Deep Dive
- Attackers exploit the path of least resistance.
- Attack surface shifted from networks to endpoints to identities.
- Snowflake breach: attackers logged in, not hacked in.
- Identity attacks are cost-effective for attackers.
Shownotes Transcript
亚当过去以合法的方式入侵公司为生——作为一名红队成员,他见证了攻击面从网络到端点再到新的东西:身份的转变。Snowflake 数据泄露事件证明了这一点——攻击者不再入侵,而是登录。亚当预见到了这一点,创立了 Push Security 来阻止它,现在他来解释这一切。他们是我们的新赞助商,所以如果这不是你的菜,别担心——我们下次再见。但他的故事?引人入胜。Hacked 由 Push Security 提供——帮助公司在身份攻击发生之前阻止它们。网络钓鱼、凭据填充、会话劫持——Push 正是在其开始的地方解决问题:浏览器。智能、无缝且专为人们的实际工作方式而构建。请访问 pushsecurity.com 查看详情。了解更多关于您的广告选择的信息。访问 podcastchoices.com/adchoices</context> <raw_text>0 亚当曾经是一名红队成员。我曾在某个时候以道德黑客的身份进入这个行业。他会受雇于一些大型组织,他的工作是在模拟中扮演角色,扮演攻击者的角色。
我们基本上是如果你觉得你的安全非常好,并且想体验一下遭受真正老练的威胁行为者攻击是什么样的团队,你会打电话给我们的团队。他会出现,试图闯入,并在这样做的过程中,揭示漏洞,以便在其他人利用它之前修复它。因此,我们经常模拟,你知道,俄罗斯或中国或任何其他人想要的对手。
就像一个国家政府资助的攻击小组。当他描述他以前的工作时,他有一种非常有趣的方式,我不知道你是否听过,但他谈到他们过去是如何按里程碑付费的。因此,他们会与这些公司签订合同,他们会说,你有三个月的时间试图将这笔钱从这个账户转移出去,如果你能做到,我们将支付你巨额的款项。
他说,当然,很好。48 小时后,他们就完成了,说,把所有钱都给我们。他们说,好吧,我们以为这需要你三个月的时间。他说,好吧,合同上没这么说。随着时间的推移,他开始观察这种转变的发生。你知道,攻击者总是走向摩擦力最小的地方。因此,只需攻击最薄弱的环节,因为你在其他地方提高了攻击的成本。这些角色中的人经常谈论攻击面的概念。它是攻击者可以进入系统的所有不同点的总和。
他们观察到他们被付费入侵的所有这些组织的攻击面开始发生变化。在 21 世纪初,攻击面是网络。保护它就像锁定开放端口之类的事情。是的,防火墙,基础设施方面,保持堡垒的城墙又大又坚固。
然后它开始转移到用户的设备,他们称之为端点。这成为战场,你进入的方式。然后你得到了像 EDR(端点检测响应)这样的东西,它正在寻找本地运行的恶意代码并将其抓取并控制问题,以防止它成为问题。亚当开始感觉到他可以看到一个转变即将到来,攻击面从网络到端点到浏览器的转变。
特别是我们在浏览器中使用的身份。身份这个技术术语,将其真正简化为大多数人能够理解的东西,那就是他们的登录名、用户凭据、登录名、密码。
多因素身份验证等内容可以构成在这种情况下一个人的数字身份。为什么要花费大量资金开发恶意软件,而你可以钓鱼甚至只是购买一些泄露的凭据并立即开始工作呢?去年,世界在 Snowflake 数据泄露事件的形式下有了一个顿悟时刻。没有实验室开发恶意软件,没有什么复杂的。
只是一个购买了某些身份凭据的攻击者,登录并开始工作。在你意识到之前,数百家企业仅仅因为浏览器中的一个身份而暴露,导致了有史以来最大规模的数据泄露事件之一。这个身份可能是在互联网上以几美分的价格购买的。攻击面再次发生了变化。在我们录制之前,我们通过这个话题进行交谈,只是随便聊聊,……
他说,当你可以在互联网上购买一些凭据,编写一些脚本,让它在成功登录尝试时发出 Slack 通知时,为什么要花费所有这些时间做所有这些复杂的事情,试图穿透所有这些复杂的安全系统呢?他说,去酒吧喝杯啤酒,然后等着你的 Slack 通知你已经入侵了一家大型国际企业。从酒吧回来后,亚当创立了 Push Security。
他们是我们的新赞助商。所以声明一下,这在技术上是赞助内容。如果你不喜欢,没关系。我们下次再见。但我们发现亚当这个红队成员的故事,他预见到了事情的发生。绝对令人着迷。
我会说,这在技术上是赞助内容。但是,这并非合同规定。我们只是想和亚当谈谈。是的。因为,首先,他是一个很棒的谈话对象。其次,他非常可靠。第三,他有很多精彩的故事。所以,我们不必制作这一集。我们想制作这一集。我们认为这是一集好节目。是的。
是的,这不是协议的一部分,但我们还是想这么做。因此,我们与亚当坐下来,试图理解我们正在谈论的这种演变,关于他是如何学会像攻击者一样思考以及这一切接下来会走向何方的。因此,如果你想听一个真正高级的网络安全专业人员及其在这个生态系统中的旅程的故事,请收听本集。非常好。让我们开始吧。这是我们在 Hacked 本集中与来自 Purse Security 的亚当的对话。
我们正在讨论这个假设,即有一个坏人正在试图进入某种大型机构。
金融、医疗保健,无论是什么。他们面临着这个岔路口,这个他们必须做出如何进行选择的抉择。我真的很喜欢你表达的方式。我想知道你是否可以带我们了解他们将如何做出这个选择。是的,当然。我的意思是,这很大程度上来自我们创始团队的背景。这就是我们所做的。所以我们是……
基本上是进攻性安全团队。我们做了很多攻击模拟。我们经历了这个时代,你知道,当我第一次开始做的时候,对端点进行客户端攻击根本就不是一回事。就像这一切都是关于外部边界测试,对吧?所以你做的事情就像在面向公众的基础设施上进行端口扫描和漏洞扫描。然后这就是你必须突破才能进入公司的墙。
然后随着它的越来越好,它开始,你知道,它变得越来越难。坦率地说,测试变得越来越无聊。因此,我们采取了一种方法,我们想,为什么我们不跳过这堵墙呢?就像,为什么我们不,你知道,去公司网站申请工作呢?
但不是,我们会给他们发送简历,但让我们将宏嵌入其中并获得代码执行并控制端点。然后从那里开始在网络内部跳跃。所以我们经历了这个时代的转变,如果你愿意的话,不仅仅是漏洞利用和策略发生了变化,而是一种完全的模式变化,如果这说得通的话。我们经历了很长一段时间。然后……
当我们开始走出,你知道,十年后,我们再次看到了转变。所以我们最近一直在谈论,现在每个人都非常关注云和 SaaS。如果我今天是一个攻击者,我要攻击一个组织,那么入侵基础设施最经济有效的方法是什么?是……
离开并建立在线基础设施,建立一个拥有所有不同 EDR 和所有不同 AV 的实验室,创建规避 EDR 的恶意软件和 C2 基础设施,通过 DNS 隧道化,以便它绕过所有网络流量和所有这些不同的东西,然后入侵端点,学习如何持久存在,然后在网络中移动数月之久吗?还是对你来说更好……
获取前 10,000 个 SaaS 应用程序的列表,编写一个脚本,然后遍历并尝试用户名和密码,不断从犯罪市场上获取待售的明文凭据,并将它们喷洒到所有内容上并登录,对吧?所以如果你这样想,从攻击者的投资回报率来看,就像第二种方法你可以
编写这个自动化脚本,你去酒吧,你会收到 Slack 警报或手机上的消息,说,嘿,你刚刚入侵了某人的 MDM 解决方案。你可以在所有内容上部署勒索软件。所以无论如何,我们这样想,我们想,这实际上太疯狂了。这就是攻击者将开始入侵组织的方式,公司在他们的架构方面越来越支持这种方式,看起来就是这样。它非常以云为中心,
这就是原因。因此,对我们来说,这就是为什么它成为另一个转变。就像转向端点是一个转变一样,现在转向云边界显然是该行业面临的另一个转变。对。所以你们主要针对的是,或者说目标主要是身份?是的,就像我们在谈论的第一个时代一样,它是公共 IP 地址范围上的开放端口,你会对它们进行端口扫描以查找……
现在你谈论的是身份,我们真正谈论的是用户帐户,对吧?是的,凭据。然后,是的,人们说,好吧,我不明白身份是新的边界,因为我们一直都有身份。我们一直都有凭据。不同之处在于,它们过去总是位于你的网络边界上的内部系统上,但尤其是在疫情期间……
它们都被推到了网上。因此,在你的公司域名下,数千个这样的东西散布在互联网上。现在它们是可以访问的,对吧?因此,在你的基础设施网络安全方面,数十亿美元的资金正在投入。
攻击者坐在家里直接攻击云上的身份。他们甚至不触碰你的网络。没有日志记录。没有检测。影响同样巨大,因为每个东西都有一个 SaaS 应用程序。你知道,你甚至可以,你的 EDR 也是 SaaS,所以你可以入侵它,你可以用它在整个区域部署勒索软件。所以,
这个攻击面现在是公司必须防御的新攻击面。我认为这是该行业的一个大问题,需要引起高度关注。当我们在 2020 年左右重新开始或重启节目时,就在疫情爆发之前,就在我们用来经营业务的所有这些分散式系统转向之前。确实感觉很多,尤其是那些大新闻,那些疯狂的黑客攻击,那些国家级的事情,都是安全实验室。他们向研发投入了数百万美元,所有这些工时,试图从零开始开发这些入侵。
感觉在过去的五年里,它已经转向了,哦,发生的那件巨大的灾难性事件,那就像一个分包商的分包商的分包商,他们的 Microsoft Teams 或 Slack 或其他东西被入侵了。就像故事的构成方式已经发生了如此巨大的变化。是……
疫情期间向这些更远程的分散式团队的转变,是第二次改变这种枯燥框架的事情吗?是的,通常每当发生这样的重大转变时,它都来自两件事。它来自广泛的技术转变,对吧?所以我认为第一个,第一次技术转变只是当端点事件发生时,它非常……
独立的工人,其中一些在家工作,一些没有在家工作,所以端点从这种你知道的城堡墙式方法中蔓延开来,对吧?人们过去常常说,如果你还记得那个时代,人们过去常常说边界已经死了,这是因为他们当时在考虑围绕基础设施的这个城堡墙,所有东西都在里面,就是这样,你无法绕过它,然后人们开始在家工作,所以你
边界已经死了,因为它们蔓延到了外面,所以你必须转向端点来控制那个边界,所以这是第一个导致转变的转变,如果公司的形象发生变化,那么攻击技术、攻击的形象也会发生变化。
是的,我认为现在每个人都转向云。如果你看看现代公司,他们的办公室不是网络基础设施,而是互联网连接,可以让你连接到云基础设施。中间什么也没有。你不需要代理、VPN,你不需要任何这些东西。因此,公司的形象正在发生变化。因此,攻击者需要攻击这些公司的方式也在发生变化。所以首先,随着这些公司成为默认设置,
攻击者需要以不同的方式来攻击这些公司。我认为另一件事仅仅是关于,你知道,并非所有人的情况都完全像那样。有些人处于过渡阶段,所以他们最初可能是遗留的,他们基础设施的一部分是
是这样的,也许他们公司 20% 是这样的,但由于 80% 受到了很好的保护,因为我们已经有十年的安全控制围绕着它,所以 20% 成为薄弱环节,所以攻击者会直接攻击最容易的地方,对吧?所以我会说,首先是关于技术转变和公司形象的变化,其次是
关于,你知道,攻击者总是走向摩擦力最小的地方。因此,只需攻击最薄弱的环节,因为你在其他地方提高了攻击的成本。所以你来自红队背景。因此,这显然促进了并建立了你对这个攻击面的看法。你知道,是什么让你走到这里?是什么让你这样想并想出一个解决方案?是的,我一直很喜欢……
安全。我实际上不知道为什么。当我还是个孩子的时候,拆卸东西的想法对我来说非常有趣,出于某种原因,它就这样发生了。它逐渐演变成安全,并找到绕过不同事物的方法。所以
不告诉你我完整的童年成长经历,我曾在某个时候以道德黑客的身份进入这个行业,我想,就是这样。这是一家名为 MWR Info Security 的非常特别的公司。我们在英国。这个地方令人难以置信。我认为这家公司的平均年龄大约是 20 岁左右,或者更年轻,十几岁后期。一群非常聪明的工程师,他们出来后就找到了自己的路,比如学习如何破坏系统之类的事情。
所以它是一家非常以研究为主导的公司。我们一直在突破需要完成的工作的界限。这就是那种公司需要的文化,对吧?因为请记住,你真的要对抗像微软这样的大型巨头,对吧?那些已经建立了这些大型安全控制以不被破坏的人。你必须跳出框框才能绕过它们。所以你所做的一切总是走向新的方向。它总是走向未知。它总是在尝试以前从未尝试过的事情。
所以它是一个研究机构,我在那里待了大约十年左右。我是第 15 号员工,一直到,我认为我们大约有 400 人时我们登陆,对于一家服务公司来说,考虑到它都是面向服务的,这相当大。我们只是在做像
我们基本上是如果你觉得你的安全非常好,并且想体验一下遭受真正老练的威胁行为者攻击是什么样的团队,你会打电话给我们的团队。因此,我们经常模拟,你知道,俄罗斯或中国或任何其他人想要的对手,就像一个国家政府资助的攻击小组。因此,我们做的事情就像,与其说是日薪,
公司会向我们支付固定期限内的固定费用,并且它是目标导向的。他们可能会对我们说,听着,我们希望你将这笔钱从这个账户转移出去,或者我们希望你获得一个秘密项目的访问权限。我们有兴趣尽快实现这些目标。因此,我们经常会得到三个月的期限。48 小时后,我们完全控制了整个公司。你知道,这就像《十一罗汉》式的攻击,对吧?不要误解我的意思,它也有其公平的份额
应用程序测试和编写报告。但我们之所以出名,是因为那些高端的红队进攻性安全参与和我们所做的研究。是的,这就是我们真正出名的原因。这就是我们所拥有的背景。然后那家公司被收购了。我们离开了,我的创始团队和许多核心成员,我们开始了 Push。这就是真正的思维方式。我们想,好吧,我们经历了这个时代人们转向端点的转变。
现在呢?接下来会发生什么?我们决定领先于曲线,我们可以看到身份攻击即将进入市场。但这也很有趣,因为我会说,当我们来到现实世界时,我们有点震惊。因为对我们来说,进行身份攻击是如此显而易见。就像,是的,当然会发生这种情况。我的意思是,它完全没有受到保护。你可以在云中入侵身份并完全控制。如果我可以购买前门的钥匙,你知道,
不会吗?是的,就是这样。就像我们不可能看不到它,你知道吗?所以我们想,哇,这太棒了,这是下一个大事,我们走了出去,我们发表了研究,我们在会议上发言。事实上,我们在播客上谈论这件事,并谈论这个大问题即将发生,每个人都像,哦,
是的,这听起来像是一个未来的问题。目前,我正在努力处理这些事情。所以我想在我们第一次谈论这件事的时候,人们总是觉得这是一个非常有趣的理论未来,对吧?
而且这个行业的思维方式,可以理解的是,并非每个人都是红队成员,对吧?但可以理解的是,每个人都在考虑 Microsoft 365 是我放在网上的东西。这就是王国的钥匙。这就是重要的身份。如果有人入侵 Microsoft 365,那么他们就可以进入其背后的所有其他应用程序。你知道,对于此处插入的 Okta 等都是如此。
Google Workspace,无论你使用什么,但我指的是主要的 IDP。所以思维方式非常重视这一点。外面的所有小应用程序并不那么重要。我们说,好吧,实际上,如果你考虑传统的网络边界,这有点像说,听着,我在互联网上有 400 个主机。
但是只要我保护我的 VPN 和我的网站,我就没事了。但每次我们的游戏方式都是某个地方停留在一边的小型开发服务器,它有一个没有人知道的漏洞。我们会利用它来绕过 VMZ 并入侵整个基础设施,然后回到网站和 VPN 端点以及其他所有东西。所以是的,我的意思是,历史告诉我们这是真的。我们做了很多研究来展示你如何入侵一个微不足道的应用程序并从该应用程序横向移动到
通过,人们觉得它非常有趣,但去年 7 月才是每个人都醒悟过来的时候,他们有点像,发生的事情是,我认为你之前在节目中谈到过这个,所以只是为了提醒一下人们,Snowflake 是一个大型重要的数据库,人们一直在不断地将攻击者从端点中赶走,攻击者出现,从暗网上购买一些明文凭据,这些凭据是从你知道的之前的活动中出售的
并登录,这就是攻击,你知道,基本上是复杂的,是的,就是这样,并且有一个巨大的觉醒,我们一直在做的所有研究,我们一直在谈论的所有事情,我们有很多人都回来并说,嘿,好吧,我们明白了,你知道,现在还有其他身份存在,对我们来说,这是一个……这是一个……这是一个好时机,因为我们这样做是为了改进这个行业,对吧?我们这样做不是为了
你知道,我们没有继承一个产品和一家公司,然后我们试图找到一种方法让人们购买它,你知道,就像我们看到一个即将出现的问题,我们一直在努力弄清楚如何才能最好地解决这个问题,因为我们的研究背景,它已经不可思议地……它只是在我们心中建立了一种研究的方式,所以长时间谈论它是有益的,我想,就像
我猜想一个环保主义者会感觉到的那样,你知道吗?就像你坐在那里,你告诉每个人一颗彗星来了,没有人会完全听你的。然后当世界即将变成灰烬的那一天,你可能坐在那里说,哦,我的上帝,世界即将变成灰烬,但是是的!现在你明白了。这不好,但我告诉过你了。是的。哦,伙计。是的,这很好。因为另一件事也是,像……
密码重用。所以当涉及到身份和凭据时,我们在这个节目中谈论了很多,就像很多人重复使用他们的密码一样。所以它就像一个系统的凭据可能是许多其他系统的凭据。我相信,你知道,这促进了云空间中许多大门的打开。所以是的,一个疯狂的数字。事实上,我们现在在我们的数据中看到了这一点。所以是的,
超过三分之一的密码在所有地方都被重复使用。这很成问题,因为如果你看看传统的领域,当你入侵 Windows 或 Active Directory 或其他任何东西时,
你会入侵某个地方的微不足道的服务器,你做的第一件事是从所有地方提取所有哈希值,并将它们喷洒到网络中的所有其他地方,因此它将单一入侵变成了大规模入侵。凭据填充,你知道,完全等同于此。我的意思是,你显然不会得到哈希值,但明文密码针对一个,你知道,我刚刚入侵了一个维基。谁在乎我的维基?好吧,
你知道这没什么大不了的,但如果你把它拿走,然后你把它喷洒到地球上的其他所有应用程序上,你就可以访问另外 50 个,现在它很重要,你知道,这真的是一件大事,所以是的,我们从我认为 Ashley Madison 开始就一直在谈论这个问题,是的,因为他们因为我认为盐或它们没有加盐,或者它们有一个非常基本的盐,也在黑客攻击中暴露了,所以基本上密码数据库被破解得非常快
所以突然之间,所有这些身份都在四处活动,我们多年来一直在谈论这个问题。我记得那件事。是的。我的意思是,我很想知道你对此的看法,就像你发现这个时代的转变即将到来,对吧?
你启动这个项目来尝试解决它,就像一切都转向身份一样。这将成为新的漏洞。Snowflake 发生了,每个人都说,哦,是的,这似乎是一个非常大的问题。但其核心是那些泄露的凭据,那些人们可以去大量购买这些信息的地方。这有点像进入这些系统的容易立足点。你观察过这些市场的发展吗?你对这些人们可以去大量购买这些凭据的空间有什么感觉?
是的,这是一个很好的问题。所以这是一种完全平行的产业,就像从犯罪产业的角度来看,但也是从网络安全供应商的角度来看,我认为这与我们相邻。就像我们在我们的解决方案中利用它来帮助解决一些问题一样。但是
如果你们明白我的意思,我并没有一直关注它的增长,因为它是与我们平行的。但我之所以这么说,是因为他们真的,如果你考虑一个老练的威胁组织,
他们会将自己分成团队。就像你总是会有一个初始访问团队,就像坐在那里编写漏洞利用并找到进入公司方法的人一样。就像他们可能会整天编写一个从未见过的浏览器一样。就像其他人会编写一个植入程序,然后你将有一个团队来获取植入程序和浏览器漏洞利用,他们将获得访问权限,并将立足点放在组织中。
然后你将会有一个不同的团队进来,他们实际上会去实现行动目标,他们将开始在基础设施中移动,以实际获得他们想要的数据或部署勒索软件或他们想要做的任何事情。所以它有点像这样分批进行。
犯罪市场也是如此,你将有一个人的工作,那就是从互联网上获取凭据。所以可能是网络钓鱼,对吧?他们只是大规模地对人们进行网络钓鱼。可能是你入侵了,我不知道,像你说的 Ashley Madison,只是提取所有明文密码并将它们放在网上。他们在供应链中的作用是窃取凭据并将其出售。就是这样。
这就是他们必须做的全部事情。但供应链的另一半是那些只是说,让我买一些凭据,并用它登录其他所有地方的人。所以他们是两个方面。将凭据放在网上的人通常与那些获取凭据并将其用于不同地方的人不同。我认为你是第一个听到我讨论网络犯罪问题的人。
事情是一个供应链,你是第一个听到我这样谈论它的人,是的,就像我们每个人都有自己的角色要扮演,就像有些人专门从事这个角色,你知道,收集用户名和凭据并将它们卖给其他人,这些人会拿走它们并使用它们,我从未听说过有人将此称为供应链,但它确实是一个供应链
它确实是。是的,我的意思是,因为你很多时候都在想,这取决于群体,对吧?有不同类型的群体,比如国家行为者。他们都将是,你知道,一个组织中的雇员,而犯罪集团往往更加分散。所以有时你会有像独立承包商这样的人,他们的工作只是编写一个 Windows 驱动程序,允许它将自己嵌入到操作系统中。就是这样。然后那个人会把它反馈回来
亚当过去以合法的方式入侵公司为生——作为一名红队队员,他见证了攻击面从网络到终端再到新的东西:身份的转变。Snowflake 数据泄露事件证明了这一点——攻击者不再入侵,而是登录。亚当预见到了这一点,创立了 Push Security 来阻止它,现在他来详细解释这一切。他们是我们的新赞助商,所以如果这不是你的菜,不用担心——我们下次再见。但他的故事?引人入胜。Hacked 由 Push Security 提供——帮助公司在身份攻击发生之前阻止它们。网络钓鱼、凭据填充、会话劫持——Push 正是在其开始的地方解决问题:浏览器。智能、无缝且专为人们的实际工作方式而构建。请访问 pushsecurity.com 查看详情。了解更多关于您的广告选择的信息。访问 podcastchoices.com/adchoices</context> <raw_text>0 对恶意软件作者而言。恶意软件作者的工作只是编写并不断更新此恶意软件。但这与他们随后将恶意软件传递给的 10 个威胁参与者大相径庭,这些参与者实际上会使用它去感染他人并继续下去。所以我想这与普通的犯罪团伙不一样,对吧?你有骡子,你有……是的,大型组织中存在不同的角色。这让我印象深刻。我们做过一些故事,其中
我很好地了解了其中一个组织在做什么。你采访某人,他们解释组织的结构。在某个时候,你会觉得,这就像一家公司。这只是一家大型的,这是一家中等规模的技术公司,其目标只是
比其他公司阴暗得多,但它有组织结构图,有管理层,有供应商,他们似乎有厂商,有原材料,就像有人在将铝冶炼成杆状物一样,这只是一项业务,所以整个转向云端,以及身份在互联网上的蔓延,是近几年才发生的事情,这大大拓宽了攻击面……
但正如我所说,实际的身份攻击,即你执行攻击的方式,几十年来并没有真正改变。它就像暴力攻击、凭据填充、网络钓鱼。就实际的凭据访问而言,所有这些都是相同的东西。但原因是它一直是一个大问题,即使在我们专注于即时响应和基础设施时代,即使那时我们也说过身份攻击是……
我们行业将面临的最大问题之一。我们之所以这么说,是因为在我们进行进攻性安全之后,在此提供一些背景信息,我们当时正在进行检测响应和事件响应。因此,我们实际上转向并开始运行 MDR 服务,我们当时正在观察攻击的发生。这非常有趣,因为你有一些前红队队员
看到他们在进行检测响应方面是多么有效,这真的很酷,你会看到一个指标,然后想,“我知道你接下来会做什么。”然后你实际上会领先于攻击者,这使得它成为一场有趣的战斗。但无论如何,重点是我们会观察这些攻击的发生
当攻击者入侵终端时,这非常有效,因为他们在终端上做的事情是不应该做的,例如注入进程或转储内存中的密码,或者其他恶意行为。EDR 可以非常清楚地区分正常行为和异常行为。但是,一旦攻击者窃取密码并转移到身份方面,
很难区分攻击者和员工。显然,你可以看到他们从终端窃取密码的点,但假设你只是查看身份,例如日志。当然,是的。你所看到的只是登录。是的,所以你现在处于这样的阶段,有人登录到一个帐户。如果你只看到这一点,有人登录到一个帐户并从数据库中删除某些内容或删除文件。
现在,这是用户登录并这样做是因为他们想要这样做?还是攻击者登录并这样做是因为它是恶意的?这两者之间的区别,你无法从数据中分辨出来,因为……
他们实际上就是员工,他们窃取了员工的帐户,他们拿走了它,所以唯一的区别在于意图,而你无法通过数据来衡量意图,如果你理解我的意思的话,所以我们想,这是一个大问题,这就是为什么我认为实际上提示员工说,“嘿,这是你做的吗?”是进行身份攻击的关键部分,我认为这是该行业在开始解决这些问题时真正需要前进的方向
当然。所以,每当我进行交易或其他操作并在我手机上收到小提示时,它就像,“嘿,你真的做了这个吗?”是或否?这就是我确认自己身份的验证步骤。没错。是的。所以,嘿,恶意行为刚刚被确认。是的。这是你做的吗?类似于虚假提示,以确保发生这种情况并验证其中一些内容?
就网络钓鱼而言,你对复杂程度和……的水平有什么看法?在过去 10 年中,从过去 10 年前通用的电子邮件和任何其他内容发展到现在的水平,它发生了怎样的变化?因为我肯定它大不一样了。是的,核心,我想……
正如我所说,网络钓鱼和所有其他内容并没有发生太大变化,但执行这些操作的方式已经发生了相当大的变化。例如,我们现在看到的是所谓的中间人攻击(AITM)的急剧增加,基本上。有人曾经问我那是不是性别中立的中间人攻击,它不是。是的。
但它是中间人攻击。所以这是一个轻微的变化。所以概念是一样的,你仍然是中间人。但我们认为,最好的理解方式是将其视为钓鱼 2.0。在钓鱼 1.0 中,
你的目标作为攻击者是窃取凭据,用户名和密码。所以你真正做的是设置一个看起来像合法网站的克隆网站,将其发送给受害者,受害者输入他们的凭据,然后你就可以拿到用户名和密码了。现在,多因素身份验证(MFA)被认为是一件大事,因为我现在无法使用这些凭据了。
这就是发生这种情况的原因。因此,中间人攻击实际上是由于 MFA 的增加而出现的,它允许你绕过 MFA。中间人攻击的工作方式是你不再让受害者登录到克隆网站。你让他们登录到你的实际网站
例如,实际的 Microsoft 365,但他们通过你进行代理,如果你明白我的意思的话。所以你实际上设置了一个攻击者代理。是的,没错。你通过它进行隧道传输,然后你说,“嘿,给他们发送一个链接。”他们连接到你。你获取页面。你将页面返回给他们。因为你在中间……
它允许你拦截所有内容,包括会话令牌和 MFA。然后你就可以绕过它了。有很多巧妙的方法可以做到这一点。例如,一个变得非常流行的方法是所谓的中间浏览器攻击,它是中间人攻击的一个子类别。发生这种情况时,你设置了,你熟悉 VNC,对吧?就像用于远程桌面查看一样。是的,当然。我的想法是,我在互联网上设置一个服务器
并且作为攻击者进行眼控。当我设置它时,我打开一个网络浏览器,然后浏览到目标页面,例如 Okta 或 Microsoft 365 页面。所以我现在拥有的是一个在线的服务器虚拟机,上面打开了一个浏览器。是的,没错。所以然后我显然可以远程登录到它。我最终在我的桌面上得到一个窗口,显示目标页面。
页面,对吧?现在,幸运的是或不幸的是,这取决于你在哪一边,现在有一些 JavaScript 库允许你在浏览器中运行 NoVNC。所以我们看到攻击者所做的是
基本上运行你有一个浏览器窗口,你将其发送给受害者,他们打开并看到他们完全品牌的 MFA 登录,这实际上是他们的登录页面,但是当他们不知不觉地将用户名和密码输入其中时,他们实际上是在我的服务器上这样做,我可以观看它发生,我可以从中提取所有内容,所以这些是我们现在看到的现代攻击……并绕过了许多这些不同的攻击……
这些攻击开始变得越来越为人所知。最近,我们看到了检测绕过方面的演变。我们看到的是,网络钓鱼攻击的主要投递载体仍然是电子邮件。因此,攻击者会发送这些网络钓鱼链接之一,无论是什么技术,无论是钓鱼 1.0 还是更高版本,
你将电子邮件发送给受害者,电子邮件或代理将扫描电子邮件并查找不良 URL。现在,显然它可以检查域信誉,如果它是最近注册的以及所有这些事情。但这些很容易绕过。你只需购买那些已经注册很长时间且信誉良好的域名即可。所以你开始看到他们实际上会获取链接并点击链接,查询钓鱼工具本身以获取更多信息。
所以我们看到攻击者所做的不仅仅是在他们的钓鱼工具前面设置机器人保护,对吧?所以就像他们在前面设置了 reCAPTCHA,你必须向它发送特定的获取参数。其中一些甚至……
向你显示登录页面并让你先登录。如果你输入的域名不是目标公司,它只会将你重定向到 Microsoft Live 登录,就像合法的东西一样。如果是目标公司的域名,它将返回钓鱼工具。你开始看到这样的东西。所以你看到这些东西完全绕过了这些网络钓鱼检测。即使他们,你知道,受害者将其转发给他们的 IR 团队,他们登录,他们会说,“哦,不,它看起来像合法的,继续吧。”
你知道,以及类似的事情。所以有一些简单的技术,但非常强大。所以,检测系统试图对钓鱼工具进行指纹识别,但钓鱼工具实际上对检测技术进行了指纹识别。就像,当它到来时,它就像,“不,你,我们知道你是谁。就像你去这里,就像,这是合法的内容,滚开。”
是的,没错。所以你就像,“哦,这不是人类在查询我。”返回友好页面,基本上是为了以这种方式绕过检测。聪明。是的,我们看到这种情况越来越多。我们还看到很多网络钓鱼完全避免了电子邮件。所以人们在……上对人们进行网络钓鱼……
你知道,LinkedIn Messenger。显然,短信一直是一个已经发生很长时间的渠道。嗯,是的,我们,你知道,你可以,你可以将网络钓鱼链接放在任何地方。嗯,不仅仅是私信中充斥着越来越多的网络钓鱼链接,多年来都是如此。就像我不断被这些东西淹没一样。这根本不是真的。是的。我实际上,我实际上看到一条消息。对不起。我只是从我的 Slack 中调出来。我这个周末告诉乔丹的,但是,呃,
联邦调查局已经发布声明,我不知道你是否看到了这个,基本上说不要打开 Gmail 中的任何链接。显然,有大量的 AI 网络钓鱼攻击正在攻击 Gmail 帐户,基本上不要相信你 Gmail 中的任何内容。我不知道你是否看到了这个链接或这篇文章。我没有。这听起来像是内部安全团队的噩梦。就像所有地方的员工都不点击任何链接一样。完全正确。是的。
但就像想象一下有多少 Gmail 用户。如果人们将 Gmail 作为攻击的主机,那么,哦,我的上帝。
是的。我觉得没有哪个平台可以接收消息,而不会被这些链接淹没。我认为我们已经做了一些关于人们入侵游戏、人们在游戏中作弊的剧集。听起来,如果你未满 18 岁并且在 Discord 上,你收到的网络钓鱼攻击比我所能想象的还要多。这完全说得通。就像,这是最了解情况的受众吗?
谢天谢地,这一切都是为了窃取加密货币。这是真的。只要你远离加密货币。是的,没错。是的,你这么说很有趣,因为我不想在这里谈论太远的未来,但是,嘿,显然我们一直在这样对待自己,所以为什么不这样做呢?为什么不呢?我们一直在考虑的事情之一,显然是,像 OpenAI 的 ChatGPT 几天前发布了,你已经看到了这个代理在你的浏览器中运行,它为你使用你的浏览器。他们给出的例子是,嘿,这里有一些食物。登录 Instacart。
然后一次性添加所有配料并为我购买。非常令人兴奋。但显然,我们的想法直接转向,哦,攻击者将如何滥用它?我现在说的不是将 Operator 本身武器化,因为毫无疑问,他们会构建许多安全措施来阻止事情发生。但是这项广泛的技术,以及当你开始看到它的开源版本以及那些没有任何防护措施的版本时,
你可以将那些电子邮件类型的攻击扩大很多。例如,想象一下,说,找到 10,000 个最受欢迎的 subreddit,参与对话,然后放下一个网络钓鱼链接,或者,我不知道,在 LinkedIn Messenger 上联系这家公司的所有人,与他们聊几条消息,然后放下这个网络钓鱼链接,以及类似的事情。我认为这些事情。非常友好。是的,我能理解。是的,和每个人交朋友。
我相信你可以编写一个 LinkedIn 招聘人员机器人,它就像,“嘿,你知道我们有一些工作,也许……”然后只是淹没人们,链接将是一个网络钓鱼链接,你会得到大量的点击,或者像,来吧,来参加黑客播客,假装是 Push Security 的 CEO,然后在最后放下我的网络钓鱼链接,是的
你现在有能力上演有史以来最伟大的恶作剧。可能会花费你很多,但你可以做到。所以听起来像是,
我们谈到了 Discord 和其他平台,这些平台基本上只是换了皮肤的网站。听起来这个新时代正在浏览器内部发生。这些漏洞发生在浏览器中。人们完全在浏览器中使用这些凭据和身份。跟我谈谈浏览器作为我们目前所处的攻击面的想法。是的,当然。完全披露,这显然是我们产品所做的
但我觉得可以谈论这个的原因是,正如我之前所说……
我们并没有继承一个产品。就像我并没有有一天得到它,然后被告知,“哦,你如何才能以最佳方式定位它,以便有些人想要使用它”,对吧?更确切地说,我们是根据一个问题来解决这个问题的,好的,身份攻击正在成为一个问题。我们对行业负有责任去做这件事,因为我们长期以来一直站在对抗这些攻击的最前线。解决这个问题的最佳方法是什么?我们尝试了所有方法。通过我们在多年来的研发工作中,我们得出的结论是,它必须在浏览器内部,对吧?
这很有道理,对吧?因为如果你考虑所有散布在互联网上的那些身份,你知道,你不能只是对它们进行漏洞扫描。你不能只输入你的公共 IP 地址范围。你不能编写一个脚本,永久性地对所有员工的凭据进行大规模暴力破解,希望你得到正确的用户名和密码组合,并报告哪些身份存在。那么你该怎么办?我的意思是……
所有云身份的共同点是它们都通过浏览器传输。所以我们想,这实际上是一个非常有效的强制执行点,可以从浏览器中提取遥测数据。你可以开始看到员工在创建和使用身份时的行为,然后你就可以将它们全部映射出来,对吧?所以这是我们想到构建解决方案的显而易见的地方。此外,因为我们之前谈论过网络钓鱼攻击,当它们开始转移到不同的渠道时,
无论你在任何来源(例如电子邮件或其他任何地方)点击任何链接,在某个时候,即使它拥有我们之前讨论过的所有机器人保护,在某个时刻它也会启动有效负载,钓鱼工具会在浏览器中呈现,然后你可以阻止它,对吧?你可以根据钓鱼工具本身来阻止它
但你也可以检测员工行为。检测类型事件,并在他们按回车键之前确定他们刚刚输入了关键密码,例如他们的 SSO 密码,并阻止这种情况发生。对我们来说,这就像,去那里并在浏览器内部强制执行和解决这类问题,这太有意义了。对我们来说,这是一种非常非常强大的方法。我认为这与我们之前谈论过的……相结合,
架构转变。就像我们开始的一些公司一样,如果你看看 Push,我们在浏览器中完成了 100% 的工作。我认为我唯一拥有的桌面应用程序是 Zoom,这让我非常沮丧,因为它有一个桌面应用程序,为什么它不在浏览器中运行?但除此之外,也许还有 Slack,可选的桌面应用程序。所有内容都在浏览器内部,并且
因此,进入浏览器并在其中进行安全防护似乎也符合公司的发展方向。所以是的,这就是我们决定去那里做的原因。是的,这很有道理。许多像 Slack 和 Notion 这样的应用程序,它们都是用 Electron 编写的,Electron 本质上就像 Swift 应用程序等的 HTML CSS 插件。所以它们实际上都是网络浏览器。这就是方式,不是吗?这就是它的发展方向。是的,就像人们部署 Chromebook 时一样,那是我真正考虑的时候
对吧?因为这就像我们在这里谈论的内容的最纯粹版本。是的。因为如果你在 Chromebook 上获得 shell,它是只读的,上面没有文件。你无法真正横向移动。你可以做的是与互联网进行通信。所以整个攻击向量都在浏览器内部。就像,你知道,这非常纯粹地体现了我们正在谈论的世界。但无论如何,多样性。我认为这非常重要,因为……
你可以使用一台计算机作为浏览器并在现代世界中运行,这告诉你现代世界有多少内容完全发生在浏览器内部。所以我想,我的意思是,简单来说,那么 Push 做了什么呢?
是的,所以 Push,我们存在的目的是阻止身份攻击。我们完全专注于此。所以实际上是任何与帐户接管有关的事情,即你的用户帐户被入侵。这可能是网络钓鱼。这可能是身份散布在互联网上,实际上是绘制出它们的位置并将其全部锁定。
我们甚至可以确定,我们可以确定某人是否正在使用他们的密码管理器,以及他们是否一直在使用剪贴板粘贴他们的密码,以及他们正在使用哪个密码管理器,或者他们是否将其同步回他们的 Chrome 配置文件。所以任何可能导致用户帐户被入侵的事情都是我们关注的重点。如果你喜欢类别,技术版本是 ITDR,即身份威胁检测响应。
我认为这是一个我们尽量不使用的名称类别。我们考虑的是我们解决了什么问题,然后我们去解决那个问题。但是,你知道,对某些人来说,这有助于他们对我们所处的位置进行分类和思考。你提到了从密码管理器中剪贴密码并将其带到浏览器中。这是一个漏洞吗?所以,我的意思是,人们从……复制粘贴它,我的意思是,
如果你考虑帐户接管,有人将他们的凭据输入恶意网络钓鱼网站,但你还要考虑暴露。所以如果有人将其存储在一个……不好的地方,例如明文粘贴在某个文档上,那是不理想的,所以我们可以鼓励人们使用密码管理器的原因实际上是一个保管库,可以安全地存储它们,所以我们检测剪贴板粘贴的原因是因为很明显有人刚刚从文档或本地记事本中提取出来,然后我们只是直接从 Slack 消息中粘贴它
没错。是的,或者我有一条 Slack 消息。所以我们显然只在他们进入浏览器时才有上下文。所以在这个阶段我们无法判断它是从哪里剪贴板粘贴的,但这只是很好的情报,就像,“哇,这是一个关键帐户,例如 AWS 管理员帐户,有人经常在剪贴板中粘贴它。可能应该和那个人谈谈,看看他们是如何处理密码的。”
另一件事是,剪贴板是帐户可访问的。所以在帐户内的任何地方,它就像一个通用的内存寄存器。所以它是不安全的。所以如果那里有密码,任何正在运行的应用程序在技术上都可以访问它。所以如果你通过剪贴板复制粘贴密码,你实际上是将其共享给用户帐户上的所有其他代码。所以技术上存在漏洞,但是你……
很难找到足够聪明的人来编写一种有效利用它的方法。也许我们这里有他。
有趣的是,谈到剪贴板页面,这是一个完全不同的主题,但在你说这个之前,它让我想到。你看到了吗,我可以在你看到之后给你发送链接,但是几个月前共享了一个网络钓鱼攻击。这真的很奇怪,但是,你必须给他们最高的创意分数。基本上发生的事情是,它就像一个指向 GitHub 页面的网络钓鱼链接,或者看起来像 GitHub 页面的东西。但是当你访问该页面时,它会弹出一个 reCAPTCHA 提示,并且
但是 reCAPTCHA 提示是用 javascript 编写的,它说它说
像这些不同的组合。你必须执行 Command-C。是的,Command-C、Command-R,然后是 Control-V、Enter。它弹出一个窗口,说,“谢谢,你已经完成了 reCAPTCHA 并让你进入。”但是它所做的是,当你访问该网站时,它将 PowerShell 注入到你的剪贴板中。所以当你然后 Control-C 时,你将其从剪贴板中提取出来。是的,Control-R,运行它。没错,然后你本地运行它。我的意思是,有人可能中招了,他们从未告诉过任何人。
任何人,因为这是如此不幸的事情,但……我只是觉得,就创意而言,我就像,不能不为尝试而脱帽致敬,你知道,是的,但这就像,那是好事,就像 javascript 本身写入剪贴板一样,所以 javascript 也许可以从剪贴板中读取,所以如果你在剪贴板上挂着密码,网站也可以读取它们,我认为
是的,我实际上不知道。我知道浏览器中内置了巧妙的模型。我需要研究一下。我希望有一些保护措施可以阻止它们向另一个方向拉回。我认为它可能是只读的,并且在一个方向上推送,但我可能错了。是的,我也是。我不知道。我正在阅读 2023 年的一项研究。在我的笔记中这里有它,因为我想在节目中讨论它,但这是一项 2023 年的研究。
它将 CAPTCHA 描述为伪装成安全服务的营利性跟踪 Cookie 农场。它说,目前机器人的成功率高于人类的成功率,这意味着它们无效。我认为是 8.19 亿小时的人工时间浪费在点击交通信号灯上,它为谷歌创造了 1 万亿美元的收入。我觉得反弹正在增长。哇。
上次我们交谈时,你谈到了所谓的跨 IDP 模拟。首先定义什么是 IDP,然后模拟是什么意思?是的,跨 IDP 模拟是我们最近进行的一项非常有趣的研究。实际上,我们的研发副总裁 Luke Jennings 做了这项研究。这非常有趣,因为它显示了身份攻击面的复杂性
这不仅仅是身份蔓延以及你登录到它们那么简单。所以 IDP 是身份提供商的缩写。所以你实际上是在谈论 SSO。例如 Microsoft 365、Okta、Google Workspace,以及任何此类服务。现在,理想情况下,你的 SSO 提供商应该为每个员工提供一个用户帐户
然后当你登录到该 SSO 提供商时,你将拥有 MFA,你将拥有 YubiKeys,你将拥有防网络钓鱼 MFA 以及所有这些东西。所以你拥有一个非常非常强大的身份。当员工登录时,你会看到一个磁贴,你点击其中一个磁贴,它会将你登录到下游 SaaS 应用程序,对吧?这就是一切应该如何设置的方式。所以 Luke 研究了这个问题,并认为,如果你试图攻击拥有非常非常强大的 SSO 帐户的人,你会怎么做?
他确定的是,与其直接攻击 IDP,不如将目标放在其背后的 SaaS 应用程序上。所以他发现的是,你可以完全忽略公司的 IDP,设置你自己的 IDP,并创建一个目标公司的帐户。所以假设你试图攻击 Acme.com。你使用 Acme.com 的 Sarah 的帐户设置一个新的 IDP。
你可以直接登录到 IDP 背后的 SaaS 应用程序,它们会让你登录,对吧?所以基本上,它们不会检查它来自哪个 IDP,这很奇怪,实际上情况就是这样。这里有一些细微之处,也有一些复杂性,我们可以深入探讨。但最顶层的是,你可以,你知道,后面的 SaaS 应用程序实际上不会检查
它来自哪个 IDP,它们会让你进行身份验证。听起来红队队员在你离开红队后永远不会离开你。是的,这是真的。就像,所以就像你在这里创建了自己的漏洞来解决它并在你的解决方案中保护它一样。这有点像它,它听起来像什么。这是真的吗?是的。有趣的是,我们发现这个漏洞的方式不是,
亚当过去以合法的方式入侵公司为生——作为一名红队成员,他见证了攻击面从网络到端点再到新的东西:身份的转变。Snowflake 数据泄露证明了这一点——攻击者不再入侵,而是登录。亚当预见到了这一点,创立了 Push Security 来阻止它,现在他来解释这一切。他们是我们的新赞助商,所以如果这不是你的菜,别担心——我们下次再见。但他的故事?引人入胜。Hacked 由 Push Security 提供——帮助公司在身份攻击发生之前阻止它们。网络钓鱼、凭据填充、会话劫持——Push 正在其开始的地方解决问题:浏览器。智能、无缝且专为人们的实际工作方式而构建。请访问 pushsecurity.com 查看详情。了解更多关于您的广告选择的信息。访问 podcastchoices.com/adchoices</context> <raw_text>0 从进攻性安全思维来看,我们实际上在我们的数据中看到合法的员工也在这样做。我的意思是,有一家公司使用 Microsoft 365 作为其主要的 IDP 登录到下游 SaaS 应用程序,他们回到我们这里说,嘿,有很多 Google 登录到这些不同的 SaaS 应用程序,我不明白为什么,因为我们不使用 Google。所以我们开始调查这些信息,我们说,哇,你知道,员工们,他们正在做的是
进入 SaaS 应用程序,他们会看到一个“使用 Google 登录”按钮
所以他们只是点击它,然后创建一个个人 Google 帐户,但在公司域名下,例如 acme.com,然后登录,因为它更容易。然后这就是他们使用的流程。所以有数百人直接登录到这些下游 SaaS 应用程序,只是使用 Google 登录,而他们应该通过 Microsoft 365 登录。所以你现在有了两种登录到同一个 SaaS 应用程序的方法,但显然第二种方法没有 MFA,就是这样。所以……
我们看到了这些数据,我们想,“这太疯狂了。实际上,我们可能会将它用于恶意目的。如果我去创建一个 Google 帐户并登录到 SaaS 应用程序呢?哦,看,它有效。”这就是整个事情的由来。
这纯粹是这些登录的问题。这纯粹与 SaaS 公司有关。是的,完全正确。这与 IDP 无关。这是有道理的,对吧?如果你要注册一个 SaaS 应用程序,他们会提供多种登录方法。所以你可以选择,你可以说,用 Microsoft 登录,用 Google 登录,用 Apple 登录。你可以选择任何你想要的。
如果你去设置 SSO 来登录这些,那就太好了,但这并不一定能禁用所有其他登录方法和你所能访问的内容。所以现在有一些细微之处。我试图给你一个最高层次的解释,以便你理解它是如何工作的。细微之处在于,例如……
我要入侵这家 Acme.com 公司。我去 Microsoft 365。我尝试入侵,然后我想,哇,这是一个非常安全的 IDP。然后我离开并创建,我不知道,Apple。Apple 有自己的 SSO 提供商。所以我创建了 Acme.com。现在,是的,完全正确。所以问题是,为了创建一个 Acme.com 帐户,
你需要验证该帐户。所以它会向受害者发送一封验证电子邮件,他们需要点击链接。所以你必须克服这个障碍。但问题是,让某人这样做比进行传统的网络钓鱼攻击容易得多,对吧?他在博客文章中给出的例子是,
你给某人发送一封电子邮件,说,你知道,嘿,你知道,嘿,约翰,无论是什么。我是 IT 团队的。我们正在试用公司 iPhone。你想成为测试人员吗?哦,是的,我很乐意。谢谢。太好了。太好了。我会给你发送一个验证链接来进行验证。它来了。他们点击了链接。是的,因为他们没有输入凭据,也没有被要求提供任何信息。他们只是点击链接。
这对人们来说不是一个很大的要求。你只需要做一次。所以一旦我得到了它,我就可以登录到所有下游的 SaaS 应用程序,并真正访问它。所以这只是一个有趣的……它显示了……的复杂性……
现在解决这个问题的方法取决于 SaaS 供应商。一流的 SaaS 供应商,当你登录到设置时,你可以实际选择它允许哪些登录方法,你可以禁用除公司想要的一种之外的所有方法。但不幸的是,这属于少数情况,更多的人应该这样做以防止这种情况发生。
所以人们今天可以采取的行动来解决这个问题实际上是预先注册帐户。去创建一个 Apple 和一个 Google 帐户。然后锁定它们。创建它们。是的,实际上是认领它们。然后人们会说,嘿,主域名下已经存在一些东西了。我们已经看到人们编写电子邮件检测规则,如果他们从不是已知公司 IDP 收到验证电子邮件,你也可以这样做。
是的,这就是你必须处理这个问题的方式,因为它只是 SaaS 应用程序工作方式中的一个根本性问题,你不会让数百个 SaaS 应用程序都加入进来解决这个问题。所以这就是你如何自己动手解决这个问题。你们之所以创建 Push,是因为你们看到了攻击面的变化。你们现在看到有什么变化吗?你们是否正在进行任何可以谈论的调整,或者你们是否正在关注你们认为行业将要走向的其他领域,或者这是否是一些你们现在作为一家
可能会被收购或上市的公司正在密切关注的事情?是的,我很乐意谈论它。我认为目前……
人类身份问题是一个很大的问题,网络钓鱼仍然是一个巨大的问题。现在随着网络钓鱼和其他一切的演变,它正变得越来越大的问题。所以现在有足够多的事情让我们忙于构建越来越好、越来越好的版本和越来越好的控制措施来解决其中的一些问题。
我们真的非常专注于此,因为我们正在满足市场当前的需求,以及他们今天看到的痛点。但你总是要关注事情将走向何方。所以很明显,我们谈论了很多关于这些计算机使用代理技术的事情,你知道,比如 OpenAI Operator。如果它们开始扩展,会发生什么?我们已经在关注这个领域,比如直接在浏览器中阻止网络钓鱼,并密切关注它,因为我们可能会看到这些事情扩展。
但最终,即使我们正在构建到浏览器中,我们也不会围绕浏览器运行。我们不是浏览器安全平台。我们是一个身份安全平台。所以实际上,我们将走向身份所走向的任何地方。我们现在将从浏览器中提取它,因为它是一个非常有价值的遥测来源。
但是,你知道,这并不是限制我们的因素。我们将从移动设备、端点以及 AWS 和其他地方获取身份。所以我认为这主要将是关于更深入地解决当前问题,比其他任何人使用我们的红队经验做得更好,然后在越来越多的平台上扩展,以便我们获得更广泛的遥测数据,并且我们可以解决问题,你知道,在一个更大的规模上。这是……
我很有可能把这段剪掉,但我很好奇,因为你提到了 Operator。我觉得每次我听到人们在安全领域谈论代理和操作员时,都是在进攻方面。这有点像幻想,比如,“去获取他们的凭据,钓鱼这个人,等等等等”。
我一直想知道的是,在受害者方面,它可能是一个漏洞,我告诉某个代理程序,“去回复我的工作电子邮件,去做这个,去做那个”。它只是无意中,“哦,我需要验证这个 Apple 凭据登录”。就像,
这些操作员和这些平台本身能否成为漏洞?好吧,我,所以我没有做过,我需要说明我们没有对此进行任何研究。这只是我想到的,但我一直在思考,当你想用攻击做的事情是,是诱骗员工执行某些操作时会发生什么,比如将他们的凭据输入到网络钓鱼网站中,
如果一个代理有效地代表这个人行事,那么你是否可以诱骗一个代理将员工的凭据输入到网络钓鱼网站中?如果你对我说,这感觉就像它实际上是如何工作的。取决于。是像,
你知道跨站点脚本吗?它就像你可以将内容注入到现有网站中一样。你可以这样做来进行提示注入并让它……我不知道。这不是我研究过的领域。我认为在这个阶段,它仍然是一项非常早期的技术,很难知道它会走向何方。但我确实认为,每当发生技术转变时,它都会改变可能的攻击类型。所以这是一定要关注的事情。
是的,已经有大量的研究致力于社会工程和改变,你知道,利用人类行为。你知道,转变为本质上控制和,我不知道,操纵机器人来按照我们的吩咐行事。是的,完全正确。我认为,我的意思是,这对防御角度也有好处,对吧?因为……
你可以拥有经过安全训练的代理,它会查看并说,嘿,这看起来可疑。我们目前也在研究这类事情。所以实际上是查看页面并理解视觉处理,例如这个页面是否试图看起来像一个 Microsoft 登录页面,然后获取其他上下文,例如页面本身中正在发生的事情以及用户如何与之交互,并将这些信息传递过去。所以我认为人工智能是
它在进攻方面得到了扩展,但它也在防御方面并行扩展,希望防御方面获胜,它扩展得更多,希望防御方面获胜,是的,把它写在墙上,穿上这件T恤,是的,穿上这件T恤,让这件商品流行起来,感谢你抽出时间与我们交谈,是的,感谢你来到这里,也许,也许我会以这个结尾,让我们从一开始就结束
当你担任红队成员的角色,扮演这些模拟中的高级攻击者时,很久以前。我们有一个名为 Hotline Hacked 的来电节目,人们分享他们引人入胜的技术故事。你能负责任地与我们分享你最疯狂的战争故事来结束吗?好问题。你知道吗?我实际上会分享……
因为我认为这很有趣,而且更贴近生活,所以我实际上会分享我的一位同事的故事。所以我的同事,我们进攻性安全方面的一部分工作是社会工程。所以这并不是全部技术性的。它也与闯入建筑物和试图欺骗人们有关。现在,
我的同事,他得到了,他非常擅长社会工程。他是一个非常讨人喜欢的人,每个人都信任他。有魅力。是的,是的。你看到了程序叛徒,就像他会直接获胜,因为每个人都立即信任他。他做了多次这样的任务,这是一个普通的办公大楼。但有一次,他遇到了一家戒备森严的设施,有大门和警卫。就像,好吧,这是迄今为止最大的挑战。所以他离开了,
他建立了自己的网站,自己的名片。他拿着一个剪贴板出现,和警卫说话,然后他们打电话给接待处。嘿,这里有一位卫生检查员。你们在等他吗?就像,好吧,他们当然没有在等我。我是一个卫生检查员。他们说,好吧,让他进来,让他进来。所以他被送了进去,他进入安保部门。他们再次打电话给厨师,嘿,我们有安保人员。你可以想象他们很快就把所有的锅碗瓢盆都收拾起来,然后他就进去了。
所以无论如何,他走进房间,他不知道如何进行卫生检查,他不知道该怎么做,所以他像晃动架子一样四处走动,检查东西等等,然后他四处走动,是的,他做了整个卫生检查,他在大楼里,厨师对他说,好吧,那么,我怎么样?我是否通过了这个检查?对不起,伙计,我的意思是,我必须回到办公室,这需要我大约一周的时间来处理,我可以让你知道,他说
好吧,我的意思是,如果你让我使用电脑,我可能现在就能完成,如果你愿意的话,哦,是的,是的,当然,所以他让他登录,你想吃晚饭吗?就像,哦,太好了,所以他坐在电脑前入侵网络,吃着提供的食物,是的,完全控制了网络,然后写了回来,这一切都是善意的,每当我们进行这些任务时,我们都会非常清楚地向团队说明,
你知道,人们会被欺骗,这不是他们的错。就像,你知道,我们在这方面是专业的,我们已经做了很多次了。你总是会遇到一些人。我们确保这些人不会成为受害者,但这是一种很好的学习经验,因为通过体验它,它只是,
它只是提高了他们的意识水平。但这确实是一次非常有趣的任务,当他回到办公室,匿名化并谈论它时,它成为了一个非常非常好的故事。所以是的,我认为这是一个很好的故事可以分享。这是一个好故事。这是一个好故事。我喜欢他们给他喂食。这是锦上添花。是的,免费的食物。是的,完全正确。你就像,我不可能进入这个网络和意大利面。
是的,在合同中获得团队提供的食物的奖励积分是多少?就像我们不仅实现了所有任务目标,而且还给我们提供了食物。有人给了我一辆车。是的,完全正确。我实际上从未读过最后的报告,但我不知道你是否得到了食物的照片。顺便说一句,感谢这顿饭。是的,完全正确。这很好。亚当,感谢你与我们坐下来交谈。这很有趣。是的,感谢你来到这里。
是的,感谢你们的邀请。这很有趣。你是一位初创公司创始人。找到产品市场契合点可能是你的首要任务。但为了吸引更大的客户,你还需要安全合规性。
获得你的 SOC 2 或 ISO 27001 认证可以打开这些大门,但它们需要时间和精力,让你无法专注于构建和交付产品。这就是 Vanta 的用武之地。Vanta 是一款一体化合规性解决方案,帮助初创公司准备好接受审计,并快速轻松地建立强大的安全基础。
Vanta 自动化了那些减缓你速度的手动安全任务,帮助你简化审计流程。该平台将你与值得信赖的专家联系起来,以构建你的程序,审计员帮助你快速完成审计,以及用于渗透测试等必需品的市场。因此,无论你是正在完成第一笔交易还是正在为增长做准备,Vanta 都能使合规性变得轻松。加入超过 8000 家公司,包括信任 Vanta 的 Y Combinator 和 Techstar 初创公司。
在有限的时间内,在 Vanta.com/simplify 获取 Vanta 1000 美元的折扣。这是 V-A-N-T-A.com/simplify,可享受 1000 美元的折扣。
你不是傻瓜,但你有点像傻瓜。你过去在学校里表现出色,在球场上智胜对手,而现在,好吧,你仍然很聪明,但并没有真正挑战自己。你可以在世界上最强大的海军中推进核工程。你天生就适合这个,所以做出明智的选择。你可以聪明,或者你可以成为核聪明。成为海军.com/nuke smart 的核工程师。美国海军,由大海锻造。