2014年大量攻击将信息安全进入媒体的最前沿以及许多企业的思想。

像索尼,目标和家庭仓库等主要公司的黑客最近导致奥巴马总统签署了一份行政命,致电公共和私营部门之间的合作,希望分享威胁数据和缓解策略。

遵循该趋势,安全公司SynAck,这一趋势还将公司连接有分析威胁数据的高端BUG赏金计划,本周占据了2500万美元的资金。该公司采取了不同的方法,聘请了一支由BUG支付的高度训练的安全承包商团队。

我们坐下来与创始人Jay Kaplan谈论他的公司,安全空间,以及让企业开始优先考虑安全基础架构的公司。

VidtureBeat:您的安全方法与大多数错误赏金程序不同,也与大多数安全分析师驱动模型不同。

Jay Kaplan:首先,安全是公司需要采取分层方法的东西。我们真的击中了一层整体全面的安全模型,这是漏洞发现。在公司遭到违反或损害之前,我们如何找到这些漏洞?

我们在这个空间看起来很难,如果你看现有的模型,你会看到两个主要型号。一个是咨询空间。让我们带来顾问,我们会按时支付时间和材料,然后他们已经走了。然后公司说,好吧,让我们在那里解决问题,然后我们很好。首先,在咨询空间中有可疑的人才。顾问也没有很多动力做好工作,因为他们只是想进入下一个项目。此外,每年做一次审计,并反对公司存在的方式。

您看到的第二种型号是那里的自动化工具。有各种工具试图预测会通过什么威胁。问题是自动化无法复制人类活动。公司开发了应用程序和使用的方式,机器无法理解它。这就是Bug Bounty空间进入的地方。

我们有点桥梁,以最好的人类元素和最好的技术元素。这不是一个赏金的错误,因为没有预先获得奖励程序的预选者。现实的现实,你从那些并不真正知道他们在做什么的人那里得到了很多噪音。让人们做出可能降低表现的事情或导致损坏的东西,让自己面临风险。所以你没有信任。

我们从信任角度辩练我们的人民。我们通过严格的考试,我们采访他们以了解他们来自的地方。我们有[非披露协议]。在信任方面,我们在文件上举行ID,我们做背景检查。我们还拒绝申请我们计划的90%的人。我们与非常大的企业互动;他们需要知道他们可以信任我们。

真正酷的是,我们可以连续地提供[我们的服务],这非常前所未有。

vb:即使有了您的所有各种测试和背景检查,也与安全空间的承包商合作有点争议,因为公司不希望将他们的基础设施促使到陌生人附近。您认为这会抑制您公司的增长吗?

JK:当您讨论安全空间时,公司非常保护,我们今天在谈论[总统]奥巴马的新分享举措时,我们认为这是人们不相信公司将分享这些信息。我想什么时候开始谈论承包商,公司思考,“我怎样才能确定我可以相信这些辛勤物品吗?”

将条款放在适当的是重要的,但确实需要成为心理转变。我认为当[公司]看到我们每天都受到攻击,我们确实需要利用全球专家团队,无论它们被视为承包商,我们都会开始看到心理转变。

你不相信这些承包商?好吧,你不相信攻击您的业务的人。

vb:贵公司仅登陆了2500万美元的投资资金。为什么安全如此热门?

JK:与我们的客户群有高效。我们希望雪球早期成功。扩大这一早期成功。一直从操作到强大的客户管道。品牌意识到寻求保护自己的公司。招聘努力,确保我们得到最好的忏悔。和工程,我们正在建立一些很酷的技术。我们是40人,我们今年期望加倍。我们有很多招聘要做。

我们招聘的人不是重点100%的安全性。我们确实有一个r / d可以有效地做白帽黑客。在其他企业工作的安全工程师或运营人员。我们现在正在得到的曝光将有助于那些招聘努力。

我们很幸运,我们在32个不同的国家,所以我们到处都是。因此,继续扩大那个泳池比让人们在房子里更容易。

vb:信息安全是一个相对较新的领域,所以我想象人才资源很小。您如何认为这影响了安全空间,特别是因为它与恶意原因讨厌黑色帽子或人民攻击?

JK:我认为这是不断变化的。我想越来越多的人正在接触到过去和其他教育机会的其他环境。

无论是通过课程,SAN都是一个很棒的例子。他们不仅有认证,而且还有人们在人们正在执行活泼的黑客攻击。然后当你看一下会议时,你看看黑帽子,def con,appsec。这些都在展示这些人是如何违反技术的过程中。我认为这是将人们曝光到更多的技巧和那里的可能性。

还有深入的研究。现在有很多在线资源。无论是可以安排[白帽黑客]的准公司网络,以测试他们的工具和技术。我认为公司内部有更多的机会在内部进行这项工作。例如,您可以看到雇用红色团队的公司。

五到十年前,这不是一个公司投入了很多的领域。你可以争辩说黑色帽子已经长一点。但我认为你可以做出争论,有很多聪明的人,他们比黑帽更了解应用程序。

vb:2015年及以后会面临的大安全问题是什么?

JK:事情的互联网是一个很棒的例子。为方便起见,这是一种很好的技术,但现实是安全性永远不会成为初始设计的一部分。由于事情开始互联,我认为公司没有意识到我们需要看看这些事情的安全。这将是今年的一个大领域。

我们拉开了15种不同的相机和智能警报,显示这些设备本身是如何通过设计相对不安的。在这被认为是完全不道德的或者公司可能起诉你的东西。现在有适当的披露[公司]将其视为一件好事,并说“让我们参加他们正在做的研究,并使自己更安全。”

你将继续看到很多专注于应用程序安全。随着现在通过网络或移动接口提供的一切,我认为公司将继续投资,以便将受到保护的。

我认为一直是新技术试图解决高级持久威胁,无论是恶意软件保护还是修复或试图防止网络钓鱼攻击。这真的很难防止这些适应性威胁,这将是非常重要的,这些公司保留自己的内部环境安全。