Jay Kaplan de Synack a une armée de hackers à chapeau blanc

Vous pouvez crowdsource à peu près n'importe quoi ces temps-ci, y compris la sécurité.

Dans cet épisode de Fast Forward, je parle avec Jay Kaplan, le PDG et co-fondateur de Synack. Avant de fonder Synack, Jay a occupé plusieurs postes liés à la cybersécurité au sein du ministère de la Défense et en tant qu’analyste principal de l’exploitation et de la vulnérabilité des réseaux informatiques à la National Security Administration.

Chez Synack, il a mis en place un système automatisé de détection des menaces et un réseau créé de centaines de chercheurs en sécurité du monde entier pour faire passer les tests d'intrusion à un niveau supérieur. Dans une récente discussion à San Francisco, nous avons parlé de l'état de la cybersécurité, des pirates informatiques avec un chapeau blanc et des mesures qu'il prend personnellement pour assurer sa sécurité en ligne. Lisez la transcription ou regardez la vidéo ci-dessous.

Le PDG et le co-fondateur sont peut-être très impressionnants parmi tous vos titres, mais ce qui m’impressionne, c’est de travailler en tant que membre d’une équipe rouge du ministère de la Défense. Je comprends que vous ne pourrez peut-être pas tout nous dire de les détails, mais qu'est-ce que cela signifie exactement?

En tant que membre d’une équipe rouge dans le cadre d’une organisation vous êtes responsable d'agir comme un attaquant, comme l'adversaire contre lequel nous essayons tous de nous défendre chaque jour. Donc, mon travail au DoD était très concentré sur les systèmes DoD en équipe rouge. Qu'il s'agisse de systèmes militaires, de réseaux, d'appareils déployés sur le terrain, quels qu'ils soient, nous voulions nous assurer qu'ils étaient sécurisés et qu'ils ne risquaient pas de véritables violations.

Vous ajoutez à cela mon travail à la NSA, où au lieu d’attaquer à des fins défensives, j’étais sur le attaque côté à des fins offensives. En combinant ces deux positions, cela nous a vraiment aidé à formaliser l'ensemble du concept de Synack et du modèle commercial que nous avons aujourd'hui.

Il me semble que vous avez adopté la même approche, que vous l’avez introduite dans le secteur privé, et que vous employez, je suppose, des légions de pirates informatiques et une sécurité réseau à grande échelle. Parlez-nous un peu de la façon dont cela fonctionne.

L'approche que nous adoptons est davantage une approche axée sur les hackers. Nous exploitons un réseau mondial de chercheurs de haut niveau dans le domaine de la sécurité dans plus de 50 pays. Nous les payons efficacement en fonction des résultats afin de détecter les vulnérabilités en matière de sécurité de nos entreprises clientes. Nous travaillons désormais avec une tonne de gouvernements. ainsi que.

L’objectif principal ici est d’avoir plus d’œil sur le problème. Je veux dire que c’est une chose de demander à une ou deux personnes de rechercher un système, un réseau, une application et d’essayer de débarrasser cette application de toutes les vulnérabilités. C’est un autre moyen de dire 100, 200 personnes, tout le monde Regardez essayez d’évaluer les vulnérabilités et de vous payer quand vous réussissez. C'est un très grand changement de paradigme et cela fonctionne extrêmement bien dans la pratique.

Qui serait le client typique? Serait-ce comme si Microsoft disait "Nous lançons une nouvelle plate-forme Azure, venez essayer de faire des trous dans notre système?"

Cela peut aller d'une grande entreprise technologique comme Microsoft à une grande banque où ils souhaitent tester leurs applications en ligne et mobiles, leurs applications bancaires. Cela pourrait aussi être le gouvernement fédéral; Nous travaillons avec le DoD et l'Internal Revenue Service pour verrouiller l'endroit où vous soumettez des informations sur les contribuables, ou du point de vue du DoD, comme des systèmes de traitement de la paie et d'autres systèmes contenant des données très sensibles. Il est important que ces choses ne soient pas compromises, comme nous l'avons tous vu dans le passé, cela peut être très, très dommageable. Ils ont finalement adopté une approche plus progressive pour résoudre le problème, en s'éloignant des solutions plus banalisées que nous avons vues par le passé.

Comment trouvez-vous les gens? J'imagine que vous ne le publiez pas simplement sur un babillard et dites "Hé, dirige ton énergie vers cela et si tu trouves quelque chose, fais-le nous savoir et nous te paierons."

Au début journées nous avons évidemment exploité notre réseau assez lourdement. Nous avons recruté des personnes que nous connaissions, et cela a connu une croissance organique. Nous avons commencé à engager des gens du monde entier pratiquant la cybersécurité, et même ceux qui ne le font pas nécessairement jour après jour. Nous avons beaucoup de développeurs dans notre réseau, d'ingénieurs dans de grandes entreprises technologiques. La puissance de ce que nous faisons est de donner aux clients la diversité des ressources et l’accès à des talents auxquels ils n’auraient normalement pas accès.

Si vous regardez certaines statistiques, ils disent qu’en 2021, nous aurons 3, 5 millions d’emplois ouverts dans le domaine de la cybersécurité. Il y a une rupture massive entre l'offre et la demande et le défi que nous essayons de résoudre. Le recours au crowdsourcing pour résoudre ce problème a très bien fonctionné pour nous, car nous n’avons pas à les engager. Ils sont indépendants et, en réalité, ils ont de plus en plus d'attention à ce problème qui donne de meilleurs résultats.

De cours la véracité de ce réseau est également primordiale pour notre entreprise. Nous devons savoir que nous pouvons leur faire confiance et que nous devons donc soumettre nos chercheurs à une rigoureuse vérification des antécédents et de la vérification d'identité, et nous effectuons même des audits de leur trafic afin de nous assurer qu'ils respectent la portée et les règles d'engagement., mais c’est vraiment excitant de voir un mécanisme s’engager dans un modèle de crowdsource mais avoir une tonne de contrôle pour permettre aux entreprises concernées d’avoir accès à ce type de méthodologie.

Ces pirates peuvent-ils gagner plus d’argent avec vous qu’ils ne pourraient le faire par eux-mêmes sur Dark Web? Je veux dire, est-il rentable d’être un chapeau blanc dans ce modèle?

Il existe une idée fausse commune selon laquelle, vous savez, vous opérez dans le Web sombre et que vous allez automatiquement devenir ce riche.

Vous vous faites aussi beaucoup arnaquer.

On se fait souvent arnaquer, mais en réalité, les personnes avec lesquelles nous travaillons sont extrêmement professionnelles et éthiques. Ils travaillent pour de très grandes entreprises ou d'autres sociétés de conseil en sécurité et certaines personnes, qui ont beaucoup d'éthique, ne veulent pas faire des choses illégalement. Ils veulent agir, ils aiment le piratage, ils aiment casser des choses, mais ils veulent le faire dans un environnement où ils savent qu'ils ne seront pas poursuivis en justice.

C'est un avantage appréciable. Que voyez-vous comme les principales menaces dans la sécurité aujourd'hui? Devrions-nous nous inquiéter des entreprises criminelles? Acteurs de l'Etat-nation? D'où voyez-vous la majorité des menaces?

C'est vraiment intéressant. Si vous m'aviez posé la question il y a quelques années, je dirais que les États-nations sont les organisations les mieux équipées pour réussir dans les cyberattaques. Je veux dire qu'ils sont assis sur des stocks d'exploits du jour zéro, ils ont beaucoup d'argent et beaucoup de ressources.

Expliquez cette idée de rester sur ces stocks de zéro jour. Parce que c'est quelque chose qu'en dehors de l'espace de sécurité, je ne pense pas que la personne moyenne comprenne vraiment.

Ainsi, un exploit à zéro jour est effectivement une vulnérabilité dans un système d'exploitation majeur que personne ne connaît peut-être, à part cette organisation. Ils l'ont trouvé, ils sont assis dessus et ils l'utilisent à leur avantage. Étant donné le montant d'argent qu'ils investissent dans la recherche et le développement et le montant d'argent qu'ils paient pour leurs ressources, ils ont la capacité de trouver ces choses là où personne ne peut les trouver. C'est l'une des principales raisons pour lesquelles ils réussissent si bien dans ce qu'ils font.

Habituellement, ils le font dans le but de gagner de l'intelligence et d'aider nos décideurs à prendre de meilleures décisions stratégiques. Au cours des deux dernières années, les syndicats de la criminalité ont tiré parti de certains de ces outils de fuite pour leur avantage. Si vous considérez la fuite de Shadow Brokers comme un excellent exemple de cela, cela commence à faire très peur. Alors que les fournisseurs corrigent leurs systèmes, les entreprises ne tirent pas pleinement parti de ces correctifs, ce qui les rend vulnérables aux attaques et permet aux méchants de s'introduire dans leurs organisations et de proposer des ransomwares, par exemple, pour tenter d'obtenir l'argent hors d'eux.

L'infection WannaCry a touché un très grand nombre de systèmes, mais pas ceux de Windows 10. C'était un exploit qui avait été corrigé si des personnes avaient été téléchargées et installées, mais plusieurs millions de personnes ne l'avaient pas et cela a ouvert la porte.

C'est tout à fait vrai. La gestion des correctifs est encore une tâche très difficile pour la grande majorité des organisations. Ils ne savent pas quelles versions sont en cours d’exécution, quelles boîtes ont été corrigées et lesquelles n’ont pas été corrigées. C’est l’une des raisons pour lesquelles nous avons créé notre modèle commercial dans son ensemble: nous devons nous intéresser davantage à ce problème, être proactif pour découvrir les systèmes qui n'ont pas été corrigés et qui disent à nos clients: "Hé, vous feriez mieux de régler ces problèmes ou vous allez être la prochaine grande violation ou des attaques telles que WannaCry vont réussir contre vos organisations." Et ce sont les clients qui utilisent nos services sur une base continue, ce qui a été un cas d'utilisation vraiment réussi pour nous.

Vendez-vous vos services pour des tests à court terme? Ou pourrait être en cours aussi?

Les tests d'intrusion étaient traditionnellement un type d'engagement ponctuel, n'est-ce pas? Vous dites venir pendant une semaine, deux semaines, donnez-moi un rapport et nous vous reverrons un an plus tard, lorsque nous aurons terminé notre prochain audit. Nous essayons d'inciter les clients à penser que l'infrastructure est très dynamique, que vous introduisez sans cesse des modifications de code dans vos applications et que vous introduisez de nouvelles vulnérabilités à tout moment. Pourquoi ne pas regarder ces éléments du point de vue de la sécurité de manière continue, de la même manière que vous le faites avec votre cycle de développement?

Et le logiciel en tant que service est un excellent modèle. Le service en tant que service est également un excellent modèle.

C'est vrai. Nous avons d’importants composants logiciels à l’arrière, nous avons donc toute une plate-forme qui facilite non seulement l’interaction entre nos chercheurs et nos clients, mais nous construisons également l’automatisation pour dire: "Hé, pour pouvoir nos chercheurs plus efficaces et efficients dans leur travail, automatisons les tâches pour lesquelles nous ne voulons pas qu’ils passent du temps. " Droite? Tous les fruits à portée de main, ce qui leur donne plus de contexte dans l'environnement dans lequel ils évoluent, et nous constatons que ce couple homme-machine fonctionne extrêmement bien et qu'il est très puissant dans le domaine de la cybersécurité.

Vous venez de rentrer de Black Hat il n'y a pas si longtemps, où vous avez vu beaucoup de choses effrayantes, j'imagine. Y at-il quelque chose qui vous a surpris?

Vous savez, Defcon accordait une grande importance aux systèmes de vote, et je pense que nous avons tous entendu beaucoup de presse à ce sujet. Je pense que voir à quelle vitesse les pirates informatiques parviennent à prendre le contrôle de l'un de ces systèmes de vote compte tenu de l'accès physique est assez effrayant. Cela vous fait vraiment remettre en question les résultats des élections précédentes. Voyant qu'il n'y a pas beaucoup de systèmes qui ont des traces de papier, je pense que c'est une proposition assez effrayante.

Mais au-delà, l’accent a été mis sur les infrastructures critiques. Une des discussions a essentiellement porté sur le piratage des systèmes de radiation qui détectent les radiations dans les centrales nucléaires et sur la facilité avec laquelle il est possible de pénétrer dans ces systèmes. Je veux dire que ce genre de choses est assez effrayant, et je crois fermement que notre infrastructure critique est dans un très mauvais endroit. Je pense que la majeure partie est en réalité compromise aujourd'hui et que plusieurs de nos implants reposent sur notre infrastructure critique qui ne demande qu'à être utilisée si nous partions en guerre avec un autre État-nation.

Ainsi, lorsque vous dites "Notre infrastructure critique est compromise aujourd'hui", vous voulez dire qu'il y a du code dans les usines électriques, les centrales nucléaires, les parcs d'éoliennes qui ont été placés par des puissances étrangères et qui pourraient être activés à tout moment?

Oui. C'est tout à fait vrai. Je n'ai rien nécessairement à soutenir que up, mais juste au vu de ma connaissance de l’état de la cybersécurité au sein de ces organisations d’infrastructures essentielles, je ne doute pas qu’un très grand pourcentage sont compromis aujourd'hui, nous mettant dans une position assez effrayante à l'avenir.

Pouvons-nous être rassurés par le fait que nous avons probablement le même effet de levier sur nos adversaires et que notre code est également intégré dans leur infrastructure critique, de sorte qu'au moins il existe peut-être une destruction mutuellement assurée sur laquelle nous pouvons compter?

Je suppose que nous faisons des choses très similaires.

D'accord. Je suppose que vous ne pouvez pas dire tout ce que vous savez peut-être, mais je suis réconforté par le fait que la guerre est en cours. Nous ne souhaitons évidemment pas que la situation dégénère, mais au moins, nous nous battons des deux côtés et nous devrions probablement nous concentrer davantage sur la défense.

C'est vrai. Je veux dire, nous devrions certainement nous concentrer davantage sur la défense, mais nos capacités offensives sont tout aussi importantes. Vous savez, être capable de comprendre comment nos adversaires nous attaquent et quelles sont leurs capacités sont nécessite une approche offensive, et c’est la raison pour laquelle la NSA fait ce qu’elle fait et que les autres organisations de renseignement ont des capacités similaires.

Donc, je voulais vous poser des questions sur un sujet qui a fait les manchettes dans dernier quelques mois, et c’est le rôle des entreprises de technologie étrangères. Leur technologie est intégrée à notre infrastructure, à nos sociétés, à nos agences gouvernementales, puis tous les six mois environ, un article dit: "Oh, nous ne devrions pas faire confiance à l'infrastructure de télécommunications de Huawei." Dernièrement Il y a eu une histoire qui circule selon laquelle nous devrions peut-être examiner le logiciel de sécurité de Kaspersky Labs, car ils ont travaillé avec les services de sécurité russes. Quelle est votre opinion sur ces types de relations? S'agit-il de sociétés indépendantes ou appartiennent-elles aux États à partir desquels elles opèrent?

Alors, difficile de savoir non? Et je pense que compte tenu du fait que nous devons remettre en question les liens avec ces organisations, nous devons simplement faire attention au déploiement, en particulier au déploiement à grande échelle. Quelque chose d'aussi répandu qu'une solution antivirus telle que Kaspersky sur tous nos systèmes, le gouvernement fait preuve de prudence et, compte tenu des solutions que nous avons en place, de la même manière que nous essayons de construire nos ogives nucléaires et nos systèmes de défense antimissile dans le monde. Aux États-Unis, nous devrions tirer parti des solutions élaborées aux États-Unis, notamment du point de vue de la cybersécurité. Je pense que c'est ce qu'ils essaient en fin de compte de faire.

Selon vous, quelle est la principale chose que la plupart des consommateurs font de mal du point de vue de la sécurité?

Au niveau des consommateurs, c'est très basique, non? Je pense que la plupart des gens ne pratiquent pas l'hygiène de sécurité. Cycle de mots de passe, en utilisant des mots de passe différents sur des sites Web différents, en utilisant des outils de gestion de mot de passe, authentifications à deux facteurs. Je ne peux pas vous dire combien de personnes aujourd'hui ne l'utilisent pas, et cela me surprend que les services que les consommateurs utilisent ne leur imposent pas simplement. Je pense que certaines banques commencent à le faire, ce qui est agréable à voir, mais voir que les comptes de médias sociaux sont compromis parce que les gens n'ont pas deux facteurs est un peu fou à mes yeux.

Donc, jusqu'à ce que nous ayons dépassé les règles élémentaires d'hygiène de sécurité, je ne pense pas que nous puissions commencer à parler de certaines des techniques les plus avancées pour se protéger.

Alors, parlez-moi un peu de vos pratiques de sécurité personnelle? Utilisez-vous un gestionnaire de mot de passe?

Bien sûr. Bien sûr. j'utilise OnePassword , alors fondamentalement chaque site Web que je visite et le compte que je crée ont un mot de passe différent, toujours au minimum 16 caractères. Je change ces mots de passe régulièrement et ils sont tous générés automatiquement. J'utilise des VPN sur des réseaux non protégés. Notre société a une solution VPN, donc à tout moment Je suis sur un réseau sans fil. Je n'ai pas peur d'utiliser le réseau sans fil tant que ces connexions passent par un tunnel sécurisé.

Les services VPN peuvent ralentir un peu votre connexion, mais ils sont relativement faciles à configurer et vous pouvez en obtenir un pour quelques dollars par mois.

Ils sont super faciles à configurer et vous voulez aller avec un fournisseur de bonne réputation, car vous envoyez du trafic par ce fournisseur. Vous voulez juste vous assurer qu'ils ont une bonne réputation et vous pouvez leur faire confiance avec votre trafic.

En même temps, je fais juste des choses simples comme mettre à jour mon système, chaque fois qu’il ya une mise à jour sur mon mobile dispositif, ou mon ordinateur j'en profite. Je veux dire qu'il y a une raison pour laquelle ils publient cette mise à jour, alors c'est vraiment juste l'essentiel. Et alors bien sur vous surveillez vos rapports de crédit, vos cartes de crédit et tout signe d'activité suspecte sur lequel vous venez de mener une enquête.

Ce n'est pas si fou. Ce n’est vraiment pas difficile de rester en sécurité en tant que consommateur. Vous n'avez pas à utiliser des techniques très avancées ou des solutions existantes. Pensez simplement au bon sens.

Je pense que le double facteur est un système qui confond beaucoup de gens et intimide beaucoup de gens. Ils pensent qu'ils devront cocher leur téléphone chaque fois qu'ils se connecteront à leur compte de messagerie, et ce n'est pas le cas. Vous devez simplement le faire une fois, vous autorisez cet ordinateur portable et, ce faisant, une autre personne ne peut pas se connecter à votre compte à partir de tout autre ordinateur portable, ce qui constitue une énorme protection.

Absolument. Oui, pour une raison quelconque, cela fait peur à beaucoup de gens. Certains d’entre eux sont configurés de manière à pouvoir le faire tous les 30 jours environ, mais encore ce n'est pas aussi lourd que cela puisse paraître et c'est un énorme avantage de sécurité à mettre en œuvre. Je recommanderais certainement de mettre en place deux facteurs.

Vous n’êtes pas dans cette industrie depuis si longtemps, mais pouvez-vous partager votre vision du paysage? changement depuis que tu as commencé? Comment les cybermenaces ont évolué à cette époque?

En fait, je suis en cybersécurité et je m'y intéresse vraiment depuis peut-être 15 ans. Depuis l'âge de 13 ans, j'ai dirigé une société d'hébergement Web partagée. Nous avons beaucoup insisté sur la protection des sites Web de nos clients, l’administration des serveurs et le verrouillage de ces serveurs. Vous regardez comment la connaissance a progressé du côté de l'attaquant. Je pense que la sécurité est une industrie naissante en elle-même, elle évolue constamment et il y a toujours une multitude de solutions et de technologies innovantes. Je pense que c'est passionnant de voir le rythme rapide de l'innovation dans cet espace. C’est excitant de voir des entreprises tirer parti de plus en plus de solutions à tendance progressive, en s’éloignant un peu des noms de facto dont nous avons tous entendu parler, les Symantecs et le McAfees du monde et s’orienter vers certaines des nouvelles entreprises existantes, reconnaissant qu’elles doivent faire preuve d’innovation en matière de cybersécurité. Et s’ils ne le sont pas, les attaquants auront une longueur d’avance sur eux.

Auparavant, il s'agissait principalement de virus et vous deviez mettre à jour vos définitions, et vous paieriez une entreprise pour gérer cette base de données pour vous, et tant que vous en avez, vous êtes quasiment à l'abri de 90% des menaces.. Mais les menaces ont beaucoup plus vite évolué aujourd'hui. Et il y a une composante du monde réel dans laquelle les gens s'exposent parce qu'ils sont victimes d'une attaque de phishing, qu'ils répondent et transmettent leurs informations d'identification. C'est ainsi que leur organisation se fait pénétrer et c'est presque plus une question éducative qu'une question technologique.

Je pense que la grande majorité des attaques réussies n’est pas aussi avancée. Le moindre dénominateur commun de la sécurité de toute organisation sont les personnes. Si les personnes ne sont pas éduquées pour ne pas cliquer sur un courrier électronique lorsqu'il semble suspect, la partie est terminée. C'est trop facile de nos jours et de nombreuses entreprises tentent de s'attaquer à ce problème spécifiquement axé sur le phishing. En plus de toutes les autres solutions qu'ils mettent en place pour traiter les vulnérabilités et les cyber-menaces, nous devons d'abord régler le problème des personnes, car pour le moment, nous simplifions les choses.

J'aimerais beaucoup que des recherches soient effectuées sur le nombre de menaces uniquement basées sur le courrier électronique. Des milliers et des milliers de courriels sont envoyés et les gens cliquent sur des choses. Les personnes créant un processus et une série d'événements qui échappent à tout contrôle. Mais cela vient par courrier électronique, parce que le courrier électronique est tellement facile et omniprésent et que les gens le sous-estiment.

Nous commençons à voir maintenant la transition d'attaques basées uniquement sur le courrier électronique à des attaques de phishing social, d'hameçonnage. Ce qui fait peur, c’est qu’il existe une confiance inhérente dans les médias sociaux. Si vous voyez un lien venant d'un ami d'un ami, ou même compte compromis d'un ami, vous allez probablement être plus enclin à cliquer sur ce lien, ou télécharger un fichier et c'est effrayant. Vous avez également la capacité de toucher un public beaucoup plus large, non? Vous n'envoyez pas de courrier électronique à des personnes, vous pouvez désormais publier un tweet contenant un lien qui atteint automatiquement des dizaines de milliers, voire des millions de personnes, en fonction du compte sur lequel vous êtes assis. C'est pourquoi ces comptes deviennent de plus en plus effrayants et touchent plus de personnes que jamais auparavant.

Laissez-moi vous poser des questions sur la sécurité mobile. Au début, nous disions aux gens que si vous avez un appareil iOS, vous n'avez probablement pas besoin d'antivirus, si vous avez un appareil Android, vous voulez peut-être l'installer. Avons-nous progressé à un point où nous avons besoin d'un logiciel de sécurité sur chaque téléphone?

Je pense que nous devons vraiment faire confiance à la sécurité intégrée aux appareils eux-mêmes. Compte tenu de la manière dont Apple, par exemple, a conçu son système d’exploitation de manière à ce que tout soit assez «bac à sable», non? Une application ne peut pas faire grand chose en dehors de ses limites. Android est conçu un peu différemment, mais nous devons comprendre que lorsque nous donnons aux applications l'accès à des éléments tels que notre emplacement, notre carnet d'adresses ou toute autre donnée figurant sur ce téléphone, elles sortent immédiatement.. Et il est constamment mis à jour, de sorte que votre site est envoyé dans le cloud à tout propriétaire de cette application. Vous devez vraiment penser à "Est-ce que je fais confiance à ces personnes avec mes informations? Est-ce que je fais confiance à la sécurité de cette société?" En fin de compte, s’ils abritent votre carnet d’adresses et vos données sensibles, si quelqu'un les compromet, ils y ont désormais accès.

Et c'est un accès perpétuel.

C'est vrai.

Vous devez penser en dehors de la boîte. Juste parce que vous téléchargez un nouveau jeu qui a l'air cool, s'ils vous demandent vos informations de lieu et d'agenda, ainsi qu'un accès complet au téléphone, vous leur faites confiance pour avoir tout cet accès pour toujours.

C'est tout à fait vrai. Je pense que vous devez vraiment penser à "Pourquoi demandent-ils cela? En ont-ils réellement besoin?" Et c'est bien de dire "Refuser" et de voir ce qui se passe. Peut-être que cela n'affectera rien et ensuite vous devez vraiment vous demander "Pourquoi ont-ils vraiment demandé cela?"

Des milliers d'applications sont créées uniquement pour collecter des informations personnelles. Elles offrent simplement une certaine valeur ajoutée pour vous permettre de les télécharger, mais le seul et unique objectif est de collecter des informations sur vous et de surveiller votre téléphone.

C'est en fait un problème omniprésent de voir ces entités malveillantes créer des applications qui ressemblent à d'autres applications. Peut-être prétendent-ils être votre banque en ligne alors qu'ils ne le sont pas. En fait, ils ne font que du phishing pour vos informations d'identification, vous devez donc être prudent. Évidemment Il y a un processus de diligence que ces applications doivent suivre avant d'être publiées sur l'App Store, mais ce n'est pas infaillible.

Je veux vous poser les questions que je pose à tout le monde qui vient sur ce spectacle. Y a-t-il une tendance technologique particulière qui vous inquiète le plus garde Tu es debout la nuit?

Réellement nous parlions de mobile, et je pense que l'adoption rapide du mobile et des transactions de presque tout le monde se produit sur mobile par rapport à un navigateur Web. Ce qui me fait peur, c’est le manque de diligence en matière de sécurité de la part des entreprises, des personnes qui développent ces applications. Ils ne pensent pas à la sécurité dans ces applications de la même manière que pour leurs réseaux d'entreprise et leurs environnements d'applications Web. Il existe donc des API susceptibles d'attaques. Ils stockent des mots de passe sur l'appareil, la cryptographie est souvent implémentée de manière incorrecte. Cela me fait peur, sachant que de plus en plus de personnes effectuent des transactions sur ces appareils. Pourtant, les entreprises qui développent ces applications ne pensent pas à la sécurité de la même manière qu’elles ne font tout le reste. Je pense que ça va mieux, mais nous n'y sommes pas encore.

Existe-t-il une application, un service ou un gadget que vous utilisez tous les jours et qui inspire des merveilles, qui vous impressionne?

C'est une bonne question. Je suis un grand fan de la suite d'outils de Google. Ils interagissent vraiment et travaillent extrêmement bien et s'intègrent bien ensemble. Je suis donc un grand utilisateur d'applications Google. Et ce n’est pas uniquement parce que Google investit dans notre société.

Il y a un peu de Google partout.

Il y a un peu de Google partout.

Il y a quelque chose à dire pour prendre un moment et leur donner crédit pour ce qu'ils ont fait. Ils voulaient vraiment rendre l'information du monde accessible à la recherche et compréhensible, et ils ont fait un très bon travail à cet égard.

En fait, nous venons de recevoir un nouveau tableau blanc, un tableau blanc numérique dans notre bureau - le Jamboard - et c'est l'un des appareils les plus cools que j'aie vus depuis longtemps. Simplement la possibilité d’écrire quelque chose sur un tableau blanc, de l’économiser et de le rétablir, ou d’interagir et d’interagir avec une autre personne ou avec un iPad. Je veux dire, c’est incroyable, et parler de collaboration à distance rend la tâche beaucoup plus facile.

C'est excitant de voir cette progression dans la manière dont nous pouvons travailler ensemble. Nous n'avons pas besoin d'avoir des personnes situées dans un seul bureau, nous pouvons apporter de mauvaises vieilles idées et je pense que c'est vraiment cool.

C'est un produit vraiment très cool. Nous l'avons testé en laboratoire et nous avons eu quelques problèmes avec certains logiciels, mais c'est première génération. Cela vient tout juste de paraître il y a deux mois, et ce sera certainement la façon dont les gens communiqueront dans les salles de conférence pour les années à venir.

Tout à fait d'accord.

Quelques mises à jour logicielles sont nécessaires pour faciliter la tâche.

C'est un peu buggy, mais c'est quand même incroyable.

Comment les gens peuvent-ils vous rattraper, vous suivre en ligne et savoir ce que vous faites?

Oui, je suis sur Twitter @JayKaplan. Notre blog à Synack.com/blog, est également un endroit idéal pour entendre les dernières nouvelles sur la cybersécurité et sur ce que nous faisons en tant qu'entreprise. De plus, certains de mes articles y sont publiés. Je suis aussi sur LinkedIn, postant là-bas de temps en temps. J'essaie de rester aussi actif que possible sur les médias sociaux. Je ne suis pas le meilleur.

Ça prend beaucoup de temps.

À ça, mais j'essaye.

Vous avez aussi un travail à faire.

Exactement.