#93 Matt Holland: Zero Day
01:25:55 Share

这就像你去医院看病，你身体某个部位疼，你其实并不想真正知道问题出在哪儿，因为人们天生就害怕坏消息。但在网络安全领域，你不能这样。如果你没有网络安全供应商，没有公司帮你解决这个问题，

那就赶紧找一个。现在每个人都是目标。你的公司规模再小，也逃不出攻击者的视线。我见过只有五名员工的公司遭到攻击，甚至还见过只有两名员工的公司被攻击。所以，我的建议是，不要害怕寻求帮助。

大家好，欢迎收听。我是 Shane Parrish，您正在收听《知识项目》播客。本播客和我们的网站 fs.blog 致力于帮助您提升思维能力，掌握他人已取得的最佳成果。如果您喜欢本播客，我们还推出了付费版本，为您提供更多内容。您将获得节目的无广告版本，例如《你不会听到这个》，抢先收听剧集，获得文字稿等等。如果您想了解更多信息，请访问 fs.blog/podcast，或查看节目说明中的链接。

本周，我与 Field Effect Security 的创始人兼首席执行官 Matthew Holland 进行了对话。过去十年里，Matt 一直是西方世界所有“三个字母机构”在遇到无法解决的问题时都会求助的对象。在创立 Field Effect 之前，他帮助盟国政府履行其合法职责。

本期节目将全面探讨网络安全漏洞利用、黑客攻击和防御。虽然我们经常听到有关这个领域的消息，但很少有人能像 Matt 那样博学且见多识广。事实上，我认为他在这个领域属于世界前三。

让我们深入探讨攻击者的思维方式、可能发生的情况以及您应该向网络安全供应商提出的问题。在此过程中，我们将讨论斯诺登、在情报机构工作的感受，当然还有华为和国家安全问题。现在就开始收听学习吧。♪

宜家商业网络现已面向小型企业和企业家开放。立即免费加入，即可获得室内设计服务，帮助您充分利用您的工作空间；员工福利，帮助您和您的员工共同成长；以及旅行、保险和宜家商品购买、送货等方面的超值折扣。今天就免费注册宜家商业网络，将您的小型企业提升到一个新的水平，搜索“宜家商业网络”即可。我认识你已经有……

什么，1999 年我们认识的？2000 年？对，大概那个时候，对。太疯狂了。对，世界。我们过去曾在情报机构一起工作。是的。那段时期真是太疯狂了，对吧？我们是一个小团队，911 事件发生了，世界永远改变了。我们的团队实际上连续工作了七年。我记不清……

我们从 2001 年到 2008 年有没有休过假，除了某个随机的星期一之类的。对。首先，我认为假期可能被高估了，因为我是一个工作狂，但是，是的，这确实是一个很好的开始。呃，我的意思是，我们的职业生涯只差一两年，但是，是的，

在那种环境中工作，你所做的一切的贡献都远超你的想象，这绝对是一次非常有趣的经历。因为大学毕业后，你想要一份高薪工作。突然之间，在我们这里，

我们正在做一些对国家真正重要的事情，这些事情会产生非常重大的影响。这就像一夜之间从零成熟到非常成熟。是的。是的。我记得我第一次和你开会时，我们试图弄清楚某件事是如何运作的。我站起来，你知道，带着我大学里那种自大的态度。我说，哦，我来告诉你这是怎么运作的。

然后我花了大约 30 秒来解释这件事，然后你看着我，面无表情地说，你完全错了，事情是这样的，你站起来，花了 45 分钟的时间讲解操作系统中发生的每一个指令，我被你的知识水平彻底震惊了，我的意思是，你这么说真是太好了，可能还有一个因素是，我当时有多么粗鲁，

我想说的是，这种情况已经改变了，但可能并没有改变太多。但是，是的，这确实是一次，这是一次非常酷的经历。我认为我们所工作的环境是向人们学习。你知道，对我来说，那段时间的经历真正定义了什么是一个好团队。当你学习到一些东西时，你会把它分享给办公室里的其他人。我记得，你知道，我们当时有五到六个人，在一个非常大的研究小组中。

重点小组。每当我们学习到一些东西，或者我学习到一些东西，或者我们的同事学习到一些东西时，这都是一个非常棒的发现。但我们花时间互相教育。我认为这培养了一个团队，你知道，一种我从未体验过的信任水平。我记得，你知道，加入那个团队时，我感到非常谦卑，

而且，你知道，一旦克服了自我，你就能真正融入那个环境，它就会迅速促进一个人的成长。我仍然会回想起那些时光，并认为自己非常幸运。我想我总是承认，我生命中的那段时间在很大程度上决定了今天的我。

我稍后想再谈谈这个。我记得听到你说你感到谦卑，这很奇怪。你真的是世界上最擅长你所做的事情的人。我们将在整个采访过程中谈到这一点。是喝威士忌吗？你也很擅长这个。

我记得我刚来的时候，你总是开车送我。是什么车？是 MX-6，老兄。那是……闻起来像太妃坚果拿铁。对，那辆车是梦寐以求的网络安全移动工具。我们一起度过了很多时间。是什么让你离开的？我对此思考了很多，因为我经常被问到这个问题，而且我认为我从来没有一个好的答案，那不一定是幼稚的。我离开的最终原因……

是因为我看到了我能成长的极限以及我所在的团队所追求的目标的愿景。就像在上面人为地设置了一个上限。我是一个这样的人，当有人说，你只能走到这里，或者我们要做这个，无论证据、想法或好主意、坏主意是什么，我都无法很好地工作。

这就停止了，这不是一个我说我还能在这里成长的环境。其中一个重要的指标，你可能会对此一笑而过，但有一个管理竞赛。我把整个面试都搞砸了，但问题还是一样，面试官会问我一个问题，而不是给出答案，

我会组建一个团队来做这件事。我会申请资金来做这件事。我会联系大学，把他们带进来。这就是他们想听到的答案。我给他们的只是他们所问问题的技术性回答。那么你将如何解决这个问题？我的回答是，好吧，我会做 X、Y、Z。然后我会这样做。你没有玩游戏。不，我只是回答了问题。

我认为这是我第一次真正意识到，我可能不符合他们寻找的模式。所以我认为那时我开始，我想说的是，我离开的计划开始启动了。我记得在你离开前大约八个月，情况发生了变化。就像开始变得更多，我不知道。我甚至不知道该如何表达。当我们开始的时候，就像，

发展非常迅速。我们拥有很大的权力、很大的控制权和很大的决策权。然后，随着我们越来越成功，具有讽刺意味的是，这种情况随着时间的推移越来越少。是的，我记得当时我和我们共同的同事进行过一次谈话。我记得我对我们创新能力受到的随意限制感到非常恼火。

我记得有一次你和我都在市政厅站起来，和一位主管发生了激烈的争吵。我记得，是的。Stu，如果你在听，我们很抱歉。这非常令人沮丧。我记得那位同事说，伙计，这只是商业的一部分。一旦你成为一个做得非常好的团队的一员，人们就会注意到，他们想把它变成组织中更大的一个部分。随之而来的是，

你正在看到的现在你知道正式化了，你不能工作超过这个时间，你有了不同的汇报责任，你知道，在那时，我只是，我只是想创新，我只是想为运营部门遇到的问题提出新的解决方案，你知道，不能以原始形式做到这一点非常令人沮丧，所以你离开了，我们不能谈论我们在那里做了什么，但我们可以谈论你离开后做了什么

所以你创立了 linchpin，你创立这家公司的方式非常规，那就是发布特权提升来引起微软的注意。你想谈谈这个吗？是的。那是一段有趣的时期。所以，你知道，当时，我和我的商业伙伴认为，你知道，我们如何才能引起轰动？因为当我们离开微软时，

我们的目的是用一种私有化的方式来增强我们离开的世界。

所以我们考虑了一下，好吧，我们如何才能真正地引起一些骚动？当时，微软正在发布强制驱动程序签名作为 Windows Vista 的一部分，这显示了我们的年龄。而且周围有很多炒作。它的宣传方式是，它将成为阻止所有恶意软件、阻止任何可能发生的不良事件的灵丹妙药。

任何在进攻方面花过时间的人，都知道，不，这是胡说八道。是的，它会让事情变得更好。但这不会是每个人都认为的灵丹妙药。所以我们说，好吧，为什么我们不做一些有趣的事情，你知道，向他们展示一下呢？所以我们做的是，我们编写了一个名为 DenwipActive 的工具。公司的名字是 DenwipActive，这是 Vista Pooned 的反写。

反过来，你知道，在这个虚构的公司下获得了一个签名证书，实际上是合法注册的虚构公司，并发布了一个可以加载的工具。这是一个已分配的组件，可以加载未签名的驱动程序。它除了展示使用最简单、最愚蠢的方法绕过这个问题有多容易之外，什么也不做。

所以当时我和我的商业伙伴在澳大利亚创业。我们真的在一个壁橱里工作，一开始是一个临时搭建的团队。当时，有人因违反 DMCA（数字千年版权法）而被捕，这……

你知道，在那时，这是一件非常有争议的事情，因为它改变了人们可以或不可以对计算机做的事情。这是一件非常重要的事情。所以当我们发布它时，有些人说，哦，这有点意思。而其他人则说，你知道，特别是有一位人士说，这是违反 DMCA 的行为。你应该被逮捕。呃，

顺便说一句，这并不酷。我要去发布一个工具，它实际上会利用 ATI 驱动程序和 NVIDIA 驱动程序，然后基本上做同样的事情。但我做得更酷。所以，linchpin，哈哈。实际上，那是……我记得那个人。是的，那糟糕得多，因为……我不知道它是否真的导致 ATI 和 NVIDIA 的签名证书被吊销，但它是一件……

对我们来说，说我们违反了 DMCA 是愚蠢的。其次，回应是如此令人难以置信地糟糕。那是公司成立的头几个月非常奇怪的一段时间。你有没有怀念在情报机构工作？我怀念那些人。我怀念很多非常好的人。他们都是很棒的人。这被低估了。人们认为所有政府雇员都被归为同一……

同一群体，他们不是，正如我们都能证明的那样。是的，所以我怀念那些人。我怀念直接接触任务。你知道，我会回想起我所看到和参与过的一些事情，没有人会知道，这真的很酷。成为其中一员真的很棒。它创造了我确信如果我在 30 年后在世界的另一边的一个酒吧里遇到某人，你知道，立刻就会有那种联系，就像，“嘿，我们做了那个。那真的很酷。”

所以，是的，我的意思是，我怀念某些方面，但我并不怀念最终导致我离开那里的那些限制。然后当你离开时，你有没有觉得他们不希望你成功，因为他们希望你回来？你有没有觉得他们不想给你合同？他们不想。我不知道他们是否对我回来有任何兴趣。我认为他们肯定对我们能否成功持怀疑态度，或者

我对此很好。我的意思是，你知道，当时，我和我的商业伙伴是第一个一起做出这种转变并一起做到这一点的人。人们对我们是否应该被允许这样做、我们是否能够做到这一点有很多怀疑。我记得我与凯悦酒店的一位经理进行了一次离职面谈，他让我坐下说，你将去向中国销售。你将支持中国。我看着他的眼睛说，什么东西会让你认为我会那样做？

那是最荒谬的事情了。所以，所以我认为他们有点担心我们会支持，你知道，盟国的对手，是的，我的意思是，回想起来，我可以理解。我只是认为当时这是一个，呃，这是一个不成熟的观点。我记得在你离开几周后参加了一次会议，他们说，哦，我们不会从他那里购买任何东西。我说，我们最终会每年给他大约 5000 万美元。我想说的是，我比他们更接近现实。好吧，我

所以私有化的想法是摆脱束缚，创造一个环境，让我们把真正聪明的人聚集在一起。我们的招聘策略的一部分是立即寻找社区中最好的人，消除他们面前的所有障碍，让他们做令人惊叹的事情。我想更深入地探讨一下，因为如果你愿意这么说的话，你能够复制整个机构的一个部门，

人数只有原来的 1/20，但产出却更高。你是如何做到的？同样的人，你只是把他们带出了那个环境，是什么促成了这一点？在很大程度上是消除了障碍。我的意思是，我认为这是其中一个重要因素。你知道，给他们一个他们能够脱颖而出的环境，这会分解成你需要什么工具？

你需要提交采购申请才能获得你需要的物品，还是我可以直接为你获得？这是我记得早期加入的一位员工的评论之一。他们说，“好的，这些是我完成工作所需的东西。”我说，“好的，我 30 分钟后回来，这是你的东西。”他们的反应是，“真的吗？我们可以这样做吗？”我说，“是的，去当天才吧。去创造令人惊叹的东西。”

所以我认为这是一个重要的组成部分。我认为明确表示我们所做的一切都是作为一个团队来做的。我认为顺便说一句，这是我认为企业家有时会陷入的一个问题，那就是它关乎他们自己。关乎他们的旅程。而我的做法是，不，我们都在一起。我很幸运能有你加入公司。而且

创造一个环境，让他们知道他们很幸运，我很欣赏他们，无论我们做什么，我们都是一起做的。我认为这是一个围绕团队建设的赋权信息。我记得我从你那里学到的一件事是，当你开始对人们这样做时，你会问他们，你需要什么设备才能做好你的工作？你只是出去为他们买，他们对事情如此简单感到惊讶。我们在这里对每个人也这样做。我们只是想，你需要什么才能尽你所能做好你的工作？

但这也有一个缺点，这很有趣，因为这样你就失去了设备是问题的借口。如果我只有合适的工具，我就能交付。这其中有一个微妙的暗流，那就是……

我希望你擅长你所做的事情，并不断进步。是的。我的意思是，我认为对某些人来说，有时仅仅是这种信念就能帮助他们达到目标。所以你从什么时候开始做 LPL 的？从 2007 年到 2018 年。到 2018 年。你在成长过程中学到了一些什么经验？当你结束时，有多少人？所以，在全球范围内，我会把我们被收购的合资公司也包括在内。但是我认为对于

当时大约有 90 到 100 人。我们在 2018 年被收购，但我直到 2019 年 12 月才离开。我想再谈谈这个，但你在成长、扩展、运营这家公司、招聘方面学到了一些什么经验？我认为最重要的一点是从零开始创办一家公司。当时，我有计算机科学背景，

我显然在网络安全方面有很多经验，我在大学里上过一些会计课程和市场营销课程。所以我认为这方面有一些基础，好吧，如果我记得做商业计划，因为那是你做的一件事，你制定了一个商业计划。但通过 linchpin 的经历，我获得了一项经验，那就是我做过每一项工作。

所以我做过清洁工。我做过市场营销人员。我做过主要的销售人员。我记得在那些甚至不想让我进房间的观众面前做过非常具有挑战性的销售演讲，因为你知道，我侵犯了他们的创意领域。我写过代码。我管理过项目。我做过公司的布道者。从那里到 Field Effect，有了这个基础，我认为这让我能够真正地，你知道，做出更明智的决策，

它让我能够，我想，理解和欣赏 Field Effect 的所有不同部分，这是一个更加多样化的——MARK MANDEL：但我们稍后会谈到 Field Effect。SIMON HUGHES：所以我认为就是这样。我认为做出决策并对这些决策充满信心，避免陷入决策瘫痪的能力，我认为一开始我在这方面很挣扎。但随着时间的推移，过滤掉噪音的能力，

专注于真正重要的事情，这确实有所帮助。那么你为什么离开呢？我的意思是，在你离开之前，你是那个家伙，每个三个字母的机构以及基本上整个盟国世界在遇到无法解决的问题时都会打电话给你，你会解决它。为什么离开？

我本来想开个玩笑说他们没有问题了，但这不好笑。他们没有。不，问题解决了。所有问题都解决了。实际上，我认为原因相同，这实际上是我意识到为什么，你知道，我离开 CSE 的根本原因是，这是一个类似的情况，因为——因为你们被收购了。是的，是的。但这改变了我能做的事情。

是，你知道，我开始看到我能取得的成就的上限。我开始清楚地意识到，你知道，我是一个方钉，试图融入圆孔，因为录取和更多我认为我们可以做的更有创意的事情。这实际上是一个非常有趣的经历，意识到，你知道，我是一个方钉，在一个圆孔里，因为它确实需要时间，你知道。孔不会改变。是的，是的。你会经历这样的演变，就像，

大家怎么了？为什么没有人支持这个？然后意识到，哦，见鬼，是我。我是这里的问题。然后是欣赏，好吧，好吧，理解为什么是这样。我认为这最终使过渡变得非常容易。而且我现在回想起来，并没有任何怨恨或其他情绪。这只是生活的一部分。你带着足够多的钱离开，足以让你在余生中——

只是坐在哥斯达黎加的一艘船上，再也不用担心了。但是那里有鲨鱼。那里有鲨鱼。但是你又开始了一个事实领域。你现在有多少员工？将近 100 人。你几乎有 100 人。你到目前为止完全是自筹资金的。

到目前为止。所以你基本上拿了你赚的所有钱，然后说，哦，我想再做一次，我要把所有赌注都押上。是什么促使你这样想的？有几个因素。我认为我真的很喜欢解决难题。

而当前网络安全行业的现状，说这是一个难题是轻描淡写。我认为这是一个不道德的烂摊子。它目前的状况真的让我很困扰。所以我认为我很大一部分是想解决这个问题。还有一个方面是，我最终是一个连续创业者。我记得在发生那次转变时，我和妻子聊天。

她问我，为什么你要这样做？我说，我还能做什么？我只是要开始做其他的事情。要么，你知道，我再次经营一家我相信可以改变世界并解决很多问题的网络安全公司，要么我可以开一家咖啡店。可能都需要花费相同的时间。那么网络安全公司呢？她在这方面有多重要？

她太棒了。我无法表达我对她的感激之情。我认为我成功的秘诀，她是一个很大的组成部分。她是一个有趣的——因为你是一个工作狂。是的。如果你能了解她运行的机制，她是谁，并以某种方式创造一种疫苗来为全世界接种，你将毫无疑问地拥有世界和平。这显然——

是一个强烈的说法，但她是一个非凡的人，任何认识她的人都会同意这一点。我同意。她很酷。你提到了网络安全行业的现状。跟我详细谈谈这个。我们现在处于什么状态？它是什么样的？在我看来，世界上没有人能对网络安全有更好的视角

不仅是现状，销售方式，还有攻击者的思维方式，就你购买的东西与你消费的东西以及它如何影响你的业务而言。这是讨论中我生气的那一部分。没关系，我们有很多苏格兰威士忌。所以我想正确回答这个问题，

首先我们需要看看网络安全行业到底是什么，因为我认为它被混淆了。公众看待它的方式，报道它的方式。它就是一切。它就像一个抓包……是的。所以我认为网络安全有三个群体或支柱。有一个，有进攻方，我们已经讨论过

勒索软件、情报机构，我说进攻方，但这是传统的黑客行为，这在很大程度上要归功于好莱坞而被美化了。《黑客军团》倒是很准确。我不知道你是否看过。我记得在《剑鱼行动》中，他坐下来 30 秒后，一切就……是的，不，这在很大程度上是胡说八道。难道不是这样运作的吗？

戴着 VR 眼镜，是的。但如果你看过《黑客军团》，如果好奇的话，那实际上是一个准确的描述。但这是一种被过度美化的东西，完全被误解了，但它本身就是一个经济体。勒索软件背后有一个经济体，他们因此获得报酬。他们很成功。情报机构背后有一个经济体。这最终是驱动因素，美元和美分。

在防御方面，第二点，顺便说一句，第一点之所以存在，是因为人类通常不擅长编写软件。所以如果人们真的擅长安全模型和软件实施，那就不会存在了。第二点之所以存在，是因为第一点存在。所以这是防御方面。所以让我，我想最好的描述方法是，

作为消费者，这可能是你经历过的最糟糕的体验。所以如果你要购买一些网络安全产品，你会购买杀毒软件吗？这正是我想做的。我想购买网络安全产品。是的，买一些网络安全产品。因为这在很大程度上是因为它是一个黑箱行业，对吧？很多企业，很多人不知道他们实际上买的是什么。而行业已经利用了这一点。这就是我生气的地方。

Matthew Holland是世界领先的网络安全权威人士之一。他解释了漏洞利用、黑客攻击和防御，同时提供了对攻击者心态、华为、斯诺登以及你应该向你的网络安全供应商询问什么的见解。——想要更多？会员可以抢先体验、获得人工编辑的文字记录、独家会员剧集等等。在此处了解更多信息：https://fs.blog/membership/  每周日，我们的Brain Food新闻通讯都会分享您可以在家和工作中使用的永恒的见解和想法。将其添加到您的收件箱：https://fs.blog/newsletter/  在Twitter上关注Shane：https://twitter.com/ShaneAParrish </context> <raw_text>0 因为现有的解决方案中没有几个像样的，所以看看你的选择：我买杀毒软件？我买反间谍软件？我买防火墙？Shane，也许是入侵检测系统，也许是端点检测和响应，也许是用户行为分析，也许是网络监控，而供应商会试图将其推进，他们说你实际上需要所有这些，这是一个

完全的废话。你不需要所有这些东西。它们不能很好地协同工作。所以整个事情让我非常生气。第三点是一个实际上并非网络安全的类别。我最近读了一篇有趣的文章，它让我明白了。我想，是的，不，这个第三个支柱存在，而且完全错误。而这部分经常发生。

在互联网上，社交媒体，那种事情实际上与安全无关。但是人们喜欢在它周围画一个框。所以一个例子是选举干预。所以在社交媒体上有什么有组织的有影响力的活动来引导人们以特定方向投票？我认为这不是网络安全，但这也被归为一类。

所以这是第三点，有点像伪网络安全。这有点令人困惑，因为你会因此而忽略了实际发生的事情。但是我的意思是，情报机构一直在监视其他国家。现在发生变化的事情之一，不仅是消费者数据的数量和这些数据的价值，而且人们现在也监视公司作为快速推进其研发的工具。是的。

为什么要投资数亿美元，当你只需侵入别人的电脑下载所有他们的工作，然后声称是你的呢？

这突出了为什么公司需要认真对待这个问题。我认为这个问题现在并不仅仅局限于大公司。律师事务所、会计师事务所，都是巨大的目标，巨大的目标。想想他们在保密协议、个人和公司的财务方面处理的事情。我认为我们在过去几年看到的其中一件事是

国家支持的组织正在追捕的目标，不再是索尼这样的公司了。现在是你们的律师事务所，因为那里有很多情报价值。专利事务所。那里也有很多情报价值。我认为小型公司需要多认真对待这一威胁已经大大提高了。我觉得这非常有趣。我上周刚和毕马威谈过，他们说，把这个发给我。

我说，我怎么发给你？他们说，直接发邮件。我说，你在说什么？我不会把它放在邮件里。

我妥协了，我使用了quickforget.com，上传了一些东西，它就像，这只能用六个小时，所以你最好下载它。但让我惊讶的是，人们在分享信息时缺乏思考，以及这种行为如何表现出来或暴露了什么，对吧？因为如果有人闯入那台电脑，整个邮件链都在那里。现在文件已经在那里了，但是存储在云中的许多电子邮件是

比人们意识到的更容易访问。是什么让你想要解决这个问题？这是有史以来最棘手的问题，竞争非常激烈。政府正在做基于主机的。私营部门正在做所有这些事情，将解决方案拼凑在一起。是什么让你认为你可以为客户带来更好的结果？可能是傲慢。是的。

我开玩笑的，但这可能是……我的意思是，没有人比你更了解这个行业。但说真的，这里有数十亿美元的资金。是的。所以如果我们看看20年前，问题是一样的。当我从情报机构招聘人员时，我会告诉他们的一件事是，准备好失望，因为你将看到的问题会让你震惊

它们仍然存在。所以10年前的技术或应该解决10年前的问题今天仍在发生。我认为这是对网络安全行业在实际解决问题方面有多糟糕的一个重要评价。如果我看看

你知道，那里的供应商，我不会点名任何具体的竞争对手，但我看到的是一种销售策略，就像一种扭曲的二手车销售人员策略。这可能是对那里二手车销售人员的侮辱，因为它更糟糕。一切都是关于交易的。一切都是关于，你知道，完成它，拿到客户的钱，然后说，祝你好运。

这并没有带来结果。我们对任何事情都不负责。是的。这并没有让任何事情变得更好。这应该如何运作？人们如何购买网络安全？难道不是，我并没有参与网络安全收购方面，但就像这个Gartner象限，这听起来熟悉吗？是的。是的。所以这是，呃，我认为是一个衡量系统，一个衡量标准，可以帮助

供应商或客户或潜在客户，我认为公司是一个更好的术语，来指导他们购买他们可能需要或可能不需要的东西。这方面有一些问题。

Gartner象限系统通常已经过时了。例如，我们在Gartner定义之前就已经在销售托管检测和响应服务了。具有讽刺意味的是，当时我们很难获得发展。因为它总是关注现有技术和威胁，并回顾过去说，哦，这些人做到了这一点，但没有展望行业的未来发展方向。

是的，所以这是一个有用的分类系统。它只是不断落后于曲线。第二件事是我认为企业并不一定知道他们在寻找什么。是的，就像你如何接受教育？如果你是一家律师事务所，一家会计师事务所，你有100名员工，你没有网络安全人员。没有。你该如何去做？

所以，我的意思是，最终这是，你知道，Field Effect所处的领域，中小型企业领域。因为，你知道，对于每个公司来说，拥有一个IT团队都是不可行的。根据我们的经验，我的意思是，IT团队很好。他们有专业知识，但他们可能不一定，你知道，是安全专家。这有点像Shopify的……

因为Shopify真的在武装你。你不必担心建立商店。你不必担心管理库存。你不必担心……如果可以的话，他们在武装反抗亚马逊的叛军。你是否正在向……

中小型企业提供世界一流的技术，作为一种手段，你并不需要了解网络安全的来龙去脉，但它会变得基于信任。就像，为什么我会相信你而不是其他供应商？这是一个很好的问题。我的意思是，我认为信任需要时间。你不会一上来就神奇地获得信任。我认为这是我们投入大量时间来构建的东西。我们花时间建立客户关系，询问客户他们的需求是什么，他们的问题是什么，然后

告诉我们你的网络。我们如何帮助你？在这个过程的早期，我认为很明显，我们不仅仅是想以商品化的方式销售软件。我们首先要做的是对网络进行外部查看，并确定，好的，这里有一个问题。我们想帮助你解决问题。这不仅仅是这里有一个你必须使用的解决方案。

这一切都是关于我们帮助你变得更好，解决问题，并持续前进。而这很大程度上是一个我认为网络安全行业大多数供应商都没有掌握的组成部分。他们更感兴趣的是向你展示，看看这个非常酷的界面，你的公司里可能没有人会知道如何使用它。然后如果你没有看到什么东西，它就像，哦，这不是我们的错。它在界面的某个地方，而你没有……是的，你没有看到日志，所以你为什么没有采取行动？而这，我的意思是……

我认为假设普通企业会关心网络安全是一个错误的出发点。因为企业，你购买你的电脑硬件，你设置你的IT。如果我是一个企业，我不会以这样的想法开始我的一天，哦，我迫不及待地想购买一些网络安全产品或了解一些网络安全知识。

我认为对于有效的解决方案，这就是你所要处理的基线。你正在处理一家公司或一个客户，他们不关心网络安全，但你需要帮助他们。界面的基线可能是一个办公室经理，而不是一个拥有计算机科学学位的人，或者是一个拥有任何背景或对网络安全感兴趣的人。所以有一个系统

你知道，它是建立、构建和实施的，可以与那些不一定关心或会关心或甚至应该关心的人一起工作，因为这不是他们的工作。

这就是我们所做的。好吧，这是一个很好的观点，对吧？就像你并不是想让他们关心。你只是想说，这不再是你的担忧了。是的。是的。当出现问题时，这里有一个非常简洁的处理方法。不是一系列链接。去谷歌搜索这个。学习如何实施VPN。学习如何使用防火墙。学习如何修补你的系统。这是一个指导性的方法，这就是你需要做的。

让我们反过来。人们通常看不到的是，你可以独特地添加的是攻击者的想法是什么？如果你想从一家公司获取有价值的信息，请带我了解整个过程。就像你如何考虑这个问题？你如何去做？那是什么样的？

所以最初攻击者会分析目标，这可能看起来像不同的东西。所以如果目标有在线服务，他们会探测这些服务以查看那里有什么。你的网站上是否有非常容易识别的电子邮件地址？

有什么样的社交媒体存在？这最终通常会导致社会工程活动，无论是看起来非常正常的电子邮件，你想信任它，并希望你会点击某些东西或双击附件。或者它会去你的手机，你点击它，然后就会发生漏洞利用。

我们经常看到的另一种方法是人们不使用多因素身份验证，只使用基本的电子邮件设置。所以暴力破解密码有效。有人会进入，会查看你的收件箱，看看那里有什么，你的客户是谁。

你的日常工作是什么，然后他们可能会进行财务转移。在这种情况下，他们会了解你的整个投资组合是什么，并向你的所有客户发送电子邮件，说，嘿，这是你的新付款说明。他们将拥有所有未付发票

已经列出并准备好了。所以他们可以立即说，你知道，你欠我们X金额。这就是我现在想让你把钱寄到的地方。这非常令人惊讶地有效。是的，而且很难追踪，即使有银行账户的总额，我们稍后会谈到加密货币和某种运行地点。但是对于银行账户来说，很容易看到钱去了哪里。一旦钱没了，就很难拿回来了。是的。这是传统的攻击，对吧？与……

像波音、通用电气或思科这样的公司，它们拥有更多有价值的知识产权，并且可能值得一个零日漏洞或开发定制的漏洞利用程序。你能带我了解一下这将如何运作吗？当然，这是假设的。所以你对更尖锐的一端更感兴趣？是的。是的。所以，你知道，漏洞利用的工作方式是

你想了解哪个特定平台？让我们来看看Windows。Windows，好的。所以如果你要攻击Windows系统，它要么是服务器，要么是工作站。通常情况下，如果服务器面向互联网，则可以让你直接访问它。所以如果你有一个零日漏洞和一个Web服务器，例如，这是一个你可以直接访问和利用的东西。这是一个非常……

直接的攻击方式，我想。另一种方法是你有一个Windows客户端。你坐在你的办公桌前，你有一台笔记本电脑，你只是在打字，你收到一封电子邮件。这可能是最常见的方式。而这看起来像，再次回到你试图说服某人信任一封电子邮件的场景，所以他们点击一个链接。会发生什么？就像，带我了解一下。我点击这个链接。是的，是的。所以首先发生的是

浏览器将被利用。任何呈现该链接的浏览器，Web浏览器漏洞利用程序基本上都会获得代码执行。现代浏览器在防止此类事情方面肯定越来越好。所以Chrome，每个浏览器现在都有一个沙箱。大多数浏览器版本都是某种程度的Chrome。所以即使是Microsoft Edge现在也基于Chromium。所以它是勇敢的，所以它就像……

Firefox不在那里，是吗？不，不，Firefox不在。我认为他们仍然在使用自己的设置。目前，他们刚刚解雇了他们的威胁团队。哦，天哪，我甚至都没听说过。所以是的，它在浏览器内部获得执行，然后目标是获得操作系统中的权限。这可能构成沙箱逃逸以摆脱该浏览器沙箱。

权限提升，理想情况下以更高的权限级别执行，基本上可以消除主机上的任何安全措施，并理想地在操作系统内核中获得执行。一旦你到达那里，基本上就结束了。但是你获得了单个主机的内核。带我了解一下你如何，这如何成为对超级管理员级别或……的网络访问

一旦你有了它，在这个主机上做任何事情都没有障碍。

所以如果你想打开与母舰的通信，你可以这样做。如果你想访问大量数据，你可以这样做。但是你如何打开通信？就像现在每个人都在监控这些链接了吗？就你如何交换信息而言？不，不。所以我们正在深入探讨为什么这实际上是一个非常困难的问题，以及为什么任何特定的支柱都不起作用。所以如果你只购买网络监控解决方案，你将看不到到目前为止我描述的任何内容。

如果你只购买端点解决方案，可能会有一些事情发生的迹象，这取决于端点解决方案的复杂性。但是一旦它深入到内核中，你就不会看到它。所以这是一个非常具有挑战性的位置。这就是为什么采用整体方法是

如此重要。你需要网络，你需要端点。所以如果你通过这两件事中的任何一件，另一件就会发现它。这如何运作？就像在一个特定的客户端上，我可以理解这些东西是如何通信的，但是你如何将对一家公司的攻击转化为对另一家公司的防御，而你之前没有见过这种情况？所以我想这很大程度上取决于网络安全解决方案的实施情况。

如果它是网络的一部分，你可以动态地快速签名攻击，

并创建一个工件，我们称之为，可以应用于其他客户的网络。这是一种对抗它的方法。我的意思是，零日漏洞问题将永远存在。我认为这是许多供应商实际上没有意识到的事情。无论你如何锁定你的操作系统，总会有一个有创造力的群体能够做得更好，能够绕过它。我的意思是，如果你看看苹果iPhone过去……

我不知道，比如说十年，他们一直在向操作系统中添加越来越多的安全机制，这些机制在很大程度上限制了应用程序编写者只能执行特定的事情。但这从安全的角度来看在很大程度上是令人沮丧的，因为你只需要绕过这些缓解措施，你就可以拥有世界上任何苹果设备。而一件非常可怕的事情是，最近一家名为Vupen的公司

他们购买零日漏洞利用程序。我不确定他们之后会去哪里，但他们所做的是，好吧，我可以推测，但他们购买零日漏洞利用程序。他们最近发布了一些内容，说，我们对iOS权限提升已经饱和了。我们已经足够了。是的。如果这不是对苹果的警钟，我真的不知道还有什么会是。这基本上是行业在说，

是的，你的操作系统并不像你认为的那样安全。但这有点像长城理论，对吧？就像你周围有一堵高墙，但是一旦你在墙内，就像之后就没有防御措施了。是的，这完美地描述了苹果。这实际上描述了那里每一个移动操作系统。好吧，Android，告诉我Android的具体挑战，因为它们有一些其他的问题，这些问题不是。

常见的事件必须处理。就像每个人都在运行不同的Android版本。它总是过时了。是的，所以Android是一个有趣的野兽，因为很多……它是最常见的平台，不是吗？是的，它在外面得到了很多积极的关注，因为它是一个开放的平台。这是一个安全噩梦。是的，你可以下载源代码，你可以看到正在运行的内容。我认为这是安全操作系统的组成部分，

普通人可以出去审核那里有什么。普通人可以，如果他们愿意的话，拿走它，下载它，编译它，把它放在他们的手机上，也许添加一些额外的装饰。

这个概念非常崇高。现实情况并非如此，因为我们今天所拥有的是，有一个主要的Android分支在发展，谷歌发布了它。Android 11最近刚刚发布，供应商会照原样采用它，或者他们会定制它，或者他们会采用所谓的更改历史记录的特定部分。这基本上是

对代码库所做的更改。当这与漏洞一起考虑时，修复程序可能会或可能不会包含在内。所以你可能拥有运行Android 11的最新三星手机，

实际上并没有主Android分支具有的所有安全修复程序。对，因为有人在接受或拒绝。是的，我可以100%肯定地告诉你。我没有看过Android 11，但我过去二十年的经验是，三星版本中存在一些问题被遗漏了，因为人类，再次，是等式的一部分。在列表中，它会说CVE已修复，CVE已修复，但这些修复程序并不存在。

坏人或攻击者会知道这一点，他们会利用这一点。如果你是一个目标，你根本无法防御这种情况。这是一个相当可怕的主张。所以如果你是一个攻击者，你宁愿对付Android手机而不是iPhone？这是一个有趣的问题。我认为在Android上被利用的几率更高，尽管Android的性质也创造了一种情况，即存在如此多的不同版本的Android。

这使得创建大规模攻击变得更加困难。而在iOS上，因为每个设备上的操作系统版本都是相同的，如果你可以在其中找到一个问题，你就可以获得所有这些设备。在Android上，你会得到细微差别，我用引号括起来细微差别，一些个别厂商会做出的决定，这使得很难将针对三星的攻击应用于，我不知道，谷歌手机或中兴手机。所以它是

我会说Android上的安全状况总体上更糟糕。在大规模攻击中被击中的几率可能较低。但是如果有人针对你，我会说他们成功攻击你的几率在Android上肯定更高。作为手机，或者如果你想称它们为个人电脑，就像那些是我们的个人电脑，对吧？比我们想象的更多。变得越来越普遍。

它们将成为通常受到攻击的表面。带我了解一下，手机漏洞利用是如何运作的？它与你用于Windows或Apple的系统相同吗？它不同吗？你如何攻击手机？你一直带着这个东西。它有麦克风。它有摄像头。不幸的是，答案是与其他任何类型的电脑完全相同的方式。

iOS只是一个操作系统。Android只是一个操作系统。没有任何特殊功能使其能够抵御攻击。有一些安全机制需要攻击者绕过，但情况相同。所以如果我要攻击你的Windows笔记本电脑，在我向你发送电子邮件的场景中……

在移动设备上，情况也是一样的。在某些情况下，实际上更糟糕。大约一年前，一家名为NSO Group的以色列公司因拥有WhatsApp零点击机制而被曝光。所以有一些……

这里有一些快速的行话解释，一次点击与零点击，一次点击是你必须对某人进行社会工程，让他们点击一个链接并利用手机，零点击是你什么也做不了，你已经被控制了，你根本不知道，你甚至没有看到一条消息，就像你只是，是的，你没有做出任何决定，你半夜睡觉，在这种情况下，NSO集团，嗯

你知道，通过WhatsApp向你发送恶意内容，假设他们能够，你知道，找出你的WhatsApp ID，然后利用你的手机，恭喜你。绕过沙箱、权限提升的整个步骤，所有概念都是一样的。

但在这种情况下，这是一种直接攻击你拥有的设备的方式。所以以前，这样的工具只掌握在政府手中，他们通常不会针对个人或小型公司。这种情况改变了吗？我认为可及性不同。

这存在不对称性，对吧？就像某个青少年，男孩或女孩坐在他们的车库里，可以产生巨大的不成比例的影响。我在想最近对Twitter的攻击以及那是一次社会工程攻击。是的。在攻击移动设备的背景下，我的意思是，这

这一切都归结于攻击因素的可及性和运行攻击因素的人的创造力。我在想NSO Group，有很多关于他们向谁出售和不向谁出售的文章。我读到，他们现在有一个完整的团队，公司内部的一个完整的团队，专门负责确保他们做出道德的决定。我个人不相信他们正在做出道德的决定。为什么你需要一个团队来做出道德的决定？

我的意思是，这表明道德不是公司成立时的组成部分。这可能是一个完全不同的讨论。但是是的，我认为攻击者和攻击结果的受益者是什么样的，这一点更加合理，它不是情报机构。你看看……

来自其他国家的群体，我稍微挑一下印度，只是因为我看到了一些来自那里的IP报告，关于那里出现的一些问题。但是社会工程的努力，不需要太多就能攻击两年前的Android。我没有查看Android版本的市场覆盖率统计数据。非常有信心的是，如果你正在使用一年前的Android版本，

你可能是一个相当大的目标。而且，你知道，我并不是想挑剔Android，但这只是该生态系统如何发展的一个现实。人们并没有真正意识到这会对经济产生多大影响，对吧？就像你看到这些勒索软件攻击一样，我想接下来要谈到的是，

2000万美元的比特币支付。但你没有看到的是，在过去十年中，数万亿美元的知识产权被转移到外国政府手中。最近，我们看到很多知识产权泄露。我觉得如果你要窃取知识产权，然后创建一个带有痕迹的竞争产品，华为就因为这个而被曝光了。是的，好吧，我想回到华为。内部愤怒计量器刚刚上升。

你知道，这是一个更不可否认的场景，你知道，事情出现在互联网上，人们说，好吧，我只是，它现在已经公开发布了。所以，你知道，攻击者和攻击结果受益者之间的分离，你知道，如果一个人的目标是掌握某人的知识产权，那就很有意义了。我的意思是……

一旦它出现，每个人都会使用它。你知道，你看看整个永恒之蓝泄露的泄露。这是一系列来自NSA的工具，被泄露了。Windows漏洞。那是NSA还是CIA发布的？Vault 7？不，那是NSA。

有CIA的，还是我在编造？不，有一个是根植于Vault 7的，是那个组织。我认为是那个泄露。我指的是来自NSA的那个。这是一个完整的宝藏工具。而这一个特别有趣，因为它真的——有一些事件发生，破坏了，我想，防御姿态。

总的来说，勒索软件我不明白它怎么会存在，它是最容易检测和阻止的恶意软件，怎么会围绕它存在一个行业，这让我难以置信，但是人们用来包装勒索软件的攻击载体，有效载荷武器化了我之前谈到的那个链条，基本上允许，你知道，在一个修补的Windows机器上进行点和利用能力，所以带我了解一下勒索软件，会发生什么

呃，这取决于类型，但是，呃，呃，呃，总的目标是从受害者那里勒索钱财，呃。所以有不同的方法可以做到这一点。如果你攻击，呃，

个人，你可能会加密他们的个人照片、信用卡信息，也许还有其他个人妥协信息，然后说，给我X金额的钱，否则我将公开你所有的照片，或者我将删除所有内容。当涉及到企业时，更多的是针对知识产权，如果某个工作站受到攻击，勒索软件会在该工作站上运行，

马修·霍兰德是世界领先的网络安全权威人士之一。他解释了漏洞利用、黑客攻击和防御，同时提供了对攻击者思维、华为、斯诺登以及你应该向你的网络安全供应商提出的问题的见解。——想要更多？会员可以抢先体验、获得人工编辑的文字记录、独家会员剧集等等。在此处了解更多信息：https://fs.blog/membership/  每周日，我们的《大脑食物》时事通讯都会分享您可以在家和工作中使用的永恒的见解和想法。将其添加到您的收件箱：https://fs.blog/newsletter/  在Twitter上关注Shane：https://twitter.com/ShaneAParrish </context> <raw_text>0 加密所有内容，可能同时删除所有内容，通常会先复制一份，因为这样做有价值。然后，我们将遍历所有网络共享并执行相同的操作。因此，存在不同的勒索软件参与者群体。有些是，你知道的，不会虚张声势，而另一些则会，如果你说，我不打算付钱给你，他们会100%贯彻他们的行动。这种奇怪的，我认为，子行业已经从

勒索软件实际上成为一件事并被接受的地方出现，公司实际上会充当谈判者，所以如果你回想那些非常酷的电影，你知道有一个非常酷的赎金或对不起人质谈判者试图说服某人摆脱这种局面，这种局面存在于勒索软件中，它让我参与了讨价还价，是的，是的，为什么这是一个问题，你

你的客户有勒索软件问题吗？哦，没有，因为他们使用covalence。我们防止这种传播途径。但是

但是你怎么阻止它？如果这么容易阻止，为什么每个人都不阻止它？我希望我能回答这个问题。我认为……网络监控解决方案不会阻止勒索软件。对此你无能为力。你需要在主机上。是的，你必须在主机上，并且你必须具备一定程度的复杂性和技巧才能识别和阻止它。我们有一些共存场景，其中……

我不会透露公司名称，但它们是非常非常大的、成功的公司，网络安全公司。勒索软件绕过了它们，但我们阻止了它。这让我难以置信，基于这些公司。因为对你来说，这很容易。这不是你担心的什么大事。这是一个非常非常基本的配置文件来阻止、识别。我可能很愤世嫉俗，因为我已经做了20年了。从我参与的大局来看，

勒索软件在复杂性方面绝对处于较低水平。你认为如果没有加密货币和匿名支付形式，它还会存在吗？因为它似乎总是，至少在新闻中，总是说你需要用比特币支付，这样我才能带着这笔钱逃跑。是的，我会说这肯定更难，因为这绝对是一个非常方便的支付结构。

用比特币支付。我只是在考虑我们看到的财务转移的案例，这些是使用的匿名账户，然后被拆除。所以肯定……这有多难追踪？就像你是联邦调查局或其他三个字母的机构一样，追踪这条路径？我不了解这个。这不是我的背景。但我会说……

挑战不一定是难度。这将是普通人或企业让任何机构关心、追踪它。因为情报机构、执法机构并没有闲坐着等待事情发生。他们正在追捕并试图修复和解决非常大的问题。

你知道，一家小公司，一家律师事务所遭遇勒索软件，只是他们的……这甚至不是他们支付的问题。在某些情况下，这对企业来说是生死攸关的，因为你可以在一夜之间有效地关闭企业，并且……

只是消除它，特别是如果你很小，而且没有这些大型银行账户来支付。是的，是的。我知道，你知道，企业因为勒索软件而被关闭。付款太高了，更容易说，好吧，放弃吧，我们要关门大吉，也许重新开始。这就是为什么我最终不会

我非常沮丧的是，公司会支付赎金或没有时间提前雇用一家公司。预防和加强你的系统并为攻击做好准备要容易得多、便宜得多。我的意思是，这就是今天的现实。任何认为情况并非如此的人，他们都把头埋在沙子里。

你会遇到勒索软件。坏事会发生，希望它不会摧毁你的公司或泄露客户数据。这是我没有考虑到的这个等式中的另一个方面，我认为人们没有考虑如果存在报告勒索软件的法律义务。

现在客户数据泄露。有罚款。我记得在COVID-19爆发之前，曾讨论过如果加拿大公司遭遇勒索软件，客户数据被泄露，将面临六位数的罚款，并且这表明他们之前没有认真对待这个问题。因此，他们没有采取足够的安保措施。什么是足够的？这听起来太主观了。

是的。是的。我的意思是，这是否回到了那个Gartner？我选中了这个框。你不能解雇我。所以，如果我是一个，一个，

你知道，虚拟CISO，我可能会，你知道，参考Gartner象限，以确保，你知道，执行委员会在责任方面得到保障。这几乎有两层，对吧？有一层是表面上的，就像，我想解决网络安全问题。但真正的层面是，我想保住我的工作。最简单的方法是不冒任何风险，并采用行业标准。最终，当涉及到问责制时……

这是一个安全的方法。不幸的是——即使你被拥有了。是的，是的。这是一个安全的方法，但它对公司来说并不是最好的。它不是——

它不是面向未来的。我认为这对于即将到来的攻击类型来说是幼稚的。因此，如果您是客户并且对此不太了解，那么您应该提出哪些问题才能真正揭示您获得的解决方案类型，而不是仅仅选中该框？你知道，一开始，我会说，你如何保护我的公司？告诉我你如何保护我的公司。就像，句号。出了问题怎么办？

你可能会得到一大堆销售术语。这个问题的好答案和坏答案有什么区别？如果有人使用“下一代”、“无缝”、“我们将阻止一切”、“人工智能”、“我们有机器学习”等词语，那就是危险信号。因此，如果有人能很好地回答你的系统发生故障时会发生什么……

这让你感到安心，我认为这是一个可以超越我之前所说的网络安全行业就像一群不道德的二手车销售员的位置，这是因为其中包含了如此多的术语和推销，例如，购买汽车的过程，你去经销商那里时会期望什么？

买车？你希望在交易发生后离开时得到什么？车。是的。不幸的是，在目前的网络安全行业中，到处都是销售人员，他们会说，你知道你需要什么，你需要一些轮子。

然后另一个销售人员会说，我可以卖给你发动机。另一个销售人员会说，我会卖给你方向盘。你可能只需要方向盘，但我可以卖给你。这将是很棒的。我这里也有一些轮圈。这取决于你作为一家公司将这些东西组合在一起并加以利用。因此，你正在自己拼凑解决方案，每个供应商，就像没有一个供应商负责，因为这就像，哦，这个人，有很多相互推诿。是的。最终，唯一的解决方案

有效的网络解决方案，我不在乎销售重点是什么，唯一真正有效的网络安全解决方案是从你的数据在哪里、你将如何受到攻击来考虑的，

全面考虑。因此，它需要包括端点组件、网络监控组件、云组件、潜在的物联网组件以及我们甚至不需要知道它是否存在的东西的XYZ。这就是这个“下一代”的概念让我抓狂的原因，因为人们说我们有这个下一代的东西，而我现在看到的东西与20年前我看到的东西完全相同。

无论它是否具有机器学习组件。下一代是什么意思？如果你知道下一代漏洞利用，你将……最终，它没有任何意义。一个好的解决方案应该是迭代的。一个好的解决方案应该设计成能够处理未来，而不需要在周围贴上销售标签。这就是我们现在拥有的。我们称之为世界从未见过的下一代事物。附注：它具有机器学习、人工智能、人工智能。

等等等等，如果你是一个买家，最终没有任何意义。它只会让你困惑。这让我抓狂。这个行业尤其有很多术语，对吧？而且很多都是推销性的。就像它是由销售团队、销售人员、……是的。很多次……

我不得不担心这个问题，你知道，这些被销售给世界各地企业的特性在硬币的另一面，就在几年前。从不。我从未不得不担心机器学习。顺便说一句，许多解决方案中现有的机器学习实现与我在2005年看到的防病毒软件完全相同。他们只是没有称之为机器学习。它只是训练分析来寻找异常情况，

那么，当你是攻击者时，你担心什么？哦，这是一个私密的问题。被抓住。我的意思是，最终，是的。我的意思是，作为一个攻击者，它是在风险和失去能力之间的持续平衡。这是……这是什么意思？我是在说我还在CSE的时候。这意味着

当我早些时候说，在网络安全的第一个支柱上，如果你想称之为支柱的话，它背后有一个经济体系。因此，构建能力来攻击特定目标是有成本的。如果你失去了这种能力，这立即意味着，好吧，找到一个新的。这很难。这有成本。有劳动力成本。

这是一个非常重要的组成部分，它构成了风险方程，即你将如何处理一项行动，你将采取多大的侵略性。世界各地的不同机构会做不同的事情。我的意思是，你看中国和俄罗斯，他们对很多事情都非常具有侵略性……

我不想说漠视他们自己的知识产权和他们正在使用的东西，但他们肯定不会对他们在做什么保持沉默。这就像喷洒和祈祷，对吧？是的，我发现它非常有趣。这让我有点好奇，他们是否在仓库里有一支由数千人组成的军队在努力制造这些东西，他们可能确实如此，这真的很可怕。是的，我一直发现关于情报问题非常吸引人的一件事是，总有一个国家的人更多

他们和你一样聪明，甚至比你更聪明，而且技术和你一样好，甚至比你好。然而，你的任务是对抗这些人，在某些情况下是获取信息，以及那种自以为是的想法，哦，我们最了解。是的，这在CSE一直是一个有趣的计算。

这是一个很好的辩论，我想。如果你有一些花了很长时间才能构建的东西，你会把它扔下山坡，听天由命吗？或者你会保护它吗？你会给它穿上护肩和护膝，并尽量让它持续尽可能长的时间吗？所以，跟我说说这个吧。你怎么看待这个？因为盟国政府、友好政府，无论你称它们为什么，也拥有零日漏洞的漏洞利用。

他们没有发布，这些漏洞利用具有巨大的国家安全影响。就像我们看到其中一些被公开，并产生了巨大的影响。英国的NHS黑客攻击是不是盟国政府被盗的零日漏洞造成的？这很难。他们应该披露吗？你怎么看待这个问题？

所以根据我的了解，完全公开，我对内部辩论的接触并不多。我知道这种情况发生了。我认为很多事情都取决于感知到的收益与损失之间的价值。如果你不披露某些东西并将其用于行动，那么不披露它与披露它并失去能力相比，对任务、国家、人民是否有更大的好处？是的。

是的，这很难，因为盟国政府的对手不会披露。他们不会在乎。如果他们有一些可以武器化的东西，他们会使用它。我认为，不幸的是，这可能是全球确定的基调，

这是许多决策的基础。就像如果你不断受到攻击，并且你的国家的知识产权被盗，我的意思是，你可以披露你作为一个国家所拥有和了解的所有漏洞。这不会阻止他们。这根本不会。回到Vupan的例子，还有更多。显然有一个积压。是的。是的。

说到这里，我可能会触动你的一些神经，所以你可能想喝一杯。跟我谈谈，我只是把它放在那里，展开

我们已经就此进行了多次对话。这种情况是多么棘手。所以华为经历了一段有趣的、不太顺利的旅程，我会这么说。他们带着所有这些技术突然出现。是的，这奇迹般地发生在思科泄露之后，一次巨大的思科源代码泄露。这是一个巧合。是的，所以有文件证明与中国联邦政府有联系

这家公司存在。我不知道他们是否曾经被定罪。那是2003年或2004年，但有一个非常明确的案例表明华为正在使用方便泄露的知识产权。这回到了，你知道的，如果我要窃取你的知识产权，如果我把它泄露到互联网上，然后使用它，六个月后出来说，哦，你看，我刚在网上发现这个，然后我使用了它，那就更容易否认了。

真的很方便。巧合。是的，你知道，我们今天所处的位置，华为基本上以低于其他供应商的价格进行竞争。你知道，我问他们是如何达到这一点的？这听起来像是他们的研发预算较低。你怎么会有较低的研发预算？你通过创造性的方式获得知识产权。

今天，由于他们被禁止进入美国，我并不反对这一点。我对整个TikTok的情况有不同的看法。等等，深入探讨华为的事情。你为什么不同意这一点？为什么我不反对他们被禁止？是的，我的意思是，我同意他们被禁止。是的，所以我认为没有建立信任的框架。我认为他们没有……

赢得这种信任，鉴于，你知道，如果一个国家要为他们的整个国家配备新型无线设备，特别是考虑到5G的复杂性，你需要信任该供应商。你需要确保该供应商的利益至少不与你所在国家的利益相冲突。我不知道谁能对华为这么说。

我记得英国人做了这件事，就像我们要建立这个认可的实验室，我们要测试它，所以我们要允许英国电信使用它，但我们会测试部署的所有东西。我记得这会在瞬间崩溃，因为一旦出现零日漏洞，你就会立即部署它，特别是如果它泄露到互联网上。然后你部署了你没有进行代码审查的代码，然后整个事情就崩溃了。我想，好吧。好吧，它无法扩展到软件开发的现实速度。对。

所以让我们假设政府确实有一个程序，其中源代码的每次迭代，而这些都不是小型系统。我们说的是数百万行源代码。让我们假设你有一支由优秀的源代码审查员组成的团队，他们可以自信地说

是的，这看起来很棒。或者更好的是，他们有一套自动化工具能够得出这个答案，这很有挑战性，可能是可能的，极具挑战性。现实的结果是，让我们说，华为发布了一个新迭代。

从发布到，因为如果他们是一个真正相信保护其产品并且该固件的新版本具有修复程序的供应商，时间很重要。在你之前，你知道，漏洞可能会被发现并

发布，因为他们只需要发布一次固件，让某人拆开该固件并识别旧版本和新版本之间的差异。因此，你立即面临时间紧迫。如果这个理想的分析过程以任何方式被减慢，你就会立即损害供应商，并给他们这样的论点，即该系统不起作用，因为他们……我并不一定不同意这一点。如果我是供应商，我的发布被延迟了一个月，

我会非常生气，因为……这不是我的错。是的，你正在减慢修复速度。哦，对不起，你的路由器刚刚被黑了。那是你的责任。那时不是供应商的责任。所以我认为这个概念实际上不起作用。避免这种情况的方法是，就像不要允许它进入你的关键基础设施？或者你认为它不应该在任何基础设施中被允许？你的个人看法。哦，我的个人看法？再说一次，我完全赞成禁令。是的。

我的意思是，他们仍然被允许向加拿大销售。我不知道……我认为它不被允许在……我的知识是基于某个日期的，所以我们必须核实一下，但我认为它不被允许在加拿大电信的关键组件中使用，但它在周边地区是被允许的。但当你想到这一点时，这很愚蠢，对吧？因为你永远不想被那些可以……

可以关闭它的人挟持，以及那些比你更有耐心的人，因为你可以持续25年没有事故，然后突然发生事故，但你已经建立了25年的信任和信誉，所以你告诉自己的故事是，我们没有发生事故，它更便宜，因为它可能是由政府补贴的，不仅是研发，而且是由政府补贴的

是的。所以，我的意思是，最终这是，我对华为在美国被禁没有任何问题，我不会，我不会争论这一点。顺便说一句，供应商的名称是Zerodium。Bupin启动了，对不起，Bupin启动了Zerodium。好的。他们就是那些购买Zerodium的人。是的。我一直把它们混在一起。只是，你知道，我想是同一家母公司。是的。是的。你怎么看待斯诺登？哦，我觉得你问的问题已经慢慢地夺走了我几年的生命。呃，

自从我认识你以来，我一直都在做这件事。不，你很棒，伙计。我完全不同意斯诺登所做的一切。这是非常非常委婉的说法。无论，你知道，在这一点上，他已经曝光的事情已经被宣布为非法。不幸的假设是

机构、安全机构、情报机构是这些阴险的群体，他们就像，让我们尽我们所能。我认为普通人实际上并没有意识到这项工作的难度有多大。通常做这项工作的人，他们有家人，他们来上班，他们想完成一项任务或解决一个问题，让事情变得更好。而且

他带着这批巨量的信息离开的方式，我将回到这一点，完全忽略了技术实施获得批准的方式。这不像开发人员坐在他们的办公桌前说，我有一个好主意。让我们去做吧。突然之间，它在没有任何问责制或审查的情况下在运营中运行。

有一个律师团队，根据国家的规模，会查看它并说，这是可以的，这是不好的。我记得在CSE的时候，我为我不知道多少年都在为某事争论，但法律上存在问题，而且它没有通过。这个审查过程，人们非常认真地对待。

如果某些东西通过了这个过程，那么它就具有一定的合法性。有一群律师诚实地喜欢对那些说过“是的，这是可以的”的想法说不。“是的，这是可以的。”所以，任何被认为是非法的事情的想法，我没有立场说这是对还是错，但我可以说的是，这些事情会经历的过程。——人们低估了实施任何事情的官僚机构的规模。——这太疯狂了。这绝对是疯狂的。

所以，所有这些方面，我发现很不幸，因为它的副产品是对正在努力维护国家安全的机构的不信任。对于那些人来说，当公众实际上没有意识到他们在日常生活中牺牲了多少时，被公众拖入泥潭，这是非常令人沮丧的。我数不清

我看到人们工作了多少个不眠之夜。它可以摧毁家庭。它可以摧毁人际关系。是的，绝对可以。所以另一方面是相信他的意图。所以他对美国这类非法的批量监控或批量监视计划有抱怨。他为什么公开？

拥有如此庞大的档案，而这与之毫无关系？他为什么曝光完全合法合法的收集情报计划，这些计划与大量人员姓名相关联？他为什么带着这些东西离开？我认为这就是我对此有更大问题的地方，因为没有思考过程。对我来说，这似乎更像是，他只是给了情报界一个中指。

是的，我的意思是，我从整件事中得到了同样的东西，那就是，即使他认为自己所做的事情是正确的，当它出现时，它也会有不同的感觉。你不需要透露技术。你只需要透露程序的细节。但他透露的实际技术，软件技术，漏洞利用技术，我的意思是，这绝对造成了人员伤亡，这对在那里工作的人产生了巨大的影响。

是的。他将计划推迟了多久？有多少

整个机构需要进行损害控制，因为某个雅虎决定这里的事情是非法的。然后，哦，附注，这里还有一大堆未编辑的有趣内容被发布。是的，我认为人们认为，哦，没有与之相关的姓名。但在原始文件中，肯定有姓名。我认为我们都假设世界上每个值得称道的情報机构都拥有所有这些文件的未编辑副本。

是的，是的。据我所知，维基解密不会收到经过编辑的版本。我的意思是，这很大程度上是我的看法。所以你认为他不应该被赦免吗？如果他被赦免，我的一部分会死去。你为什么认为他在俄罗斯？

这个故事有什么问题吗？我的意思是，当你把某个群体烧成敌人的后门时，哪里是安全的地方？当你的安全的地方是俄罗斯时，这很糟糕。是的，我的意思是，是的，我真的很想知道他现在的生活状况如何。你知道，希望他们不会很舒服。但我的意思是，这是他自己造成的。他可以采取其他方式做到这一点，并提出……你认为他可以如何做到这一点？

就像内部一样，有很多渠道可以处理这些事情。他说他遵守了这些规定。

我不记得他发布了任何文件证明他确实遵守了这些规定。是的，我的意思是，你看现在实施的举报人保护措施。那是斯诺登事件之后吗？是的，我就是这么想的。我不知道它是否是斯诺登事件之后。我的意思是，也许他做出这个决定实际上会改善对举报人的保护。这可能很重要。不过，我认为他是Lynchpin发生的最棒的事情。

我记得，我的意思是，我不是以消极的方式说的。我只是记得，在那之后立即发生的事情是，他们锁定了人们被雇用的过程。所以，我认为你和我今天都不会通过，没有

从头到尾，因为我们的背景和我们性格的不同怪癖。所以发生的事情是，斯诺登事件之后，你最终会雇用，我称之为“冲锋队员问题”，也就是说，你最终基本上会雇用相同类型的人，对吧？他们就像一生中从未遇到过问题一样。他们成绩优异。他们做了所有正确的事情。他们以正确的方式系鞋带。他们进入组织并得到晋升，对吧？

而现在的晋升过程就像，这是你需要做的10件事才能得到晋升，因为它非常明确，而且官僚主义色彩浓厚，以至于你到了30岁，突然之间你负责解决一个以前没有人解决过的问题。但你处在一个所有的人都以完全相同的方式看待问题的人群中。所以你们都有相同的盲点。所以我记得当这种情况开始发生时，我想，哦，伙计，这对马特来说是个好消息，因为他

你正在雇用这个行业的格格不入者，对吧？那些不想参加会议的人，那些不想填写表格去旅行的人，那些只想能够完成工作的人。是的，我试图回想一下，你知道，是否有影响？老实说，我不知道我是否可以在不违反保密协议的情况下谈论这个问题。是的，我们不想让你惹上麻烦。

是的。今年。是的，我认为你如何描述这些组织的思维方式是……这是相当准确的。我的意思是……

嗯，我们俩都参加过这样的会议，他们会说，“哦，我们不能雇用这个人，因为他们的背景有问题。”这也有其合理性，对吧？你试图管理最高机密信息，试图管理风险和组织。但另一方面，你实际上是在雇用同类型的人。是的，你没错。我绝对不同意。我认为从一个好处到关键人物，这绝对是把人们赶走了。

绝对的。我认为这是一个持续至今的趋势。我的意思是，我仍然——完全公开地说——积极地从情报机构招聘人才。那些渴望离开并做更多事情的人，为了说得更好一些，被释放出来解决技术问题。那种渴望就在那里。我喜欢这种释放技术的视角。

那些以前戴着手铐的人。现在你的上限不是官僚主义，而是你自己的能力。我已经做了将近15年企业家了，在两家公司工作，我得以

见证人们经历了这个释放过程，看到他们在一个月后就被他们现在能够做的事情以及……你知道，我并不是说不要这样做，只是这里有目标，这里有难题

解决它。让我知道你需要什么。我们会偶尔联系一下。在加拿大，人们通常会休一年假或五年学术假后加入公司。我总是对此一笑而过，因为，是的，我的意思是……

没有人回去过。所以从风险的角度来看，这是有道理的。所以我从不反对这一点。但从实际角度来看，没有人回去过。它已经成为我看到的一种被用来对付员工的武器。“哦，你要去那家公司。我们不会给你一年假。”然后就像，“好吧，这是一个极其糟糕的决定。你表现出了一些非常不幸的真实面目。”是的。

这会让某人留下，还是会更快地把他们赶走并激励他们？肩上的筹码，伙计。这种来自这种动机的动力确实能激励人们。我的意思是，谷歌的Project Zero项目很大程度上是由那些带着怨气离开情报部门的人组成的。我不知道这是否奏效了。我想总结一下你成长过程中学到的一些经验教训

field effect 现在有100名员工。对于许多公司来说，这是一个关键阶段。很多公司在这个40到100人的范围内崩溃，因为你开始触及到

你已经建立的流程的天花板，以及把你带到这里的员工的天花板。你怎么看待这个问题？你如何扩展规模，如何超越这个天花板？我认为第一个组成部分是确保每个人都朝着同一个方向前进。在内部观察时，你必须非常直接、坦率、诚实，也要了解公司的目标是什么。每个人都需要知道公司的目标是什么。

我不认为执行是很多人的天性。对我来说，现在，在我们接近100人的时候，在我们经历COVID-19的时候，我的最大担忧之一是，当COVID-19开始的时候，有一个决定需要做出，是积极应对还是畏缩不前。在我看来，很明显我们应该积极应对，因为我们的竞争对手可能会

处于损害控制的B类。所以你可以领先。是的。所以执行是其中很大一部分。需要一些时间来理解在每个特定问题或特定公司中执行是什么样的。因此，我们如何作为一个团队执行的发现，我认为这非常重要。总的来说，公司在这方面做得非常出色。

我认为，这始终在我脑海中回响的一件事是，每个人都有好主意，但你如何推进就是执行。你需要将这些好主意转化为现实的东西。在我们结束之前，你还想谈谈网络安全现状吗？

我的脏话用完了吗？没有，伙计。想说什么就说什么。我认为我们现在已经很明确了。所以我想说，如果你是一家正在寻求帮助的公司，这可能是一件具有挑战性的事情。我认为这就像去看医生一样，当你感到疼痛时，你并不想一定要知道是什么原因，因为人们天生就厌恶坏消息。

你不能对网络安全这样。如果你没有网络安全供应商，如果你没有公司来帮助你解决这个问题，那就去做吧。现在每个人都是目标。你的公司规模还不至于不在攻击者的雷达上。我见过五人公司。事实上，我见过两人公司

遭到攻击并被击中。所以我的建议是不要害怕寻求帮助。fieldeffect.com上的hello。第二件事我想说的是，任何正在寻找一个真正酷的机会、一个真正酷的公司的人，无论你现在为哪家公司工作，我们都在寻找更多的人。

太棒了。我的孩子们叫你马特叔叔，但他们也总是在埃隆·马斯克出现时说，“我们认识一个人，他会比埃隆做得更多。”他们指着你。所以我们期待着看到未来几年这种情况如何发展。我不知道该如何回应，但这真是太好了。谢谢你的聊天，马特。是的，谢谢你邀请我。时间过得很快。

嘿，在我们道别之前还有一件事。知识项目是由Furnham Street团队制作的。我想让这个播客成为你听过的最好的播客，我很乐意得到你的反馈。如果你有任何评论、对未来节目或主题的想法，或者是一般的反馈，你可以给我发邮件至[email protected]，或者在Twitter上关注我@shaneaperish。你可以在fs.blog/podcast了解更多关于节目的信息并找到过去的剧集。

如果你想要本集的文字记录，请访问fs.blog/tribe并加入我们的学习社区。如果你觉得本集很有价值，请在网上分享，使用标签#theknowledgeproject，或留下评论。直到下一集。