Інтерв'ю журналу Fortune з директором з безпеки Kraken: Чому ми повинні найняти команду хакерів для атаки на себе?

Слова: Марко Кіроз-Гутьєррес

Оповідач: Нік Перкоко, директор із безпеки Kraken

编译:Луффі,Новини передбачення

! [Інтерв’ю журналу Fortune з директором з безпеки Kraken: Чому ми повинні найняти команду хакерів для атаки самих себе?] ](https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)

Нік Перкоко, директор із безпеки Kraken

За свою кар’єру, що охоплює понад два десятиліття, Нік Перкоко допомагав компаніям налагоджувати кібербезпеку. З того часу, як у 2018 році Percoco обійняв посаду директора з безпеки Kraken, він відіграв важливу роль у формалізації стратегії безпеки. Тепер він курирує безпеку, ІТ та шахрайство на криптовалютних біржах.

Журнал Fortune нещодавно взяв інтерв’ю у Percoco, щоб детально обговорити, чому Kraken покращує безпеку за допомогою дружніх хакерських атак і чому американці особливо вразливі до зловмисних атак.

Як ви почали працювати в криптовалюті та як потрапили на Kraken?**

У мене є криміналістична лабораторія (SpiderLabs, заснована Percoco, а зараз частина Trustwave), яка має велику кількість графічних процесорів для злому паролів. Отже, ми займаємося криміналістикою, отримуємо зашифровані файли, намагаємося розшифрувати (намагаємося знайти слабкі паролі в середовищі), але більшу частину часу ці графічні процесори простоюють. Приблизно в 2011-2012 роках деякі люди в нашій лабораторії почали говорити про біткойн, наприклад: «Гей, ми можемо видобути біткойн за допомогою цих графічних процесорів». Вони запитали, чи можуть вони це зробити, і в той час біткойн був майже нічого не вартий, і я відповів: «Так, звичайно. Давай повеселимося». Потім всі створюють гаманці, ми відправляємо один одному біткойни, і в цей час це схоже на дослідження майбутнього грошей.

Насправді справа не в якихось інвестиціях чи довгостроковій стратегії, а просто в тому, що «це дуже круто». Саме ця інклюзивна технологія дозволяє вам надсилати гроші через Інтернет без необхідності нікого переходити, наприклад, через один гаманець на інший у блокчейні». Сьогодні зрозуміло, що ця технологія цікава, але десять років тому вона була більше схожа на наукову фантастику. Тому я дуже зацікавлений у цьому, але насправді не заглибився достатньо глибоко, щоб бути ентузіастом біткойнів. Я не казав: «Я збираюся майнити сотні або тисячі біткойнів, я не йшов цим шляхом». 」

Я працював у спільноті безпеки та хакерській спільноті, і між криптоспільнотою та спільнотою безпеки є певні збіги. Провівши певну роботу з безпеки для стартапів, Trustwave була продана Singtel, а потім я працював у Rapid7, допомагаючи їм стати публічними, яка є ще однією компанією з кібербезпеки. Пізніше я приєднався до компанії, що займається штучним інтелектом, і кілька років відповідав за їхню безпеку. З нами зв’язався мій друг і генеральний директор Kraken Дейв Ріплі. Kraken наймає таланти для визначення програми безпеки. Я почав спілкуватися з Дейвом (який на той час був нашим головним операційним директором) і познайомився з Джессі Пауеллом, колишнім генеральним директором і засновником Kraken. Саме тоді я приєднався до Kraken восени 2018 року на посаді директора з безпеки. Сьогодні я відповідаю за безпеку, ІТ та шахрайство.

Як виглядає типова робота для директора з безпеки? **

Я організував його трохи схоже на стек, з найменшою кількістю технічних речей вгорі та найтехнічнішими матеріалами внизу. На самому верху цього стеку знаходяться люди, з якими я працюю, в основному займаються тим, що ми називаємо політиками безпеки. Ми весь час думаємо: «Куди нам рухатися з нашими програмами безпеки, що ми бачимо? Які тенденції ми спостерігаємо? Чого ми можемо навчитися?»

Наступний рівень – це, по суті, наша група з управління інформаційною безпекою – політики та процедури, нормативні вимоги безпеки, зовнішні аудити, належна перевірка постачальників та аудити безпеки, а також належна перевірка клієнтів.

Наступний рівень – це функція операцій безпеки в компанії, яка є нашою синьою командою, яка відстежує реакцію на виявлення інцидентів безпеки, незалежно від того, чи є вони внутрішніми чи зовнішніми для нашої компанії. Це команда 24/7/365 всередині компанії. Для нас це дуже критично. Коли щось трапляється, ми повинні знати за лічені секунди, а не через три тижні. Коли всередині або за межами компанії відбувається щось, що нас турбує, ми дізнаємося про це за лічені секунди.

У нас також є червона команда, яка, по суті, є командою хакерів, яких я залучив для того, щоб зламувати нас на регулярній основі, ззовні, зсередини, соціальну інженерію і так далі, тому що у злочинців немає ніяких правил, і вони будуть використовувати всі можливі сторони.

У нас також є команда безпеки додатків, яка в основному перевіряє кожен рядок коду, незалежно від того, чи знаходиться він у нашому мобільному додатку чи на нашому веб-сайті. Кожна зміна ретельно перевіряється в кожному рядку коду - кожна залежність, яку ми можемо внести в цю кодову базу, ретельно перевіряється. Ми постійно виявляємо потенційні вразливості, реальні вразливості та надсилаємо звіти про баг-баунті, що є циклом постійного виявлення та виправлення.

**Як Kraken підтримує клієнтів, які постраждали від шахрайства? **

Багато способів обману клієнтів – це фішинг, підроблені або шахрайські веб-сайти. Клієнти виходять за межі нашої екосистеми та взаємодіють із цими сайтами в будь-який момент часу, тому у нас є спеціальні відповідальні особи – в середньому ми щодня видаляємо три-чотири веб-сайти, облікові записи в соціальних мережах та інші шахрайські сайти.

Які є приклади поширеного шахрайства з криптовалютою? **

У багатьох випадках ці шахрайства є дуже низькотехнологічними. Вони більше схожі на соціальну інженерію, ніж на хакерство, як їх називають люди. У цих випадках зазвичай трапляється, що хтось дружить з ними, змушує їх відчувати довіру і починає говорити їм робити те, що вони не зовсім розуміють, а потім їхні кошти крадуть. Справа може бути приблизно такою: «О, буде аірдроп, і ми реєструємо гаманець, щоб отримати токени, тому вам потрібно буде залізти у свій гаманець і дати нам початкову фразу. Потім ми зареєструємо вас, і ви отримаєте токени аірдропу на суму 10 000$». Потім люди це зробили, і приблизно через 10 хвилин гаманці були розграбовані і вигнані з Discord.

Є й інші низькотехнологічні шахрайства, які насправді є просто інвестиційними шахрайствами, коли люди бачать законний інвестиційний веб-сайт і в кінцевому підсумку надсилають гроші цій компанії, яка краде їхні гроші.

**Чи можете ви розповісти про свій досвід відстеження вразливості та про те, як відбувався процес? **

Ось приклад: у нас є клієнт, який має проблеми з обліковим записом. Вони стверджують, що спілкуються з нашими співробітниками служби підтримки. Мовляв, хтось зайшов до їхнього облікового запису та вивів з нього кошти. У розмовах з нашими співробітниками служби підтримки вони згадували мобільний додаток, який вони використовували, і те, як вони описували мобільний додаток, не відповідало нашому мобільному досвіду.

Тому співробітники служби підтримки попросили їх надіслати кілька скріншотів мобільного додатку. Звичайно, це не наш мобільний додаток. Він має таку ж назву і має наш логотип, але він не наш. Це просто дуже примітивний додаток Kraken. Потім ми запитали їх, звідки вони завантажили додаток, і виявилося, що вони користуються магазином, де можна завантажити додаток збоку. Це не схоже на Google Play чи App Store, де є багато криптододатків.

Чим кібербезпека в США відрізняється від закордонної? **

Злочинні угруповання, як правило, націлені на більшу кількість громадян США. Основна причина полягає в тому, що в Сполучених Штатах злочинним угрупованням простіше отримати інформацію про особу своїх жертв. У США існує поняття агрегатора даних, де в принципі можна знайти будь-яку інформацію про будь-яку фізичну особу за певну плату. Ви можете знайти всі їхні минулі адреси, членів сім’ї, адреси електронної пошти, номери телефонів та іншу конфіденційну інформацію. За кордоном це трохи складно через деякі закони про конфіденційність.

Як злочинець, якби я хотів націлитися на людей, які були активними в криптовалютному просторі, я, ймовірно, знайшов би їх у соціальних мережах. Вони можуть бути дуже активними в криптотвіттері. Я можу провести деякі дослідження і визначити, хто вони, але це може бути важко, якщо вони знаходяться за межами США. Насправді, як злочинець, я можу знайти когось, але я не обов’язково повинен націлюватися на нього – я можу націлитися на членів сім’ї, які живуть в одному будинку і які, можливо, не настільки підковані в безпеці. Увійшовши до комп’ютера цього члена сім’ї, я перебуваю в тій самій мережі, що й людина, яку хочу відстежувати.

Як ШІ вплине на кібербезпеку? **

Штучний інтелект дає можливість синій команді масштабуватися. Наприклад, ви можете навчити модель штучного інтелекту виявляти потенційно шкідливу активність у великих наборах даних. З традиційними інструментами часто доводиться застосовувати більш статичні правила. Зі штучним інтелектом ці правила не обов’язково повинні бути такими статичними, і вони можуть більше відповідати людській логіці – наприклад, якщо ви просите людину подивитися на файл журналу і, можливо, зможете визначити, чи щось виглядає підозрілим, а не просто простим набором правил. Набір правил може його пропустити, і людина може його виявити, але тільки з певною швидкістю. Ви не можете доставляти мільярд журналів людині щогодини, але ви можете доставляти мільярд журналів штучному інтелекту щогодини. Я думаю, що це допомагає обороні.

З боку нападника також допомагає штучний інтелект. Наприклад, відеодзвінки, діпфейки, що змінюють голос. З точки зору шахрая, це дозволяє жертві зняти захист. Власне, так і зробила наша червона команда. Вони взяли всі відео, які я зробив, або їх частини, і вклали їх у штучний інтелект. Вони створили мій голос, щоб зателефонувати різним співробітникам і попросити їх щось зробити і подивитися, чи дійсно працівник це зробить, тому що це звучить так само, як і я. Коли я чую ці імітовані звуки, це звучить трохи неймовірно. Це змушує мене трохи здригнутися, тому що це як мій голос, але не зовсім.

Що це означає для майбутнього фінансів?

Я думаю, що майбутнє фінансів – це світ, де ви можете вільно здійснювати транзакції з будь-ким, без дозволу, у своєму світі, незалежно від того, хто ви і де живете, і це обіцянка криптовалюти. Це те, заради чого ми тут, щоб дати можливість людям це робити. На цій планеті багато людей знаходяться в невигідному становищі, і вони не можуть робити ці речі за допомогою традиційної фінансової системи, тому обіцянка криптовалют полягає в тому, щоб дати людям можливість це робити.