文:マルコ・キロス・グティエレス
回答者: Nick Percoco 氏 (Kraken 最高セキュリティ責任者)
编译:ルフィ、フォーサイトニュース
! フォーチュン誌によるクラーケンの最高セキュリティ責任者へのインタビュー:なぜハッカーチームを雇うべきなのか?
Nick Percoco 氏 (最高セキュリティ責任者、Kraken)
20年以上にわたるキャリアの中で、Nick Percocoは企業のサイバーセキュリティの確立を支援してきました。 Percocoは2018年にクラーケンの最高セキュリティ責任者に就任して以来、同社のセキュリティ戦略の策定に尽力してきました。 現在、彼は暗号通貨取引所のセキュリティ、IT、詐欺を監督しています。
フォーチュン誌は最近、Percocoにインタビューを行い、クラーケンが友好的なハッキングでセキュリティを向上させる理由と、アメリカ人が悪意のある攻撃に対して特に脆弱である理由について詳しく説明しました。
私のフォレンジックラボ(SpiderLabs、Percocoによって設立され、現在はTrustwaveの一部)には、パスワードクラッキング用のGPUが多数あります。 そのため、フォレンジックを行い、暗号化されたファイルを入手し、復号化を試みていますが(環境内の脆弱なパスワードを見つけようとしています)、ほとんどの場合、これらのGPUはアイドル状態です。 2011年、2012年頃、私たちの研究室の何人かの人々がビットコインについて話し始めました、「ねえ、これらのGPUでビットコインをマイニングできます」。 彼らはそれができるかどうか尋ねました、そして当時ビットコインはほとんど価値がなかったので、私は「はい、もちろんです。 楽しみましょう」 そして、みんながウォレットを作り、お互いにビットコインを送り合うのですが、その時はお金の未来を探るようなものです。
それは、投資や長期的な戦略ではなく、単に「本当にクールだから」という理由だけです。 このパーミッションレスな技術により、ブロックチェーン上のウォレットからウォレットへ、誰をも介さずにインターネット経由で送金することができます。」 今でこそ面白い技術だと理解されていますが、10年前はSFのようでした。 ですから、私はそれに非常に興味がありますが、ビットコイン愛好家になるほど深くはなっていません。 私は「何百ビットコイン、何千ビットコインを採掘するつもりだ、私はそのルートをとらなかった」とは言いませんでした。 」
私はセキュリティコミュニティとハッカーコミュニティで働いてきましたが、暗号コミュニティとセキュリティコミュニティの間には少し重複する部分があります。 スタートアップ企業でセキュリティ業務に従事した後、TrustwaveはSingtelに売却され、その後、Rapid7で働き、別のサイバーセキュリティ企業であるRapid7の上場を支援しました。 その後、AI企業に入社し、数年間セキュリティを担当しました。 友人でクラーケンのCEOであるデイブ・リプリーから連絡がありました。 クラーケンは、セキュリティプログラムを決定するために人材を募集しています。 Dave(当時のCOO)と話をし始め、Krakenの元CEO兼創業者であるJesse Powellを紹介されました。 2018年秋、最高セキュリティ責任者としてクラーケンに入社しました。 現在、私はセキュリティ、IT、不正対策を担当しています。
私はそれをスタックのように整理し、最も技術的なものを一番上に、最も技術的なものを一番下にしました。 このスタックの一番上にいるのは、基本的にセキュリティポリシーと呼ばれる人たちです。 私たちは常に、「セキュリティプログラムをどこへ進める必要があるのか、何を見るのか、どのような傾向があるのか」を考え続けています。 私たちは何から学べるのか?
次のレイヤーは基本的に、ポリシーと手順、セキュリティ規制要件、外部監査、ベンダーのデューデリジェンスとセキュリティ監査、および顧客のデューデリジェンスである情報セキュリティガバナンスグループです。
次のレベルは、社内のセキュリティ運用機能で、社内外を問わず、セキュリティインシデントに対する検出対応を監視するブルーチームです。 これは、社内の24/7/365チームです。 これは私たちにとって非常に重要なことです。 何かが起こったとき、3週間後ではなく、数秒で知る必要があります。 社内外で何か気になることがあれば、数秒でわかります。
また、レッドチームというのは、基本的に私が採用したハッカーのチームで、外部から、内部から、ソーシャルエンジニアリングなど、定期的にハッキングを行っています。
また、アプリセキュリティチームがあり、モバイルアプリでもWebサイトでも、基本的にすべてのコード行をチェックしています。 すべての変更はコードのすべての行で精査され、そのコードベースに導入される可能性のあるすべての依存関係が精査されます。 潜在的な脆弱性や実際の脆弱性を常に検出し、バグバウンティレポートを提出しており、常に特定と修正のサイクルを回しています。
顧客を騙す方法の多くは、フィッシング、偽物、または詐欺的なWebサイトです。 顧客はエコシステムの外に出て、いつでもこれらのサイトとやり取りするため、専任の担当者がおり、平均して毎日3〜4つのWebサイト、ソーシャルメディアアカウント、その他の詐欺サイトを削除しています。
多くの場合、これらの詐欺は非常にローテクです。 これらは、人々が呼ぶハッキングというよりも、ソーシャルエンジニアリングのようなものです。 このような場合、通常、誰かが彼らと仲良くなり、彼らを信頼していると感じさせ、彼らがよく理解していないことをするように言い始め、そして彼らの資金が盗まれることです。 「ああ、エアドロップがあり、トークンを取得するためにウォレットを登録しているので、ウォレットに入ってシードフレーズを提供する必要があります。 その後、サインアップすると、10,000ドル相当のエアドロップトークンがもらえます。 その後、人々はそれを行い、約10分後、財布が荒らされ、Discordから追い出されました。
他にも、正当に見える投資サイトを見て、この会社に送金してお金を盗むという、単なる投資詐欺であるローテク詐欺があります。
たとえば、アカウントに問題がある顧客がいるとします。 彼らは私たちのサポートスタッフと話していると主張しています。 彼らは、誰かが自分のアカウントにログインし、そこから資金を引き出したと言います。 サポートスタッフとの会話の中で、彼らは使用しているモバイルアプリについて言及し、モバイルアプリの説明方法が私たちのモバイルエクスペリエンスと一致しませんでした。
そこで、サポートスタッフはモバイルアプリのスクリーンショットを送るように頼みました。 案の定、これはモバイルアプリではありません。 同じ名前でロゴがありますが、私たちのものではありません。 これは非常に初歩的なクラーケンアプリです。 そこで、どこからアプリをダウンロードしたのかを聞いてみたところ、横からアプリをダウンロードできるストアを利用していることが判明しました。 Google PlayやApp Storeのように、暗号アプリがたくさんあるわけではありません。
犯罪組織は、より多くの米国市民を標的にする傾向があります。 主な理由は、米国では、犯罪組織が被害者の身元情報を入手しやすいことです。 米国にはデータアグリゲーターという概念があり、基本的には個人に関する情報を有料で見つけることができます。 過去の住所、家族、メールアドレス、電話番号、その他の機密情報をすべて見つけることができます。 海外では、いくつかのプライバシー法のために少し難しいです。
犯罪者として、暗号通貨の分野で活動している人々を標的にしたい場合は、おそらくソーシャルメディアで彼らを見つけるでしょう。 彼らは暗号ツイッターで非常に活発に活動しているかもしれません。 私はいくつかの調査を行い、彼らが誰であるかを判断することができますが、彼らが米国外にいる場合は難しい場合があります。 実際、犯罪者として誰かを見つけるかもしれませんが、必ずしもその人を標的にする必要はなく、同じ家に住んでいて、セキュリティに精通していない家族を標的にするかもしれません。 その家族のコンピューターにアクセスすると、追跡したい人と同じネットワーク上にいることになります。
人工知能により、ブルー チームは拡張できます。 たとえば、AI モデルをトレーニングして、大規模なデータ セットで悪意のある可能性のあるアクティビティを検出できます。 従来のツールでは、多くの場合、より静的なルールを適用する必要があります。 AIでは、これらのルールはそれほど静的である必要はなく、単純なルールセットではなく、ログファイルを見るように人に依頼して、何かが疑わしいかどうかを判断するなど、人間のロジックに沿ったものにすることができます。 ルールセットはそれを見逃す可能性があり、人間はそれを検出できますが、特定の速度でのみ検出できます。 1 時間ごとに 10 億個のログを人間に配信することはできませんが、1 時間ごとに 10 億個のログを AI に配信することはできます。 守備の助けになると思います。
攻撃者側では、人工知能も役に立っています。 たとえば、ビデオ通話、音声変更ディープフェイクなどです。 詐欺師の視点から見ると、被害者は防御を外すことができます。 実際、それが私たちのレッドチームがやったことです。 彼らは、私が撮影したすべてのビデオまたはその一部を撮影し、AIに入力しました。 彼らは私の声を作り、さまざまな従業員に電話をかけて何かをするように頼み、それが私にそっくりだったので、その従業員が実際にそれを行うかどうかを確認しました。 この模擬音を聞くと、ちょっと信じられないような音がします。 それは私の声に似ているので、私は少しうんざりしますが、完全ではありません。
金融の未来は、あなたが誰であろうと、どこに住んでいようと、あなたの世界で、誰とでも、許可なく、自由に取引できる世界であり、それが暗号通貨の約束だと思います。 そのために、私たちはここにいるのです。 この地球上では、多くの人々が不利な立場にあり、従来の金融システムではこれらのことができないため、暗号通貨の約束は、人々がそれを行うことを可能にすることです。
1.01M 人気度
13.61K 人気度
17.14K 人気度
101.02M 人気度
850.82K 人気度
フォーチュン誌がクラーケンの最高セキュリティ責任者にインタビュー:なぜハッカーチームを組んで攻撃する必要があるのか?
文:マルコ・キロス・グティエレス
回答者: Nick Percoco 氏 (Kraken 最高セキュリティ責任者)
编译:ルフィ、フォーサイトニュース
! フォーチュン誌によるクラーケンの最高セキュリティ責任者へのインタビュー:なぜハッカーチームを雇うべきなのか?
Nick Percoco 氏 (最高セキュリティ責任者、Kraken)
20年以上にわたるキャリアの中で、Nick Percocoは企業のサイバーセキュリティの確立を支援してきました。 Percocoは2018年にクラーケンの最高セキュリティ責任者に就任して以来、同社のセキュリティ戦略の策定に尽力してきました。 現在、彼は暗号通貨取引所のセキュリティ、IT、詐欺を監督しています。
フォーチュン誌は最近、Percocoにインタビューを行い、クラーケンが友好的なハッキングでセキュリティを向上させる理由と、アメリカ人が悪意のある攻撃に対して特に脆弱である理由について詳しく説明しました。
暗号資産を始めたきっかけとクラーケンに入ったきっかけは?
私のフォレンジックラボ(SpiderLabs、Percocoによって設立され、現在はTrustwaveの一部)には、パスワードクラッキング用のGPUが多数あります。 そのため、フォレンジックを行い、暗号化されたファイルを入手し、復号化を試みていますが(環境内の脆弱なパスワードを見つけようとしています)、ほとんどの場合、これらのGPUはアイドル状態です。 2011年、2012年頃、私たちの研究室の何人かの人々がビットコインについて話し始めました、「ねえ、これらのGPUでビットコインをマイニングできます」。 彼らはそれができるかどうか尋ねました、そして当時ビットコインはほとんど価値がなかったので、私は「はい、もちろんです。 楽しみましょう」 そして、みんながウォレットを作り、お互いにビットコインを送り合うのですが、その時はお金の未来を探るようなものです。
それは、投資や長期的な戦略ではなく、単に「本当にクールだから」という理由だけです。 このパーミッションレスな技術により、ブロックチェーン上のウォレットからウォレットへ、誰をも介さずにインターネット経由で送金することができます。」 今でこそ面白い技術だと理解されていますが、10年前はSFのようでした。 ですから、私はそれに非常に興味がありますが、ビットコイン愛好家になるほど深くはなっていません。 私は「何百ビットコイン、何千ビットコインを採掘するつもりだ、私はそのルートをとらなかった」とは言いませんでした。 」
私はセキュリティコミュニティとハッカーコミュニティで働いてきましたが、暗号コミュニティとセキュリティコミュニティの間には少し重複する部分があります。 スタートアップ企業でセキュリティ業務に従事した後、TrustwaveはSingtelに売却され、その後、Rapid7で働き、別のサイバーセキュリティ企業であるRapid7の上場を支援しました。 その後、AI企業に入社し、数年間セキュリティを担当しました。 友人でクラーケンのCEOであるデイブ・リプリーから連絡がありました。 クラーケンは、セキュリティプログラムを決定するために人材を募集しています。 Dave(当時のCOO)と話をし始め、Krakenの元CEO兼創業者であるJesse Powellを紹介されました。 2018年秋、最高セキュリティ責任者としてクラーケンに入社しました。 現在、私はセキュリティ、IT、不正対策を担当しています。
チーフセキュリティオフィサーの典型的な仕事はどのようなものですか? **
私はそれをスタックのように整理し、最も技術的なものを一番上に、最も技術的なものを一番下にしました。 このスタックの一番上にいるのは、基本的にセキュリティポリシーと呼ばれる人たちです。 私たちは常に、「セキュリティプログラムをどこへ進める必要があるのか、何を見るのか、どのような傾向があるのか」を考え続けています。 私たちは何から学べるのか?
次のレイヤーは基本的に、ポリシーと手順、セキュリティ規制要件、外部監査、ベンダーのデューデリジェンスとセキュリティ監査、および顧客のデューデリジェンスである情報セキュリティガバナンスグループです。
次のレベルは、社内のセキュリティ運用機能で、社内外を問わず、セキュリティインシデントに対する検出対応を監視するブルーチームです。 これは、社内の24/7/365チームです。 これは私たちにとって非常に重要なことです。 何かが起こったとき、3週間後ではなく、数秒で知る必要があります。 社内外で何か気になることがあれば、数秒でわかります。
また、レッドチームというのは、基本的に私が採用したハッカーのチームで、外部から、内部から、ソーシャルエンジニアリングなど、定期的にハッキングを行っています。
また、アプリセキュリティチームがあり、モバイルアプリでもWebサイトでも、基本的にすべてのコード行をチェックしています。 すべての変更はコードのすべての行で精査され、そのコードベースに導入される可能性のあるすべての依存関係が精査されます。 潜在的な脆弱性や実際の脆弱性を常に検出し、バグバウンティレポートを提出しており、常に特定と修正のサイクルを回しています。
**クラーケンは詐欺の被害に遭ったお客様をどのようにサポートしていますか? **
顧客を騙す方法の多くは、フィッシング、偽物、または詐欺的なWebサイトです。 顧客はエコシステムの外に出て、いつでもこれらのサイトとやり取りするため、専任の担当者がおり、平均して毎日3〜4つのWebサイト、ソーシャルメディアアカウント、その他の詐欺サイトを削除しています。
一般的な暗号通貨詐欺の例は何ですか? **
多くの場合、これらの詐欺は非常にローテクです。 これらは、人々が呼ぶハッキングというよりも、ソーシャルエンジニアリングのようなものです。 このような場合、通常、誰かが彼らと仲良くなり、彼らを信頼していると感じさせ、彼らがよく理解していないことをするように言い始め、そして彼らの資金が盗まれることです。 「ああ、エアドロップがあり、トークンを取得するためにウォレットを登録しているので、ウォレットに入ってシードフレーズを提供する必要があります。 その後、サインアップすると、10,000ドル相当のエアドロップトークンがもらえます。 その後、人々はそれを行い、約10分後、財布が荒らされ、Discordから追い出されました。
他にも、正当に見える投資サイトを見て、この会社に送金してお金を盗むという、単なる投資詐欺であるローテク詐欺があります。
**脆弱性を突き止めた経験と、そのプロセスがどのようなものだったかについて話していただけますか? **
たとえば、アカウントに問題がある顧客がいるとします。 彼らは私たちのサポートスタッフと話していると主張しています。 彼らは、誰かが自分のアカウントにログインし、そこから資金を引き出したと言います。 サポートスタッフとの会話の中で、彼らは使用しているモバイルアプリについて言及し、モバイルアプリの説明方法が私たちのモバイルエクスペリエンスと一致しませんでした。
そこで、サポートスタッフはモバイルアプリのスクリーンショットを送るように頼みました。 案の定、これはモバイルアプリではありません。 同じ名前でロゴがありますが、私たちのものではありません。 これは非常に初歩的なクラーケンアプリです。 そこで、どこからアプリをダウンロードしたのかを聞いてみたところ、横からアプリをダウンロードできるストアを利用していることが判明しました。 Google PlayやApp Storeのように、暗号アプリがたくさんあるわけではありません。
米国のサイバーセキュリティは海外とどう違うのか? **
犯罪組織は、より多くの米国市民を標的にする傾向があります。 主な理由は、米国では、犯罪組織が被害者の身元情報を入手しやすいことです。 米国にはデータアグリゲーターという概念があり、基本的には個人に関する情報を有料で見つけることができます。 過去の住所、家族、メールアドレス、電話番号、その他の機密情報をすべて見つけることができます。 海外では、いくつかのプライバシー法のために少し難しいです。
犯罪者として、暗号通貨の分野で活動している人々を標的にしたい場合は、おそらくソーシャルメディアで彼らを見つけるでしょう。 彼らは暗号ツイッターで非常に活発に活動しているかもしれません。 私はいくつかの調査を行い、彼らが誰であるかを判断することができますが、彼らが米国外にいる場合は難しい場合があります。 実際、犯罪者として誰かを見つけるかもしれませんが、必ずしもその人を標的にする必要はなく、同じ家に住んでいて、セキュリティに精通していない家族を標的にするかもしれません。 その家族のコンピューターにアクセスすると、追跡したい人と同じネットワーク上にいることになります。
AIはサイバーセキュリティにどのような影響を与えるのか? **
人工知能により、ブルー チームは拡張できます。 たとえば、AI モデルをトレーニングして、大規模なデータ セットで悪意のある可能性のあるアクティビティを検出できます。 従来のツールでは、多くの場合、より静的なルールを適用する必要があります。 AIでは、これらのルールはそれほど静的である必要はなく、単純なルールセットではなく、ログファイルを見るように人に依頼して、何かが疑わしいかどうかを判断するなど、人間のロジックに沿ったものにすることができます。 ルールセットはそれを見逃す可能性があり、人間はそれを検出できますが、特定の速度でのみ検出できます。 1 時間ごとに 10 億個のログを人間に配信することはできませんが、1 時間ごとに 10 億個のログを AI に配信することはできます。 守備の助けになると思います。
攻撃者側では、人工知能も役に立っています。 たとえば、ビデオ通話、音声変更ディープフェイクなどです。 詐欺師の視点から見ると、被害者は防御を外すことができます。 実際、それが私たちのレッドチームがやったことです。 彼らは、私が撮影したすべてのビデオまたはその一部を撮影し、AIに入力しました。 彼らは私の声を作り、さまざまな従業員に電話をかけて何かをするように頼み、それが私にそっくりだったので、その従業員が実際にそれを行うかどうかを確認しました。 この模擬音を聞くと、ちょっと信じられないような音がします。 それは私の声に似ているので、私は少しうんざりしますが、完全ではありません。
**これは金融の未来にとって何を意味するのでしょうか?
金融の未来は、あなたが誰であろうと、どこに住んでいようと、あなたの世界で、誰とでも、許可なく、自由に取引できる世界であり、それが暗号通貨の約束だと思います。 そのために、私たちはここにいるのです。 この地球上では、多くの人々が不利な立場にあり、従来の金融システムではこれらのことができないため、暗号通貨の約束は、人々がそれを行うことを可能にすることです。