Wawancara Majalah Fortune dengan Chief Security Officer Kraken: Mengapa Kita Harus Menyewa Tim Peretas untuk Menyerang Diri Sendiri?

Kata-kata: Marco Quiroz-Gutierrez

Narasumber: Nick Percoco, Chief Security Officer, Kraken

编译:Luffy,Berita Pandangan ke Depan

! [Wawancara Majalah Fortune dengan Kepala Petugas Keamanan Kraken: Mengapa Kita Harus Menyewa Tim Peretas untuk Menyerang Diri Sendiri?] ](https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)

Nick Percoco, Kepala Petugas Keamanan, Kraken

Dalam karir yang membentang lebih dari dua dekade, Nick Percoco telah membantu perusahaan membangun keamanan siber. Sejak Percoco mengambil peran sebagai Chief Security Officer Kraken pada tahun 2018, ia telah berperan penting dalam membantu memformalkan strategi keamanannya. Sekarang, dia mengawasi keamanan, TI, dan penipuan di bursa cryptocurrency.

Majalah Fortune baru-baru ini mewawancarai Percoco untuk membahas secara rinci mengapa Kraken meningkatkan keamanan dengan peretasan ramah dan mengapa orang Amerika sangat rentan terhadap serangan jahat.

Bagaimana Anda memulai crypto dan bagaimana Anda masuk ke Kraken?**

Saya memiliki laboratorium forensik (SpiderLabs, didirikan oleh Percoco dan sekarang bagian dari Trustwave) yang memiliki sejumlah besar GPU untuk memecahkan kata sandi. Jadi kami dalam forensik, kami mendapatkan file terenkripsi, kami mencoba mendekripsi (mencoba menemukan kata sandi yang lemah di lingkungan), tetapi sebagian besar waktu GPU ini menganggur. Sekitar tahun 2011, 2012, beberapa orang di lab kami mulai berbicara tentang Bitcoin, seperti, “Hei, kita bisa menambang beberapa Bitcoin dengan GPU ini.” Mereka bertanya apakah mereka bisa melakukan itu, dan pada saat itu Bitcoin hampir tidak berharga, dan saya berkata, “Ya, tentu saja. Ayo bersenang-senang.” Kemudian semua orang membuat dompet, kami saling mengirim bitcoin, dan pada saat itu seperti menjelajahi masa depan uang.

Ini bukan tentang investasi atau strategi jangka panjang apa pun, itu hanya karena “itu sangat keren.” Teknologi tanpa izin inilah yang memungkinkan Anda mengirim uang melalui internet tanpa harus melalui siapa pun, seperti satu dompet ke dompet lainnya di blockchain. " Saat ini, dipahami bahwa teknologi ini menarik, tetapi sepuluh tahun yang lalu, itu lebih seperti fiksi ilmiah. Jadi saya sangat tertarik dengan itu, tetapi belum benar-benar cukup dalam untuk menjadi penggemar Bitcoin. Saya tidak mengatakan, “Saya akan menambang ratusan bitcoin atau ribuan bitcoin, saya tidak pergi ke rute itu.” 」

Saya telah bekerja di komunitas keamanan dan komunitas peretas, dan ada sedikit tumpang tindih antara komunitas kripto dan komunitas keamanan. Setelah melakukan beberapa pekerjaan keamanan untuk startup, Trustwave dijual ke Singtel, dan kemudian saya bekerja di Rapid7, membantu mereka go public, yang merupakan perusahaan keamanan siber lainnya. Kemudian, saya bergabung dengan perusahaan AI dan bertanggung jawab atas keamanan mereka selama beberapa tahun. Kami dihubungi oleh seorang teman saya dan CEO Kraken Dave Ripley. Kraken merekrut bakat untuk menentukan program keamanan. Saya mulai mengobrol dengan Dave (yang merupakan COO kami saat itu) dan diperkenalkan kepada Jesse Powell, mantan CEO dan pendiri Kraken. Saat itulah saya bergabung dengan Kraken pada musim gugur 2018 sebagai Chief Security Officer. Hari ini, saya di sini bertanggung jawab atas keamanan, TI, dan penipuan.

Seperti apa pekerjaan biasa untuk Chief Security Officer? **

Saya telah mengaturnya sedikit seperti tumpukan, dengan hal-hal paling teknis di bagian atas dan hal-hal paling teknis di bagian bawah. Di bagian paling atas tumpukan ini, orang-orang yang bekerja dengan saya pada dasarnya berada dalam apa yang kami sebut kebijakan keamanan. Kami terus berpikir, “Ke mana kita harus pergi dengan program keamanan kita, apa yang kita lihat? Tren apa yang kita lihat? Apa yang bisa kita pelajari?”

Lapisan berikutnya pada dasarnya adalah kelompok tata kelola keamanan informasi kami – kebijakan dan prosedur, persyaratan peraturan keamanan, audit eksternal, uji tuntas vendor dan audit keamanan, dan uji tuntas pelanggan.

Tingkat berikutnya adalah fungsi operasi keamanan di dalam perusahaan, yang merupakan tim biru kami yang memantau respons deteksi terhadap insiden keamanan, baik itu internal maupun eksternal perusahaan kami. Ini adalah tim 24/7/365 di dalam perusahaan. Ini sangat penting bagi kami. Ketika sesuatu terjadi, kita perlu tahu dalam hitungan detik, bukan tiga minggu kemudian. Ketika sesuatu terjadi di dalam atau di luar perusahaan yang menjadi perhatian kita, kita tahu dalam hitungan detik.

Kami juga memiliki tim merah, yang pada dasarnya adalah tim peretas yang saya rekrut untuk meretas kami secara teratur, dari luar, dari dalam, rekayasa sosial, dan sebagainya, karena para penjahat tidak memiliki aturan apa pun, dan mereka akan mencoba setiap sudut yang mungkin.

Kami juga memiliki tim keamanan aplikasi yang pada dasarnya memeriksa setiap baris kode, baik itu di aplikasi seluler kami atau di situs web kami. Setiap perubahan diteliti pada setiap baris kode - setiap ketergantungan yang mungkin kita perkenalkan ke dalam basis kode itu diteliti. Kami terus-menerus mendeteksi potensi kerentanan, kerentanan nyata, dan mengirimkan laporan bug bounty, yang merupakan siklus identifikasi dan perbaikan konstan.

**Bagaimana Kraken mendukung pelanggan yang terkena dampak penipuan? **

Banyak cara di mana pelanggan tertipu adalah melalui phishing, situs web palsu atau penipuan. Pelanggan berkeliaran di luar ekosistem kami dan berinteraksi dengan situs-situs ini pada waktu tertentu, jadi kami memiliki orang-orang khusus yang bertanggung jawab - rata-rata, kami mencatat tiga hingga empat situs web, akun media sosial, dan situs penipuan lainnya setiap hari.

Apa saja contoh penipuan cryptocurrency yang umum? **

Sering kali, penipuan ini sangat berteknologi rendah. Mereka lebih seperti rekayasa sosial daripada peretasan seperti yang orang sebut mereka. Dalam kasus ini, yang biasanya terjadi adalah seseorang berteman dengan mereka, membuat mereka merasa dipercaya, dan mulai menyuruh mereka melakukan hal-hal yang tidak mereka pahami, dan kemudian dana mereka dicuri. Masalahnya bisa seperti, "Oh, akan ada airdrop dan kami mendaftarkan dompet untuk mendapatkan token, jadi Anda harus masuk ke dompet Anda dan memberi kami frase benih. Kami kemudian akan mendaftarkan Anda, dan Anda akan mendapatkan token airdrop senilai $ 10.000. " Kemudian orang-orang melakukan itu, dan sekitar 10 menit kemudian, dompet digeledah dan mereka dikeluarkan dari Discord.

Ada penipuan teknologi rendah lainnya yang sebenarnya hanya penipuan investasi di mana orang melihat situs web investasi yang tampak sah dan akhirnya mengirim uang ke perusahaan ini, yang mencuri uang mereka.

**Dapatkah Anda berbicara tentang pengalaman Anda melacak kerentanan dan seperti apa prosesnya? **

Berikut contohnya: kami memiliki pelanggan yang memiliki masalah dengan akun mereka. Mereka mengaku sedang berbicara dengan staf pendukung kami. Mereka mengatakan bahwa seseorang masuk ke akun mereka dan menarik dana darinya. Dalam percakapan dengan staf dukungan kami, mereka menyebutkan aplikasi seluler yang mereka gunakan dan cara mereka menggambarkan aplikasi seluler tidak cocok dengan pengalaman seluler kami.

Jadi, staf pendukung meminta mereka untuk mengirim beberapa tangkapan layar aplikasi seluler. Benar saja, ini bukan aplikasi seluler kami. Ini memiliki nama yang sama dan memiliki logo kami, tetapi itu bukan milik kami. Ini hanyalah aplikasi Kraken yang sangat sederhana. Kemudian kami bertanya kepada mereka dari mana mereka mengunduh aplikasi, dan ternyata mereka menggunakan toko tempat Anda dapat mengunduh aplikasi dari samping. Ini tidak seperti Google Play atau App Store, di mana ada banyak aplikasi crypto.

Bagaimana keamanan siber di AS berbeda dari luar negeri? **

Geng kriminal cenderung menargetkan lebih banyak warga AS. Alasan utamanya adalah bahwa di Amerika Serikat, lebih mudah bagi geng kriminal untuk mendapatkan informasi identitas korban mereka. Ada konsep agregator data di Amerika Serikat, di mana pada dasarnya Anda dapat menemukan informasi apa pun tentang individu mana pun dengan biaya tertentu. Anda dapat menemukan semua alamat lama, anggota keluarga, alamat email, nomor telepon, dan informasi sensitif lainnya. Di luar negeri, agak sulit karena beberapa undang-undang privasi.

Sebagai penjahat, jika saya ingin menargetkan orang-orang yang aktif di ruang cryptocurrency, saya mungkin akan menemukannya di media sosial. Mereka mungkin sangat aktif di Twitter crypto. Saya dapat melakukan penelitian dan menentukan siapa mereka, tetapi bisa sulit jika mereka berada di luar AS. Bahkan, sebagai penjahat, saya mungkin menemukan seseorang, tetapi saya tidak perlu menargetkannya – saya mungkin menargetkan anggota keluarga yang tinggal di rumah yang sama dan yang mungkin tidak paham keamanan. Begitu saya masuk ke komputer anggota keluarga itu, saya berada di jaringan yang sama dengan orang yang ingin saya lacak.

Bagaimana AI akan memengaruhi keamanan siber? **

Kecerdasan buatan memungkinkan tim biru untuk menskalakan. Misalnya, Anda dapat melatih model AI untuk mendeteksi aktivitas yang berpotensi berbahaya dalam kumpulan data yang lebih besar. Dengan alat tradisional, Anda sering harus menerapkan aturan yang lebih statis. Dengan AI, aturan-aturan ini tidak harus begitu statis, dan itu bisa lebih sesuai dengan logika manusia - seperti jika Anda meminta seseorang untuk melihat file log dan mungkin dapat menentukan apakah sesuatu terlihat mencurigakan, bukan hanya seperangkat aturan sederhana. Aturan dapat melewatkannya, dan manusia dapat mendeteksinya, tetapi hanya pada kecepatan tertentu. Anda tidak dapat mengirimkan satu miliar log ke manusia setiap jam, tetapi Anda dapat mengirimkan satu miliar log ke AI setiap jam. Saya pikir itu membantu pertahanan.

Di sisi penyerang, kecerdasan buatan juga membantu. Misalnya, panggilan video, deepfake pengubah suara. Dari sudut pandang scammer, ini memungkinkan korban untuk melepas pertahanan mereka. Faktanya, itulah yang dilakukan tim merah kami. Mereka mengambil semua video yang saya lakukan atau sebagian dari mereka dan memasukkannya ke AI. Mereka menciptakan suara saya untuk memanggil karyawan yang berbeda dan meminta mereka untuk melakukan sesuatu dan melihat apakah karyawan itu benar-benar akan melakukannya karena kedengarannya persis seperti saya. Ketika saya mendengar suara simulasi ini, kedengarannya agak luar biasa. Itu membuat saya sedikit ngeri karena itu seperti suara saya, tetapi tidak sepenuhnya.

Apa artinya ini bagi masa depan keuangan?

Saya pikir masa depan keuangan adalah dunia di mana Anda bebas bertransaksi dengan siapa pun, tanpa izin, di dunia Anda, tidak peduli siapa Anda atau di mana Anda tinggal, dan itulah janji cryptocurrency. Itulah tujuan kami di sini, untuk memungkinkan orang melakukan itu. Di planet ini, banyak orang berada pada posisi yang kurang menguntungkan dan mereka tidak dapat melakukan hal-hal ini menggunakan sistem keuangan tradisional, jadi janji cryptocurrency adalah untuk memungkinkan orang melakukan itu.