Интервью журнала Fortune с директором по безопасности Kraken: Почему мы должны нанимать команду хакеров, чтобы атаковать себя?

Текст: Марко Кирос-Гутьеррес

Опрашиваемый: Ник Перкоко, директор по безопасности, Kraken

编译:Луффи,Форсайт Новости

! [Интервью журнала Fortune с директором по безопасности Kraken: Почему мы должны нанимать команду хакеров для атаки на себя?] ](https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)

Ник Перкоко, директор по безопасности, Kraken

За свою более чем двадцатилетнюю карьеру Ник Перкоко помогал компаниям внедрять кибербезопасность. С тех пор, как в 2018 году Перкоко занял должность директора по безопасности Kraken, он сыграл важную роль в формализации стратегии безопасности. Теперь он курирует безопасность, IT и мошенничество на криптовалютных биржах.

Журнал Fortune недавно взял интервью у Перкоко, чтобы подробно обсудить, почему Kraken повышает безопасность с помощью дружественного взлома и почему американцы особенно уязвимы для вредоносных атак.

Как вы начали заниматься криптовалютой и как попали в Kraken?**

У меня есть криминалистическая лаборатория (SpiderLabs, основанная Percoco и теперь часть Trustwave), в которой есть большое количество графических процессоров для взлома паролей. Итак, мы занимаемся криминалистикой, мы получаем зашифрованные файлы, мы пытаемся расшифровать (пытаемся найти слабые пароли в среде), но большую часть времени эти графические процессоры простаивают. Где-то в 2011-2012 годах некоторые люди в нашей лаборатории начали говорить о биткоине, типа: «Эй, мы можем добыть немного биткоинов с помощью этих графических процессоров». Они спросили, могут ли они это сделать, и в то время биткоин был почти бесполезен, и я сказал: «Да, конечно. Давайте повеселимся». Затем все создают кошельки, мы отправляем друг другу биткоины, и в это время это похоже на исследование будущего денег.

На самом деле речь идет не о каких-то инвестициях или долгосрочной стратегии, а просто потому, что «это действительно круто». Именно эта технология позволяет отправлять деньги через Интернет без необходимости проходить через кого-либо, например, из одного кошелька в другой на блокчейне». Сегодня понятно, что эта технология интересна, но десять лет назад она была больше похожа на научную фантастику. Так что я очень заинтересован в этом, но на самом деле не настолько глубок, чтобы быть энтузиастом биткоина. Я не говорил: «Я собираюсь добывать сотни или тысячи биткоинов, я не пошел по этому пути». 」

Я работал в сообществе безопасности и в сообществе хакеров, и между криптосообществом и сообществом безопасности есть некоторое пересечение. После того, как я проделал некоторую работу по безопасности для стартапов, Trustwave была продана Singtel, а затем я работал в Rapid7, помогая им выйти на биржу, которая является еще одной компанией по кибербезопасности. Позже я присоединился к компании, занимающейся искусственным интеллектом, и несколько лет отвечал за их безопасность. С нами связался мой друг и генеральный директор Kraken Дэйв Рипли. Kraken нанимает талантливых специалистов для определения программы безопасности. Я начал общаться с Дэйвом (который в то время был нашим главным операционным директором) и познакомился с Джесси Пауэллом, бывшим генеральным директором и основателем Kraken. Именно тогда я присоединился к Kraken осенью 2018 года в качестве директора по безопасности. Сегодня я отвечаю за безопасность, ИТ и мошенничество.

Как выглядит типичная работа директора по безопасности? **

Я организовал его немного как стопку, где наименее технические вещи находятся вверху, а самые технические — внизу. На самом верху этого стека находятся люди, с которыми я работаю, в основном придерживаются того, что мы называем политиками безопасности. Мы постоянно думаем: «Куда нам нужно двигаться с нашими программами безопасности, что мы видим? Какие тенденции мы наблюдаем? Чему мы можем научиться?»

Следующий уровень — это, по сути, наша группа управления информационной безопасностью — политики и процедуры, нормативные требования к безопасности, внешние аудиты, комплексная проверка поставщиков и аудиты безопасности, а также комплексная проверка клиентов.

Следующий уровень — это функция операций по обеспечению безопасности внутри компании, которая представляет собой нашу синюю команду, которая отслеживает реакцию на обнаружение инцидентов безопасности, независимо от того, являются ли они внутренними или внешними по отношению к нашей компании. Это команда 24/7/365 внутри компании. Для нас это очень важно. Когда что-то происходит, мы должны знать об этом через несколько секунд, а не через три недели. Когда внутри или за пределами компании происходит что-то, что нас беспокоит, мы узнаем об этом в считанные секунды.

У нас также есть красная команда, которая, по сути, состоит из команды хакеров, которых я нанял, чтобы они взламывали нас на регулярной основе, извне, изнутри, с помощью социальной инженерии и так далее, потому что у преступников нет никаких правил, и они будут пробовать все возможные углы.

У нас также есть команда безопасности приложений, которая проверяет каждую строку кода, будь то в нашем мобильном приложении или на нашем веб-сайте. Каждое изменение тщательно проверяется в каждой строке кода - каждая зависимость, которую мы можем ввести в эту кодовую базу, тщательно проверяется. Мы постоянно выявляем потенциальные уязвимости, реальные уязвимости и отправляем отчеты о bug bounty, что представляет собой цикл постоянной идентификации и исправления.

**Как Kraken поддерживает клиентов, пострадавших от мошенничества? **

Многие из способов обмана клиентов связаны с фишинговыми, поддельными или мошенническими веб-сайтами. Клиенты выходят за пределы нашей экосистемы и взаимодействуют с этими сайтами в любой момент времени, поэтому у нас есть преданные своему делу люди — в среднем мы блокируем три-четыре веб-сайта, аккаунты в социальных сетях и другие мошеннические сайты каждый день.

Приведите примеры мошенничества с криптовалютой? **

Во многих случаях эти мошенничества являются очень низкотехнологичными. Они больше похожи на социальную инженерию, чем на хакерство, как их называют люди. В таких случаях обычно происходит следующее: кто-то заводит с ними дружбу, заставляет их чувствовать, что им доверяют, и начинает говорить им делать вещи, которые они не совсем понимают, а затем их средства крадут. Это может быть что-то вроде: «О, будет аирдроп, и мы регистрируем кошелек для получения токенов, поэтому вам нужно будет зайти в свой кошелек и дать нам seed-фразу. Затем мы зарегистрируем вас, и вы получите токены аирдропа на сумму 10 000 долларов». Затем люди так и сделали, и примерно через 10 минут кошельки были разграблены, и их выгнали из Discord.

Есть и другие низкотехнологичные мошенничества, которые на самом деле являются просто инвестиционными мошенничествами, когда люди видят законно выглядящий инвестиционный веб-сайт и в конечном итоге отправляют деньги этой компании, которая крадет их деньги.

**Можете ли вы рассказать о своем опыте отслеживания уязвимости и о том, как это было? **

Вот пример: у нас есть клиент, у которого возникла проблема с аккаунтом. Они утверждают, что разговаривают с нашей службой поддержки. Говорят, что кто-то зашел в их аккаунт и вывел с него средства. В разговорах с нашей службой поддержки они упомянули, что мобильное приложение, которое они использовали, и то, как они описали мобильное приложение, не соответствовало нашему мобильному опыту.

Поэтому сотрудники службы поддержки попросили их прислать несколько скриншотов мобильного приложения. Конечно, это не наше мобильное приложение. У него такое же название и наш логотип, но он не наш. Это просто очень рудиментарное приложение Kraken. Затем мы спросили их, откуда они скачали приложение, и оказалось, что они используют магазин, где можно скачать приложение со стороны. Это не похоже на Google Play или App Store, где много криптоприложений.

Чем кибербезопасность в США отличается от зарубежной? **

Преступные группировки, как правило, нацелены на большее количество граждан США. Основная причина заключается в том, что в Соединенных Штатах преступным группировкам легче получить информацию о личности своих жертв. В США существует понятие агрегатора данных, где можно в принципе найти любую информацию о любом человеке за определенную плату. Вы можете найти все их прошлые адреса, членов семьи, адреса электронной почты, номера телефонов и другую конфиденциальную информацию. За границей это немного сложно из-за некоторых законов о неприкосновенности частной жизни.

Как преступник, если бы я хотел нацелиться на людей, которые были активны в криптовалютном пространстве, я, вероятно, нашел бы их в социальных сетях. Они могут быть очень активны в крипто-Твиттере. Я могу провести небольшое исследование и определить, кто они, но это может быть сложно, если они находятся за пределами США. На самом деле, как преступник, я могу найти кого-то, но мне не обязательно нацеливаться на него — я могу нацелиться на членов семьи, которые живут в том же доме и которые могут быть не так хорошо осведомлены о безопасности. Как только я захожу в компьютер этого члена семьи, я нахожусь в той же сети, что и человек, которого я хочу отслеживать.

Как ИИ повлияет на кибербезопасность? **

Искусственный интеллект позволяет синей команде масштабироваться. Например, можно обучить модель ИИ обнаруживать потенциально вредоносные действия в больших наборах данных. При работе с традиционными инструментами часто приходится применять более статичные правила. В случае с искусственным интеллектом эти правила не обязательно должны быть такими статичными, и они могут больше соответствовать человеческой логике — например, если вы попросите человека просмотреть файл журнала и, возможно, сможете определить, выглядит ли что-то подозрительным, а не просто набор правил. Набор правил может пропустить его, и человек может его обнаружить, но только с определенной скоростью. Вы не можете доставлять миллиард журналов человеку каждый час, но вы можете доставлять миллиард журналов ИИ каждый час. Думаю, это помогает обороне.

На стороне злоумышленников также помогает искусственный интеллект. Например, видеозвонки, дипфейки с подменой голоса. С точки зрения мошенника, это позволяет жертве снять с себя защиту. Собственно, так и поступила наша красная команда. Они взяли все видео, которые я сделал, или их части, и загрузили их в ИИ. Они создали мой голос, чтобы звонить разным сотрудникам и просить их что-то сделать, и посмотреть, действительно ли сотрудник сделает это, потому что это звучало точно так же, как я. Когда я слышу эти смоделированные звуки, это звучит немного невероятно. Это заставляет меня немного съеживаться, потому что это похоже на мой голос, но не совсем.

Что это значит для будущего финансов?

Я думаю, что будущее финансов — это мир, в котором вы можете свободно совершать сделки с кем угодно, без разрешения, в своем мире, независимо от того, кто вы и где вы живете, и это обещание криптовалюты. Вот для чего мы здесь, чтобы дать людям возможность делать это. На этой планете многие люди находятся в невыгодном положении, и они не могут делать эти вещи, используя традиционную финансовую систему, поэтому обещание криптовалют заключается в том, чтобы дать людям возможность делать это.