone si trovino in una posizione centrale in un solo ufficio, possiamo portare vecchie idee sbagliate e penso che sia davvero bello.

È un prodotto molto, molto interessante. Lo abbiamo testato in laboratorio e abbiamo avuto dei problemi con alcuni software, ma lo è primo generazione. È appena uscito come due mesi fa e sarà sicuramente il modo in cui le persone comunicano nelle sale conferenze per gli anni a venire.

Assolutamente d'accordo.

Ha solo bisogno di un paio di aggiornamenti software per renderlo un po 'più semplice.

È un po 'buggy, ma è comunque sorprendente.

In che modo le persone possono raggiungerti, seguirti online e tenere traccia di ciò che stai facendo?

Sì, sono su Twitter @JayKaplan. Il nostro blog su Synack.com/blog, è anche un ottimo posto per ascoltare le ultime notizie sulla sicurezza informatica e su ciò che stiamo facendo come azienda, e ho alcuni post lì ogni tanto. Sono anche su LinkedIn, pubblicando lì ogni tanto. Cerco di rimanere il più attivo possibile sui social media. Non sono il migliore.

Ci vuole molto tempo.

A questo, ma ci sto provando.

Anche tu hai un lavoro da fare.

Esattamente.

Synack's Jay Kaplan ha un esercito di hacker con cappello bianco