Tạp chí Fortune phỏng vấn Giám đốc an ninh của Kraken: Tại sao chúng ta nên thuê một nhóm tin tặc để tấn công chính mình?

Từ: Marco Quiroz-Gutierrez

Người được phỏng vấn: Nick Percoco, Giám đốc an ninh, Kraken

编译:Luffy,Tin tức tầm nhìn xa

! [Tạp chí Fortune phỏng vấn Giám đốc an ninh của Kraken: Tại sao chúng ta nên thuê một nhóm tin tặc để tấn công chính mình?] ](https://img-cdn.gateio.im/webp-social/ccb9d6d22de923ddc3727015b58fc508.webp)

Nick Percoco, Giám đốc an ninh, Kraken

Trong sự nghiệp kéo dài hơn hai thập kỷ, Nick Percoco đã giúp các công ty thiết lập an ninh mạng. Kể từ khi Percoco đảm nhận vai trò Giám đốc an ninh của Kraken vào năm 2018, ông đã đóng vai trò quan trọng trong việc giúp chính thức hóa chiến lược bảo mật của nó. Bây giờ, ông giám sát bảo mật, CNTT và gian lận trên các sàn giao dịch tiền điện tử.

Tạp chí Fortune gần đây đã phỏng vấn Percoco để thảo luận chi tiết về lý do tại sao Kraken cải thiện bảo mật bằng cách hack thân thiện và tại sao người Mỹ đặc biệt dễ bị tấn công độc hại.

Bạn đã bắt đầu với tiền điện tử như thế nào và bạn đã tham gia Kraken như thế nào?**

Tôi có một phòng thí nghiệm pháp y (SpiderLabs, được thành lập bởi Percoco và bây giờ là một phần của Trustwave) có một số lượng lớn GPU để bẻ khóa mật khẩu. Vì vậy, chúng tôi đang ở trong pháp y, chúng tôi nhận được các tệp được mã hóa, chúng tôi đang cố gắng giải mã (cố gắng tìm mật khẩu yếu trong môi trường), nhưng hầu hết thời gian các GPU này không hoạt động. Khoảng năm 2011, 2012, một số người trong phòng thí nghiệm của chúng tôi bắt đầu nói về Bitcoin, như, “Này, chúng ta có thể khai thác một số Bitcoin bằng những GPU này.” Họ hỏi liệu họ có thể làm điều đó không, và vào thời điểm đó Bitcoin gần như vô giá trị, và tôi nói, “Vâng, tất nhiên. Hãy vui vẻ nhé”. Sau đó, mọi người tạo ví, chúng tôi gửi cho nhau bitcoin và tại thời điểm đó, nó giống như khám phá tương lai của tiền.

Nó không thực sự là về bất kỳ loại đầu tư hay chiến lược dài hạn nào, nó chỉ vì “nó thực sự tuyệt vời”. Đó là công nghệ không cần sự cho phép này cho phép bạn gửi tiền qua internet mà không cần phải thông qua bất kỳ ai, như ví này sang ví khác trên blockchain. " Ngày nay, người ta hiểu rằng công nghệ này rất thú vị, nhưng mười năm trước, nó giống khoa học viễn tưởng hơn. Vì vậy, tôi rất quan tâm đến điều đó, nhưng chưa thực sự đủ sâu để trở thành một người đam mê Bitcoin. Tôi đã không nói, “Tôi sẽ khai thác hàng trăm bitcoin hoặc hàng ngàn bitcoin, tôi đã không đi theo con đường đó.” 」

Tôi đã làm việc trong cộng đồng bảo mật và cộng đồng hacker, và có một chút chồng chéo giữa cộng đồng tiền điện tử và cộng đồng bảo mật. Sau khi thực hiện một số công việc bảo mật cho các công ty khởi nghiệp, Trustwave đã được bán cho Singtel, và sau đó tôi làm việc tại Rapid7, giúp họ niêm yết, một công ty an ninh mạng khác. Sau đó, tôi gia nhập một công ty AI và chịu trách nhiệm về bảo mật của họ trong vài năm. Chúng tôi đã được liên hệ bởi một người bạn của tôi và Giám đốc điều hành Kraken Dave Ripley. Kraken đang tuyển dụng nhân tài để xác định chương trình bảo mật. Tôi bắt đầu trò chuyện với Dave (người là COO của chúng tôi vào thời điểm đó) và được giới thiệu với Jesse Powell, cựu CEO và người sáng lập Kraken. Đó là khi tôi gia nhập Kraken vào mùa thu năm 2018 với tư cách là Giám đốc an ninh. Hôm nay, tôi ở đây phụ trách bảo mật, CNTT và gian lận.

Một công việc điển hình trông như thế nào đối với một Giám đốc An ninh? **

Tôi đã sắp xếp nó hơi giống một ngăn xếp, với những thứ ít kỹ thuật nhất ở trên cùng và những thứ kỹ thuật nhất ở phía dưới. Ở đầu ngăn xếp này, những người tôi làm việc cùng về cơ bản nằm trong cái mà chúng tôi gọi là chính sách bảo mật. Chúng ta cứ nghĩ, “Chúng ta cần đi đâu với các chương trình bảo mật của mình, chúng ta thấy gì? Chúng ta thấy xu hướng nào? Chúng ta có thể học hỏi được gì từ những gì?”

Lớp tiếp theo về cơ bản là nhóm quản trị bảo mật thông tin của chúng tôi - các chính sách và thủ tục, yêu cầu quy định bảo mật, kiểm toán bên ngoài, thẩm định nhà cung cấp và kiểm tra bảo mật và thẩm định khách hàng.

Cấp độ tiếp theo là chức năng hoạt động bảo mật trong công ty, đó là nhóm màu xanh của chúng tôi giám sát phản ứng phát hiện đối với các sự cố bảo mật, cho dù chúng là nội bộ hay bên ngoài công ty chúng tôi. Đây là một đội ngũ 24/7/365 trong công ty. Điều này rất quan trọng đối với chúng tôi. Khi điều gì đó xảy ra, chúng ta cần biết trong vài giây, không phải ba tuần sau đó. Khi có điều gì đó xảy ra bên trong hoặc bên ngoài công ty liên quan đến chúng tôi, chúng tôi biết trong vài giây.

Chúng tôi cũng có một đội đỏ, về cơ bản là một nhóm tin tặc mà tôi đã tuyển dụng để hack chúng tôi một cách thường xuyên, từ bên ngoài, từ bên trong, kỹ thuật xã hội, v.v., bởi vì bọn tội phạm không có bất kỳ quy tắc nào và chúng sẽ thử mọi góc độ có thể.

Chúng tôi cũng có một nhóm bảo mật ứng dụng về cơ bản kiểm tra từng dòng mã, cho dù đó là trong ứng dụng dành cho thiết bị di động hay trên trang web của chúng tôi. Mọi thay đổi đều được xem xét kỹ lưỡng trên mọi dòng mã - mọi phụ thuộc mà chúng tôi có thể đưa vào cơ sở mã đó đều được xem xét kỹ lưỡng. Chúng tôi liên tục phát hiện các lỗ hổng tiềm ẩn, lỗ hổng thực sự và gửi báo cáo tiền thưởng lỗi, đây là một chu kỳ xác định và sửa chữa liên tục.

** Kraken hỗ trợ khách hàng bị ảnh hưởng bởi trò lừa đảo như thế nào? **

Nhiều cách mà khách hàng bị lừa là thông qua các trang web lừa đảo, giả mạo hoặc lừa đảo. Khách hàng đi lang thang bên ngoài hệ sinh thái của chúng tôi và tương tác với các trang web này tại bất kỳ thời điểm nào, vì vậy chúng tôi có những người chuyên trách - trung bình, chúng tôi gỡ xuống ba đến bốn trang web, tài khoản truyền thông xã hội và các trang web lừa đảo khác mỗi ngày.

Một số ví dụ về lừa đảo tiền điện tử phổ biến là gì? **

Rất nhiều lần, những trò gian lận này là công nghệ rất thấp. Chúng giống như kỹ thuật xã hội hơn là hack như mọi người gọi chúng. Trong những trường hợp này, điều thường xảy ra là ai đó kết bạn với họ, khiến họ cảm thấy đáng tin cậy và bắt đầu bảo họ làm những việc họ không hiểu lắm, và sau đó tiền của họ bị đánh cắp. Vấn đề có thể là một cái gì đó như, "Ồ, sẽ có một airdrop và chúng tôi đang đăng ký một ví để nhận mã thông báo, vì vậy bạn sẽ cần phải vào ví của mình và cung cấp cho chúng tôi cụm từ hạt giống. Sau đó, chúng tôi sẽ đăng ký cho bạn và bạn sẽ nhận được mã thông báo airdrop trị giá 10.000 đô la. Sau đó, mọi người đã làm điều đó, và khoảng 10 phút sau, các ví đã bị lục soát và họ bị đuổi ra khỏi Discord.

Có những trò gian lận công nghệ thấp khác thực sự chỉ là lừa đảo đầu tư, nơi mọi người nhìn thấy một trang web đầu tư hợp pháp và cuối cùng gửi tiền cho công ty này, công ty này đã đánh cắp tiền của họ.

** Bạn có thể nói về kinh nghiệm theo dõi lỗ hổng của mình và quá trình này như thế nào không? **

Đây là một ví dụ: chúng tôi có một khách hàng gặp vấn đề với tài khoản của họ. Họ tuyên bố đang nói chuyện với nhân viên hỗ trợ của chúng tôi. Họ nói rằng ai đó đã đăng nhập vào tài khoản của họ và rút tiền từ đó. Trong các cuộc trò chuyện với nhân viên hỗ trợ của chúng tôi, họ đã đề cập đến ứng dụng di động mà họ đang sử dụng và cách họ mô tả ứng dụng dành cho thiết bị di động không phù hợp với trải nghiệm di động của chúng tôi.

Vì vậy, nhân viên hỗ trợ đã yêu cầu họ gửi một số ảnh chụp màn hình của ứng dụng dành cho thiết bị di động. Chắc chắn, đây không phải là ứng dụng di động của chúng tôi. Nó có cùng tên và có logo của chúng tôi, nhưng nó không phải của chúng tôi. Đây chỉ là một ứng dụng Kraken rất thô sơ. Sau đó, chúng tôi hỏi họ đã tải xuống ứng dụng từ đâu và hóa ra họ đang sử dụng một cửa hàng nơi bạn có thể tải xuống ứng dụng từ bên cạnh. Nó không giống như Google Play hay App Store, nơi có rất nhiều ứng dụng tiền điện tử.

An ninh mạng ở Hoa Kỳ khác với nước ngoài như thế nào? **

Các băng nhóm tội phạm có xu hướng nhắm mục tiêu vào nhiều công dân Hoa Kỳ hơn. Lý do chính là ở Hoa Kỳ, các băng nhóm tội phạm dễ dàng lấy được thông tin nhận dạng của nạn nhân hơn. Có khái niệm về một công cụ tổng hợp dữ liệu ở Hoa Kỳ, nơi về cơ bản bạn có thể tìm thấy bất kỳ thông tin nào về bất kỳ cá nhân nào với một khoản phí. Bạn có thể tìm thấy tất cả địa chỉ trước đây, thành viên gia đình, địa chỉ email, số điện thoại và thông tin nhạy cảm khác của họ. Ở nước ngoài, nó hơi khó khăn vì một số luật riêng tư.

Là một tên tội phạm, nếu tôi muốn nhắm mục tiêu đến những người hoạt động trong không gian tiền điện tử, có lẽ tôi sẽ tìm thấy họ trên phương tiện truyền thông xã hội. Họ có thể rất tích cực trên Twitter tiền điện tử. Tôi có thể thực hiện một số nghiên cứu và xác định họ là ai, nhưng có thể khó khăn nếu họ ở bên ngoài Hoa Kỳ. Trên thực tế, là một tội phạm, tôi có thể tìm thấy ai đó, nhưng tôi không nhất thiết phải nhắm mục tiêu vào anh ta - tôi có thể nhắm mục tiêu vào các thành viên gia đình sống trong cùng một ngôi nhà và những người có thể không hiểu biết về an ninh. Khi tôi truy cập vào máy tính của thành viên gia đình đó, tôi đang ở trên cùng một mạng với người tôi muốn theo dõi.

AI sẽ tác động đến an ninh mạng như thế nào? **

Trí tuệ nhân tạo cho phép nhóm xanh mở rộng quy mô. Ví dụ: bạn có thể đào tạo mô hình AI để phát hiện hoạt động độc hại tiềm ẩn trong các tập dữ liệu lớn hơn. Với các công cụ truyền thống, bạn thường phải áp dụng nhiều quy tắc tĩnh hơn. Với AI, các quy tắc này không cần phải quá tĩnh và nó có thể phù hợp hơn với logic của con người - như nếu bạn yêu cầu một người xem tệp nhật ký và có thể xác định xem có điều gì đó đáng ngờ hay không, thay vì chỉ là một bộ quy tắc đơn giản. Bộ quy tắc có thể bỏ lỡ nó và con người có thể phát hiện ra nó, nhưng chỉ ở một tốc độ nhất định. Bạn không thể cung cấp một tỷ bản ghi cho con người mỗi giờ, nhưng bạn có thể cung cấp một tỷ bản ghi cho AI mỗi giờ. Tôi nghĩ nó giúp ích cho hàng thủ.

Về phía kẻ tấn công, trí tuệ nhân tạo cũng đang giúp đỡ. Ví dụ như cuộc gọi video, deepfake thay đổi giọng nói. Từ quan điểm của kẻ lừa đảo, nó cho phép nạn nhân cởi bỏ sự phòng thủ của họ. Trên thực tế, đó là những gì đội đỏ của chúng tôi đã làm. Họ đã lấy tất cả các video mà tôi đã làm hoặc một phần của chúng và đưa chúng vào AI. Họ tạo ra giọng nói của tôi để gọi cho các nhân viên khác nhau và yêu cầu họ làm điều gì đó và xem liệu nhân viên có thực sự làm điều đó không vì nó nghe giống hệt tôi. Khi tôi nghe thấy những âm thanh mô phỏng này, nghe có vẻ hơi khó tin. Nó làm tôi co rúm lại một chút vì nó giống như giọng nói của tôi, nhưng không hoàn toàn.

Điều này có ý nghĩa gì đối với tương lai của tài chính?

Tôi nghĩ rằng tương lai của tài chính là một thế giới nơi bạn có thể tự do giao dịch với bất kỳ ai, không cần sự cho phép, trong thế giới của bạn, bất kể bạn là ai hay bạn sống ở đâu, và đó là lời hứa của tiền điện tử. Đó là những gì chúng tôi ở đây cho, để cho phép mọi người làm điều đó. Trên hành tinh này, rất nhiều người gặp bất lợi và họ không thể làm những điều này bằng cách sử dụng hệ thống tài chính truyền thống, vì vậy lời hứa của tiền điện tử là cho phép mọi người làm điều đó.