مقابلة مجلة فورتشن مع كبير ضباط الأمن في كراكن: لماذا يجب علينا توظيف فريق من المتسللين لمهاجمة أنفسنا؟

كلمات: ماركو كيروز جوتيريز

الشخص الذي أجريت معه المقابلة: بيركوكو، كبير مسؤولي الأمن، كراكن

编译:لوفي ، أخبار البصيرة

! [مقابلة مجلة فورتشن مع كبير مسؤولي الأمن في كراكن: لماذا يجب علينا توظيف فريق من المتسللين لمهاجمة أنفسنا؟] ] (https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)

بيركوكو، كبير مسؤولي الأمن، كراكن

في مهنة امتدت لأكثر من عقدين من الزمن ، ساعد بيركوكو الشركات على إنشاء الأمن السيبراني. منذ أن تولى بيركوكو منصب كبير مسؤولي الأمن في كراكن في عام 2018 ، كان له دور فعال في المساعدة في إضفاء الطابع الرسمي على استراتيجيتها الأمنية. الآن ، يشرف على الأمن وتكنولوجيا المعلومات والاحتيال في بورصات العملات المشفرة.

أجرت مجلة فورتشن مؤخرا مقابلة مع بيركوكو لمناقشة بالتفصيل لماذا يحسن كراكن الأمن من خلال القرصنة الودية ولماذا يكون الأمريكيون عرضة بشكل خاص للهجمات الخبيثة.

كيف بدأت في التشفير وكيف دخلت إلى كراكن؟**

لدي مختبر الطب الشرعي (SpiderLabs ، الذي أسسه Percoco وهو الآن جزء من Trustwave) يحتوي على عدد كبير من وحدات معالجة الرسومات لتكسير كلمة المرور. لذلك نحن في الطب الشرعي ، نحصل على ملفات مشفرة ، نحاول فك تشفيرها (نحاول العثور على كلمات مرور ضعيفة في البيئة) ، ولكن في معظم الأحيان تكون وحدات معالجة الرسومات هذه خاملة. حوالي عام 2011 ، 2012 ، بدأ بعض الأشخاص في مختبرنا يتحدثون عن Bitcoin ، مثل ، “مرحبا ، يمكننا تعدين بعض Bitcoin باستخدام وحدات معالجة الرسومات هذه.” سألوا عما إذا كان بإمكانهم فعل ذلك ، وفي ذلك الوقت كانت عملة البيتكوين عديمة القيمة تقريبا ، وقلت ، “نعم ، بالطبع. دعونا نستمتع.” ثم يقوم الجميع بإنشاء محافظ ، ونرسل لبعضنا البعض عملات البيتكوين ، وفي ذلك الوقت يشبه الأمر استكشاف مستقبل المال.

لا يتعلق الأمر حقا بأي نوع من الاستثمار أو الإستراتيجية طويلة الأجل ، بل لمجرد أنه “رائع حقا”. إنها هذه التقنية غير المصرح بها التي تسمح لك بإرسال الأموال عبر الإنترنت دون الحاجة إلى المرور عبر أي شخص ، مثل محفظة إلى أخرى على blockchain ". اليوم ، من المفهوم أن هذه التكنولوجيا مثيرة للاهتمام ، ولكن قبل عشر سنوات ، كانت أشبه بالخيال العلمي. لذلك أنا مهتم جدا بذلك ، لكنني لم أتعمق حقا بما يكفي لأكون متحمسا للبيتكوين. لم أقل ، “سأقوم بتعدين مئات عملات البيتكوين أو الآلاف من عملات البيتكوين ، لم أسلك هذا الطريق.” 」

لقد عملت في مجتمع الأمن ومجتمع المتسللين ، وهناك القليل من التداخل بين مجتمع التشفير ومجتمع الأمان. بعد القيام ببعض الأعمال الأمنية للشركات الناشئة ، تم بيع Trustwave إلى Singtel ، ثم عملت في Rapid7 ، لمساعدتهم على طرح أسهمهم للاكتتاب العام ، وهي شركة أخرى للأمن السيبراني. في وقت لاحق ، انضممت إلى شركة الذكاء الاصطناعي وكنت مسؤولا عن أمنها لعدة سنوات. تم التواصل معنا من قبل صديق لي والرئيس التنفيذي لشركة Kraken ديف ريبلي. تقوم Kraken بتوظيف المواهب لتحديد برنامج الأمان. بدأت الدردشة مع ديف (الذي كان مدير العمليات لدينا في ذلك الوقت) وتعرفت على جيسي باول ، الرئيس التنفيذي السابق ومؤسس كراكن. هذا عندما انضممت إلى Kraken في خريف عام 2018 كرئيس للأمن. اليوم ، أنا هنا مسؤول عن الأمن وتكنولوجيا المعلومات والاحتيال.

كيف تبدو الوظيفة النموذجية لكبير ضباط الأمن؟ **

لقد قمت بتنظيمها قليلا مثل المكدس ، مع أقل الأشياء التقنية في الأعلى والأشياء الأكثر تقنية في الأسفل. في الجزء العلوي من هذه المجموعة ، الأشخاص الذين أعمل معهم هم في الأساس فيما نسميه سياسات الأمان. نستمر في التفكير ، “إلى أين نحتاج أن نذهب مع برامجنا الأمنية ، ماذا نرى؟ ما هي الاتجاهات التي نراها؟ ما الذي يمكننا أن نتعلم منه؟”

الطبقة التالية هي في الأساس مجموعة حوكمة أمن المعلومات لدينا - السياسات والإجراءات ، والمتطلبات التنظيمية الأمنية ، وعمليات التدقيق الخارجية ، والعناية الواجبة للبائعين وعمليات التدقيق الأمني ، والعناية الواجبة للعملاء.

المستوى التالي هو وظيفة العمليات الأمنية داخل الشركة ، وهو فريقنا الأزرق الذي يراقب استجابة الكشف للحوادث الأمنية ، سواء كانت داخلية أو خارجية لشركتنا. هذا فريق 24/7/365 داخل الشركة. هذا أمر بالغ الأهمية بالنسبة لنا. عندما يحدث شيء ما ، نحتاج إلى معرفته في ثوان ، وليس بعد ثلاثة أسابيع. عندما يحدث شيء داخل أو خارج الشركة التي تهمنا ، فإننا نعرف في غضون ثوان.

لدينا أيضا فريق أحمر ، وهو في الأساس فريق من المتسللين الذين قمت بتجنيدهم لاختراقنا على أساس منتظم ، من الخارج ، من الداخل ، الهندسة الاجتماعية ، وما إلى ذلك ، لأن المجرمين ليس لديهم أي قواعد ، وسيحاولون كل زاوية ممكنة.

لدينا أيضا فريق أمان التطبيقات الذي يتحقق بشكل أساسي من كل سطر من التعليمات البرمجية ، سواء كان ذلك في تطبيق الهاتف المحمول الخاص بنا أو على موقعنا على الويب. يتم فحص كل تغيير في كل سطر من التعليمات البرمجية - يتم فحص كل تبعية قد ندخلها في قاعدة التعليمات البرمجية هذه. نحن نكتشف باستمرار نقاط الضعف المحتملة ، ونقاط الضعف الحقيقية ، ونقدم تقارير مكافأة الأخطاء ، وهي دورة من التحديد والإصلاح المستمر.

**كيف تدعم كراكن العملاء المتأثرين بعملية الاحتيال؟ **

العديد من الطرق التي يتم بها خداع العملاء هي من خلال التصيد الاحتيالي أو مواقع الويب المزيفة أو الاحتيالية. يتجول العملاء خارج نظامنا البيئي ويتفاعلون مع هذه المواقع في أي وقت ، لذلك خصصنا أشخاصا مسؤولين - في المتوسط ، نقوم بإزالة ثلاثة إلى أربعة مواقع ويب وحسابات وسائط اجتماعية ومواقع احتيال أخرى كل يوم.

ما هي بعض الأمثلة على عمليات الاحتيال الشائعة للعملات المشفرة؟ **

في كثير من الأحيان ، تكون عمليات الاحتيال هذه منخفضة التقنية. إنها أشبه بالهندسة الاجتماعية من القرصنة كما يسميها الناس. في هذه الحالات ، ما يحدث عادة هو أن شخصا ما يصادقهم ، ويجعلهم يشعرون بالثقة ، ويبدأ في إخبارهم بالقيام بأشياء لا يفهمونها تماما ، ثم تسرق أموالهم. يمكن أن يكون الشيء شيئا مثل ، "أوه ، سيكون هناك إنزال جوي ونحن نسجل محفظة للحصول على الرموز المميزة ، لذلك ستحتاج إلى الدخول إلى محفظتك وإعطائنا العبارة الأولية. سنقوم بعد ذلك بتسجيلك ، وستحصل على رموز الإنزال الجوي بقيمة 10,000 دولار ". ثم فعل الناس ذلك ، وبعد حوالي 10 دقائق ، تم نهب المحافظ وطردهم من Discord.

هناك عمليات احتيال أخرى منخفضة التقنية هي في الواقع مجرد عمليات احتيال استثمارية حيث يرى الناس موقعا استثماريا شرعيا وينتهي بهم الأمر بإرسال الأموال إلى هذه الشركة ، التي تسرق أموالهم.

** هل يمكنك التحدث عن تجربتك في تعقب ثغرة أمنية وكيف كانت العملية؟ **

إليك مثال: لدينا عميل لديه مشكلة في حسابه. يزعمون أنهم يتحدثون إلى موظفي الدعم لدينا. يقولون أن شخصا ما قام بتسجيل الدخول إلى حسابه وسحب الأموال منه. في المحادثات مع موظفي الدعم لدينا ، ذكروا تطبيق الهاتف المحمول الذي كانوا يستخدمونه والطريقة التي وصفوا بها تطبيق الهاتف المحمول لا تتطابق مع تجربة الهاتف المحمول الخاصة بنا.

لذلك ، طلب منهم موظفو الدعم إرسال بعض لقطات الشاشة لتطبيق الهاتف المحمول. من المؤكد أن هذا ليس تطبيقنا للجوال. لها نفس الاسم ولها شعارنا ، لكنها ليست شعارنا. هذا مجرد تطبيق Kraken بدائي للغاية. ثم سألناهم من أين قاموا بتنزيل التطبيق ، واتضح أنهم كانوا يستخدمون متجرا حيث يمكنك تنزيل التطبيق من الجانب. إنه ليس مثل Google Play أو App Store ، حيث يوجد الكثير من تطبيقات التشفير.

كيف يختلف الأمن السيبراني في الولايات المتحدة عن الخارج؟ **

تميل العصابات الإجرامية إلى استهداف المزيد من المواطنين الأمريكيين. السبب الرئيسي هو أنه في الولايات المتحدة ، من الأسهل على العصابات الإجرامية الحصول على معلومات هوية ضحاياها. هناك مفهوم مجمع البيانات في الولايات المتحدة ، حيث يمكنك بشكل أساسي العثور على أي معلومات حول أي فرد مقابل رسوم. يمكنك العثور على جميع عناوينهم السابقة وأفراد العائلة وعناوين البريد الإلكتروني وأرقام الهواتف والمعلومات الحساسة الأخرى. في الخارج ، الأمر صعب بعض الشيء بسبب بعض قوانين الخصوصية.

بصفتي مجرما ، إذا كنت أرغب في استهداف الأشخاص النشطين في مجال العملات المشفرة ، فمن المحتمل أن أجدهم على وسائل التواصل الاجتماعي. قد يكونون نشطين للغاية على تشفير Twitter. يمكنني إجراء بعض الأبحاث وتحديد من هم ، ولكن قد يكون من الصعب إذا كانوا خارج الولايات المتحدة. في الواقع، كمجرم، قد أجد شخصا ما، لكن ليس بالضرورة أن أستهدفه - قد أستهدف أفراد الأسرة الذين يعيشون في نفس المنزل والذين قد لا يكونون على دراية أمنية. بمجرد دخولي إلى كمبيوتر أحد أفراد العائلة ، أكون على نفس الشبكة مثل الشخص الذي أريد تتبعه.

كيف سيؤثر الذكاء الاصطناعي على الأمن السيبراني؟ **

يمكن الذكاء الاصطناعي الفريق الأزرق من التوسع. على سبيل المثال، يمكنك تدريب نموذج الذكاء الاصطناعي لاكتشاف النشاط الضار المحتمل في مجموعات البيانات الأكبر. باستخدام الأدوات التقليدية ، غالبا ما يتعين عليك تطبيق قواعد أكثر ثباتا. مع الذكاء الاصطناعي ، لا يجب أن تكون هذه القواعد ثابتة للغاية ، ويمكن أن تكون أكثر انسجاما مع المنطق البشري - كما لو طلبت من شخص ما إلقاء نظرة على ملف سجل وربما تكون قادرا على تحديد ما إذا كان هناك شيء يبدو مريبا ، بدلا من مجرد مجموعة بسيطة من القواعد. يمكن أن تفوتها مجموعة القواعد ، ويمكن للإنسان اكتشافها ، ولكن بسرعة معينة فقط. لا يمكنك تسليم مليار سجل إلى إنسان كل ساعة ، ولكن يمكنك تسليم مليار سجل إلى الذكاء الاصطناعي كل ساعة. أعتقد أنه يساعد الدفاع.

على جانب المهاجم ، يساعد الذكاء الاصطناعي أيضا. على سبيل المثال ، مكالمات الفيديو ، تغيير الصوت التزييف العميق. من وجهة نظر المخادع ، فإنه يسمح للضحية بخلع دفاعاتها. في الواقع، هذا ما فعله فريقنا الأحمر. أخذوا جميع مقاطع الفيديو التي قمت بها أو أجزاء منها وأدخلوها في الذكاء الاصطناعي. لقد أنشأوا صوتي للاتصال بموظفين مختلفين ومطالبتهم بفعل شيء ما ومعرفة ما إذا كان الموظف سيفعل ذلك بالفعل لأنه بدا مثلي تماما. عندما أسمع هذه الأصوات المحاكية ، يبدو الأمر مذهلا بعض الشيء. يجعلني أتذلل قليلا لأنه يشبه صوتي ، لكن ليس تماما.

ماذا يعني هذا بالنسبة لمستقبل التمويل؟

أعتقد أن مستقبل التمويل هو عالم تكون فيه حرا في التعامل مع أي شخص ، دون إذن ، في عالمك ، بغض النظر عن هويتك أو المكان الذي تعيش فيه ، وهذا هو وعد العملة المشفرة. هذا ما نحن هنا من أجله ، لتمكين الناس من القيام بذلك. على هذا الكوكب ، يكون الكثير من الناس في وضع غير مؤات ولا يمكنهم القيام بهذه الأشياء باستخدام النظام المالي التقليدي ، لذا فإن وعد العملات المشفرة هو تمكين الناس من القيام بذلك.