


現実の認識
The Segmentのこの目を見張るようなエピソードでは、かつて「オリジナル・インターネット・ゴッドファーザー」として知られ、かつて米国モスト・ウォンテッドのサイバー犯罪者でもあったブレット・ジョンソンを歓迎します。改革派の専門家となったブレットは、法執行機関や組織がデジタル脅威から一歩先を行けるよう支援しています。
トランスクリプト
ラグー・ナンダクマラ00:12
セグメントのリスナーの皆さん、親愛なるポッドキャスト「セグメント:ゼロトラストのリーダーシップポッドキャスト」の別のエピソードへようこそ。今日、伝説のブレット・ジョンソンが加わることができてとても興奮しています。ブレットが誰なのかわからない場合は、彼をグーグルで検索するだけで、彼の経歴を知るためのいくつかの結果が得られるでしょう。しかし、これだけは言っておきましょう。彼はサイバー犯罪コミュニティの伝説です。今や彼は改革派のサイバー犯罪者であり、法執行機関が犯罪者を捕まえるのを教育し、支援していると言えるでしょう。しかしかつて、彼は「サイバー犯罪のゴッドファーザー」として知られるのが好きでした。それでは、このショーへようこそ。米国最重要指名手配リストに載っているブレット・ジョンソン、ウェルカム・トゥ・ザ・セグメントを初めて特集しました!
ブレット・ジョンソン01:11
どうもありがとうございます。感謝しています。私が伝説的かどうかはわかりませんが、もっと悪名高いと思います。
ラグー・ナンダクマラ01:17
まあ、ある人の悪評は別の人の伝説なので、どちらかというと両方だと思います。ブレット、お会いできて嬉しいです。お話しできてとても嬉しいです。あなたのバックストーリーはとても面白いですが、あなたはそれをたくさんのポッドキャストやTEDTalksなどで取り上げてきました。しかし、私が最初に取り上げるテーマは1つあります。これを繰り返しますが、ここに書き留めておきますが、あなたは現実そのものよりも現実の認識の方が重要だとおっしゃっています。そこから始めましょう。説明してください。
ブレット・ジョンソン01:47
確かに、真実が何であるかは関係ありません。君に何を納得させるかが重要だいいな?そして、興味深いのは、今まで以上に、これまで以上に、それがわかったことです。それは本当に重要ですか?DOGEチームが何をしているかは本当に重要なのか、それとも彼らが何をやっているとあなたに納得させているのかは重要で、それが要点なのか?さて、私が犯罪者だったとき、それが実際に意味したのは、ねえ、私が実際にその銀行口座を所有しているかどうかは関係ないということでした。本当に重要なのは、私があなたであり、私が口座を所有していることをあなたの銀行のカスタマーサービスに納得させることができれば、それが本当に重要なことです。真実は全く関係ありません。それが私が昔話していたことです。しかし、最近では状況は変わりました。考えてみると、オンライン攻撃について考えると、その原因となる動機は、ステータス、現金、イデオロギーの3つだけです。ステータスだ犯罪者の仲間を感心させようとしてるんだ現金だよ。お金を稼ごうとしてるんだ。それとも私を怒らせて捕まえようとしてるのそれらの動機について考え、その声明について考えてみると、「現実そのものよりも現実の認識の方が重要です。」それは重要です。なぜなら、今は現金だけが問題ではないからです。今はさまざまなイデオロギーについてです。それは政治的アジェンダに関するものです。それは、何かが正しいか間違っているかを、それが正しいか間違っているかを大衆に納得させることです。シャドークルーの時代に私が言い始めたときから今日まで、その声明は今まで以上に重要だと思います。
ラグー・ナンダクマラ03:28
うん、絶対正しい。そして、あなたはインターネットの特に武器化に頭を悩ませていると思いますよね。そして、あらゆる種類のメディアプラットフォーム、特にその分野でのAIの武器化ですよね?デジタル世界の不確実性に加えて、現実よりも信じられる認識を作り出すことができるようにすること。それが私の認識ですが、あなたの考えはどうですか?
ブレット・ジョンソン03:56
AIを取り上げてくれてうれしいです。つまり、実際に実装されてから、過去数年にわたって、AIに対する認識は、犯罪者がAIを一斉に使用しているというものでした。そして、実際にはそれは真実ではありませんでした。犯罪者側では多くの議論がありましたが、実際のユースケースに関しては、それほど多くはありません。しかし、そうは言っても、先ほどお話しした興味深い点は、オンライン攻撃の動機です。ステータス、キャッシュイデオロギーです。ビジネス、Eメールの侵害について考えてみてください。これは現金ベースの攻撃です。それは私が利益を得たいと思っていることです。システム上の既存の受取人の代わりに私に支払いを送るようその会社を説得しようとしているのは私です。そのための方法の 1 つ、最も一般的で成功している方法は、Unicode ドメインを使用して、新しいメールアドレスが実際のメールアドレスであることを確信させることです。ただし、本当に効果的なことの1つは、ディープフェイクがオーディオであろうとビデオであろうと、ディープフェイクを使用することです。さて、これはとても成功しています。考えてみれば、ちょっとバタバタしてすみません。私があなたをだますためには、会社であろうと個人であろうと、その潜在的な被害者にたどり着かなければなりません。被害者になりそうな人に私を信頼してもらわないとオンライン環境における信頼の仕組みまあ、それはツール、テクノロジー、そして最後にソーシャルエンジニアリングを通して機能します。つまり、テクノロジー、私たちは本質的にそれらの携帯電話、ラップトップ、デスクトップ、アクセスするWebサイト、使用するソフトウェア、使用するハードウェアを信頼しています。攻撃者がさまざまなツールを使用してそのテクノロジーを操作し、発信元の電話番号が見えないようにしていることは、私たちにはよくわかりません。クライアントの電話番号が表示されます。金融機関の電話番号が表示されます。彼らはなりすまし電話を使います。彼らはSOCKS5プロキシを使っているので、私のようにガーナやナイジェリア、アラバマから来ているかどうかはわかりません。ヨーロッパ、ニューヨーク、ブラジルから来ているのがわかります。そのため、彼らはそれらのツールを使用してテクノロジーを操作し、それが信頼の扉を開く傾向があります。扉が開くと、詐欺師がどれほど嘘つきが上手か、テクノロジー業界であれば、攻撃者があなたを操作して情報、アクセス、データ、または現金を渡すのにどれほど優れたソーシャルエンジニアであるかがわかります。そして、ここでディープフェイクの出番です。そのため、私たちは本質的にそのテクノロジーを信頼しています。私たちは本質的に、Zoomの電話がそこにいるはずの人物だと信じています。そして、私たちの目は私たちをだまして、そう、それが会社のCEOだと思わせています。それが信頼を築き、その信頼を重ねていくのです。そして、その給与担当者は、AIが実際に存在している今この中で役割を果たし始めている人にその支払いを送るよう説得されます。そして、AIは犯罪者によってある程度使用されており、信頼などを重ねています。それが本当に効果的になっているのは、ディープフェイクの作成プロセスです。ディープフェイクは歴史的に存在してきたため、リアルタイムではありませんでした。それは録音されてから被害者に向けられたものです。しかし、ディープフェイクが進歩し進化し続けるにつれて、ディープフェイクがリアルタイムになるところまで来ています。つまり、現金ベースの攻撃の場合、会社のCEOが、遅延なくリアルタイムで給与計算に関する会話をしていることになります。「この新しい銀行口座にこの支払いを送ってください。彼らは住所を変えて、今それを実行しています。」まあ、それは非常に効果的で、魔法のように機能するでしょう。しかし、それはディープフェイクの動機の1つに過ぎません。しかし、ご存知のように、米国を見たディープフェイクについて考えてみてください。明らかに、法執行機関は非武装の黒人男性を射殺するのが好きなので、COVIDの最中に米国が爆発するのを見ました。それで、国は爆発しました。暴動が起こった。略奪がありました。将来、法執行機関が非武装の個人を射殺するビデオを見たらどうなるでしょうか?街が爆発して 2、3日後に判明したんだ、おい、あれはディープフェイクだったことが分かった。加害者は銃を持っていたことが判明しました。加害者は法執行機関に発砲していましたが、人工知能がその動画を削除して編集し、法執行機関がこの人物を乱暴に殺害しているように見えた新しい動画を作成することができました。被害はその時点ですでに発生しています。つまり、ディープフェイスとAIに関する限り、これがこれから見ていくものです。本当にそうなるでしょう。これが私の心配です。現在、ディープフェイクの作成とディープフェイクの検出が行われています。猫とネズミのようなものです。つまり、攻撃者はディープフェイクを出します。セキュリティ会社がそれを認識できる場合とそうでない場合があります。そうでない場合は、アルゴリズムを微調整して、ディープフェイクの攻撃者を特定し、出て行ったり来たりして、アルゴリズムを何度も微調整します。AIが、ダメージの終了時間を検知できないほど優れたディープフェイクを思いつくことができる段階まで来ていると私は本当に思います。そういうわけで、私たちは社会として、本当に何も信頼したり信じたりすることができなくなる可能性が非常に高いと本当に思います。現実の認識は、現実そのものよりも重要です。もう関係ありません。誰かを説得できることは重要です。
ラグー・ナンダクマラ09:42
つまり、あなたが説明したような将来の状態へのそのような進展は、非常に懸念されます。なぜなら、信頼は、私たちが行うすべてのことにおいて、ある程度は基本的だと思うからです。うん。それが現実の世界であろうとデジタルの世界であろうと、そうですよね?私たちが頼りにしている暗黙の信頼がある程度ある程度あります。では、その依存性、つまりそれに依存する能力が減少するにつれて、どうやってそれに対処するのでしょう?では、現実とフィクションを区別できない世界で、どうすれば自信を持って機能し続けることができるのでしょうか。
ブレット・ジョンソン10:29
私にとって、それは本当の人間関係に帰着します。ビジネスメールの不正利用を阻止するにはどうすればよいでしょうか?そうですね、オンラインだけでなく、そのCEOと個人的な関係を築くことでそれを打ち負かしますが、「ねえ、話してもいい?電話を取って、折り返し電話してもいいですか?」それもらってもいい?あなたと私の間以外では議論されていない、この昔ながらの秘密のフレーズはありますか?あれはあるか?つまり、こうなると、昔ながらのセキュリティ方法に戻ることになります。しかし、それだけではありません。ソーシャルメディアは私たちを小さな反響室に入れるのが好きだということを認識しておく必要があります。私たちが客観的になるのは嫌いです。私たちが主観的であるのが好きです。私たちがお互いに議論するのが好きです。ですから、客観的であること、オープンマインドであること、受け入れ、理解すること、間違っていることを認めるように努力しなければならないという考えになります。Twitterを使っているなら、これは非常に難しいことです。なぜなら、いったんあなたが間違っていることを認めると、サメがやって来てあなたを生きたまま食べてしまうからです。しかし、それは現実の世界ではないことを理解する必要があります。ご存知のように、私たちは今日の社会に住んでいます。過去数世代にわたって、私たちは、ねえ、ナンバーワンのAに気をつけるように訓練されてきました。それはあなたです。ほら、あなたは自分の面倒を見なければなりません。他の誰も行かないからですが、それは適切で機能する社会の仕組みではありません。社会はまさにそれです。社会です。それは個人ではなく、みんながお互いに気を配っているのです。なぜなら、私たちがお互いに気を配れば、誰もが一日の終わりにはより良くなり、一日の終わりにはより成功し、一日の終わりにはより収益性が高まるからです。それが問題で、私たちが自分自身に気を配っていると、最終的に物事は落ちてしまいます。私が犯罪者だった頃は今でも自分を犯罪者と呼んでいますが、積極的に法律を破っていたとき、私が犯罪生活を送った理由の1つで、これについてよく考えてきました。私が犯罪生活を送った理由の一つは、自分の運命をコントロールできるようになりたかったからです。他の誰にも頼りたくなかった。言っておくが、犯罪を犯して成功したら、その幻想はお守りのように働く。絶対に、それは100%事実です。しかし、すべてが落ちてしまい、すべてが落ちて、地面にぶつかると、現実の生活は、他のみんなと一緒に働き、他の人に頼ることにかかっていることに気づきます。ほら、多くの男性は、他の人に何かを頼むのは好きではありません。私たちは他の人に頼りたくありません。しかし、真実は、私ができたとき、人生を好転させる機会を与えられたとき、そして私はその機会を利用したときです。それができた方法は、ええ、私の選択でした。しかし同時に、私にコミュニティ、サイバーセキュリティコミュニティ、FBI、友人、家族、同僚がいなかったとしても、彼らが私のサポートをしてくれず、私がでたらめがあったときに声をかけてくれなかったとしても、それでもまだでたらめがあります。彼らがそうしなかったら、私は今の自分にはなれなかっただろう。私は20年間刑務所に戻るでしょう。私はそれを完全に確信していますし、社会として私たちが理解しなければならないことです。重要なのは一人ではなく、グループであり、互いに助け合っているということです。なぜなら、それが私たちがすべきことだからです。
ラグー・ナンダクマラ14:12
シャドークルーを設立したり運営したりした際に、その社会概念について話してください。シャドークルーが集団としてどのように運営され、人々が互いに助け合っていたか、つまり、はい、もちろんサイバー犯罪を支援するためでしたが、そのコミュニティ内にはそのような暗黙の信頼がたくさんありましたか?
ブレット・ジョンソン14:42
それで、私はドバイにいて、2、3か月後にドバイに戻る予定ですが、ドバイでのGITEXカンファレンスのセキュリティ部分の基調講演をしていて、パネルに参加していて、パネルにいる他のみんなの話を聞いていて、そこに座っていました。ほら、彼らはいいことをたくさん言っています。そしてついに私が話す番になり、彼らは私に質問をしましたが、私はその質問を完全に無視して、「ねえ」と言い、聴衆を見て、「ねえ、なぜ悪者が勝っていて、あなたたちは毎日負けているのか知りたいですか?」と思いました。そして答えは、そしてそれが今日でも答えです。私たち悪者は、あなたたちよりも共有とコラボレーションが得意です。先ほどおっしゃったように、私たちはあなた方よりもむしろ社会のようなものです。君たちは規制を心配している。あなたは競争上の優位性を心配していて、あなた自身も心配しています。シャドークルーとは理解できたし、座って計画を立てたわけでもない。私たちはしませんでした。私たちがやったことは、現代のサイバー犯罪の起源は実際には3つのウェブサイトだということでした。偽造図書館、シャドークルー、カータープラネットです。私は偽造品を運営していて、私のウクライナ人の仲間であるドミトリ・ゴロフがシャドークルーを運営していました。彼はカーター・プラネットを立ち上げました。誰かが座って物事を計画していたんじゃないこういったものが大きくなるにつれて問題が生じ、私たちはその問題を解決しました。そして、これがこのようなことが起こる方法です。CounsefeitとShadow Crewについてすぐにわかったことの1つは、情報の共有と交換が重要だということです。仲間の犯罪者に気を配ることは重要です。私たちがそれを理解した理由は、ねえ、私たちは犯罪を犯しているということもすぐに理解したからです。お互いに気を配らなければ、たくさんの警備員がいて、さらに重要なことに、私たちを逮捕して永遠に刑務所に送ってくれるたくさんの警察官がここにいます。だから、仲間の人間に気を配ることがとても重要になりました。はい、私たちは犯罪者でしたが、お互いに絶対気を配っていました。私たちはお互いに助け合って法律を破った。私たちはお互いを助け、お互いを教育するのを助けました。もしあったら、個人的な問題があったら、たいていはお互いに対処し合います。本物のコミュニティになりました。そして、それは私たちがもうあまり見ていない興味深いことの1つです。ご存知のように、私たちは最近近所に住んでいますが、通常、隣の隣人を知らず、話しかけることもありません。私たちはブラインドを正面に引いて、外が見えないようにし、他の誰にも見えないようにしています。私たちは自分自身を隔離し続け、他の誰かの反対意見を受け入れることすら拒否する、私たち自身の小さな反響室で、より多くの人生をオンラインで生きています。他の誰かが私たちに対して反対意見を持っていると、その人は突然私たちの敵になります。そして、それは人として成長する方法ではありません。それはあなたの知識や視野を広げる方法でも、見通しや洞察力を何かに広げる方法でもありません。しかし、確かに今日でも、電報であれ、ダークウェブであれ、表面的なウェブであれ、犯罪コミュニティを見れば、それらの犯罪コミュニティを見ると、コラボレーション、支援、お互いに気を配ることの核心が見えてきます。そして、それが善人の世界よりも犯罪の世界でより活発に行われているのは残念です。
ラグー・ナンダクマラ18:15
それは魅力的だ。心配なのは、皆さんが次に触れるのは、歴史的に私たちが社会や生産的な社会にとって重要だと感じていたこれらの価値観の一部が、いわゆる法的、正しい、または非犯罪的な世界では、実際には忘れているということだと思います。しかし、犯罪の世界では、これらの重要な資質のいくつかは実際には保存されており、実際、成功するためには非常に厳密に実践されています。特に情報の共有と知識の共有に関しては、それ自体に教訓があると思います。それはとても重要だと思います。それが私たちの発展の仕方です。では、あなたがサイバー犯罪に関して繰り返し強調している動機に戻りたいと思いますよね?ステータス、イデオロギー、お金。そして、私たちは皆、お金のことをある程度理解していると思います。私たちはイデオロギーの部分をある程度理解しています。しかし、ステータスについてのあなたの見解を聞きたいのですが、私が言いたいのは、サイバー犯罪者として少しだけ力を発揮したいときですよね?見せて、ちょっと銃を見せて、運動してきたことを見せて。じゃあどうする?
ブレット・ジョンソン19:28
つまり、私が話していることを理解してください。LinkedInやTwitterでいつも見かけますが、警備員や法執行機関の人たちは、Facebookや電報で山積みの現金を振っている子供や、ラップアーティストが犯しているすべての詐欺について話しているビデオを投稿します。そして、彼らは通常、その男は馬鹿だと言うでしょう.答えは、ええ、あいつは馬鹿だけど、あなたはそこで実際に何が起こっているのか本当に理解も理解も理解もしていないということです。これらの犯罪コミュニティは全員の成功を保証することがすべてですが、それらの犯罪コミュニティは大きな犬と小さな犬でもあることを理解する必要があります。まさにそれです。つまり、大きな犬が小さな犬を食べるということは、あなたがより高い地位を持っていれば、そのコミュニティのすべてのメンバーからより尊敬されるということであり、その敬意は結局利益と同じです。ですから、よく考えてみてください。すべての犯罪者が善良なわけではありません。つまり、熟練者という意味です。だから、彼らのうちの私は全く何も知らない。彼らは既製のものをすべて購入しています。最近では、犯罪が何であれ関係ないからです。犯罪を犯すためのあらゆる要素を、既製品として購入できます。チュートリアルは購入できます。ライブインストラクションクラスを受講できます。自分が犯している犯罪のダイナミクスを理解する必要はないし、それでも成功することはできる。では、あなたが犯している犯罪を理解していないのに、たくさんのお金を盗むことができるなら、どうすればそのコミュニティ内のメンバーから尊敬を集めることができるのでしょうか?残された唯一のことは、私が30台のPS5を盗めること、失業保険の請求で週3万ドルを稼ぐことができること、そしてあなたが現金を免除することを示すことです。そして、それは一日の終わりには絶対に重要です。それで、私がそれについて話すとき、そのコミュニティの他の誰もできないことをできるかということです。ランサムウェアを作ることはできますか?ランサムウェアをデプロイできますか?それが本当に重要なことだからです。ソーシャルエンジニアリング攻撃を成功させることはできますか?フィッシングキャンペーンを開始できますか?マンアタックとミドルアタックはできますか?ボットネットを構築して展開できますか?地球上の誰もできないのに、盗んだクレジットカード情報を利用してAmazonやAppleを騙すことはできますか?できれば、そのコミュニティのすべての人から尊敬を集めることができます。その敬意は重要です。それが実際に意味するのは、あなたのところに来てアドバイスを求めるメンバーがいるということです.彼らはあなたとより多くの情報を共有します。「ねえ、これは私の地域で、この特定のタイプの犯罪で機能していることがわかりました。そして、それはこの会社に不利に働いています」。そうすれば、オフラインでも、信号でも、何でも、会話することができます。「さて、これはどう機能しているの?どんなツールを使っていますか?」しかし、最終的には収益性が向上し、知識も増えるということです。ですから、その敬意が高まり始めると、より多くの人がやって来て、より多くの情報を共有するようになります。その後、それを最初に個人的に他の人と共有し、その後さらに公開することができます。これにより、全体的なステータスが向上し、最終的に食物連鎖のトップになり始めます。繰り返しになりますが、それは大きな犬と小さな犬であり、それが重要なのです。ステータスは、善人側では誰も本当に評価したり理解したりしない、絶対に重要なことの1つです。これから考えてみると、サイバー犯罪が今日の国だったら、地球上で3番目に大きな経済大国になるでしょう。それは巨大だ、それは巨大だ。そして、このようなタイプのグループにおける地位の重要性を無視したり理解しなかったりすることは、これらの犯罪の多くが犯されている理由の要点を見逃しています。
ラグー・ナンダクマラ23:24
つまり、それは魅力的だね。皆さんにお聞きしたいのですが、コミュニティで大きな犬、ゴッドファーザーの地位を得るためにあなたがした重要なことは何ですか?
ブレット・ジョンソン23:37
よし、じゃあ、どこから始めて、どこから始めればいいの?ですから、サイバー犯罪は、ご存知の通り、サイバー犯罪が最初に始まったとき、私はまさにその最前線にいたのです。このサイトは偽造ライブラリで、すでに既存のサイトでした。そこには機能していないフォーラムがありました。本当に、誰も使っていませんでした。私はそのフォーラムの最初のメンバーの一人でした。そして、私がそのフォーラムのメンバーだった理由は、私がだまされていたからです。私は何も知りませんでした。つまり、eBay詐欺とPayPal詐欺のやり方を知っていました。彼らで起きている多くのサイバー犯罪のダイナミクスを本当に理解しているとは知りませんでした。偽の身分証明書を探していたら、男が私を騙したの。大きな驚き。腹が立った。それでも偽のIDが必要で、この偽造ライブラリを見つけました。彼らが扱っていたのは偽造学位と証明書の偽造で、その時点で私が見つけたのはサイバー犯罪チャネルに最も近いものでした。それで、私は彼らのフォーラムに参加しました。誰も使っていなかったし、文字通り私がしたことは、毎日愚痴をこぼして、ぼったくりされたことについて不平を言うことだけでした。そして、私がそこにいたのとほぼ同じ時期に。他の二人もそこにいました。一人はMr. Xというスクリーンネームで、彼はロサンゼルス出身でした。もう1人はBeelzebubというスクリーンネームで呼ばれていました。彼はサスカチュワン州のムースジョー出身で、あらゆる場所から来ていました。それで、私たちはこのようなバディグループになりました。そしてある日、私たちはICQを使っていました。お互いにメッセージを送る.そしてある日、ベルゼバブが私をICQに連れてきて、メッセージを送ってくれました。私はゴラムというスクリーンネームで通っていました。彼は「ゴラム!」みたいだった「うん、おい」みたいだった。彼は「偽の運転免許証を作ってあげよう」と言っていました。そして、「じゃあ、おい、やってみろ」みたいだった。そして彼は、「いや、その代金を請求するよ」と言っていました。その頃には、偽造図書館の本当のオーナーが私を好きで、彼を知っていて、とても仲良くしていたので、愚痴をこぼしたり、うめき声を上げたり、文句を言ったりしていました。彼は「私が請求したのに」みたいだ。「うん、クソみたいだな」って思った。彼は「いや、君に請求するよ」みたいだ。彼は、「私が請求したい理由は、このビジネスに携わるつもりなら、ある時点で誰かを信頼できなければならないからです。」「オーケー」って思ってたから彼に言ったんだ「おい、200ドル送るから、ぼったくりをしたら、このサイトからあんたのケツを禁止されるから、もう心配しなくていいよ」って思ったんだ。彼は「ベット」みたいだ。「オーケー」と思って、彼に200ドル送って、写真を送ったんだ。数週間後、スティーブン・シュウェイクという名前の偽の運転免許証を取得しました。本物の男は今日まで働いていて、ADP payrollで働いていて、何を見ているのかわかりませんでした。私にとって、それは地球上で最高の偽運転免許証でした。そうではなかったことが判明しました。まあまあだったけど詐欺には通行可能でいいんだよ私はその運転免許証を使って銀行口座の開設や小切手の引き落としなどいろんなことに使ってる取引の結果、Xさんはとても良い、またはまずまずの社会保障カードを作りました。Beelzebubはまずまずのオハイオ州の運転免許証を作りました。その時点では何も知りませんでした。私はeBayやPayPal詐欺の仕方を知っていました。それで、Beelzebubは運転免許証を売りたかったのです。Xさんは社会保障カードを売りたがっていました。私にはスキルがなかったので、ベルゼバブは私がレビュアーになることを提案しました。そうすれば、彼らは製品を販売してくれるでしょう。私は外部の独立したレビュアーになりたいです。何でも売りたい人は誰でも私にそのコピーを送らなければならないでしょう。私はその使い方を学び、何が良かったのか、何が悪かったのかを学びました。そして、それがこのコミュニティを構築するでしょう。そして、まさにそれが起こったのです。あれは、ほとんど夢のフィールドになってしまった。建てれば奴らがやってくる、犯罪行為に。私はこのレビュアーになりました。すべての製品とサービスが私を通り抜け、ある時点で、まさにそれが起こったのです。すべての商取引はジョンソンを介して行われた。それで、私がこうなったの、私が承認すれば、人々はお金を稼ぐという神になりました。私がそうしなければ、人々は破産してしまいます。つまり、犯罪者が使用する最初の信頼メカニズム、レビュー、人々への保証プロセス、そしてそれがエスクローチャネルの意味を構築したのは私だということです。最初にそれを作ったのは私です。盗まれた銀行口座を売ったり、盗まれなかったりして、オンラインでダンプ銀行口座を作ったのは私が初めてです。確定申告、個人情報の盗難を仕掛け始めました。だから、毎年みんなの確定申告が遅れているのは、今あなたに話しかけているこのSOBです。ほら、ホストがいる。ウクライナ人全員をアメリカに連れてきたのは私です。カーター、惑星、ドミトリ・ゴロフから話したあの仲間。彼は私たちが偽造ライブラリで成功しているのを目の当たりにしました。彼は自分がスパマーになりたがっている。彼はこれらすべてのクレジットカード情報を入手していました。そして彼は、盗まれたクレジットカード情報をみんなが買うのだろうかと思っていました。彼らはそうすることが判明しました。それで、彼は電話を取ります。彼は仲間に電話します。彼らは自分のものと呼びます。彼らはオデッサで物理的な会議を開いています。150人の犯罪者が現れ、現代のクレジットカード盗難の起源であるカータープラネットを立ち上げました。彼らが抱えていた問題は、ヨーロッパの東側で大量の詐欺を行ったため、すべてのカードがシャットダウンされたことです。それで、ディミトリが私のところに来て、「ねえ、キャッシュアウトできるようにする必要がある」と言ってくれました。つまり、ウクライナ語で英語を話すサイバー犯罪者同士の関係を長続きさせたのは私です。まあ、それは数年続きました。まだある程度は残っているが、私が最初に犯した犯罪の数は、なんてこった、それはすごい、たくさんだ。つまり、そのことに多くの時間を費やすことができたのです。シークレットサービスが私をオリジナルのインターネットゴッドファーザーと呼んだのには理由があります。それは良い言葉ではありません。そして、私が米国の最重要指名手配リストに載ったのには理由があります。言っておくが、男の子も女の子も、米国の最重要指名手配リストに載っている人なら誰でも。その時点ではあなたは良い人ではありません。つまり、あなたは、あなた、あなたは危険な男だ。それは、それは、それは、まったく誇りに思うことは何もありません。
ラグー・ナンダクマラ2930
彼らは君にメダルをあげるためにそこにいるんじゃない、それは確かだ。
ブレット・ジョンソン29:33
いや、まあまあ、彼らはあなたを金属にするためにそこにいるんだ。
ラグー・ナンダクマラ29:38
さて、切り替えてみましょう。本質的にサイバー犯罪者について、そしてある程度は攻撃者の考え方について多くの視点を提供してきましたよね?話を戻すと、あなたが言ったことは、そうだね?サイバー犯罪は、その量が増え、価値が高まっているようなものです。例えば、それは何?防御側の立場から考えると、サイバー犯罪の防止が実際には改善されていないと感じるような、防御側が犯している間違いにはどのようなものがありますか?
ブレット・ジョンソン30:13
私の友人、彼は昨日LinkedInに投稿しました。彼が言ったことは、本当に目を見張るようなものです。そして、私はもう2、3年前からこれをほのめかしてきました。サイバー犯罪者が非常に成功している理由の1つは、私たちが行動するとき、何かをするとき、私たちはそれをするということです。なぜなら、それが私たちの食べ方だからです。成功しなかったら、その日は食事をしないことになる。つまり、世に出回っているソーシャルエンジニアリング攻撃では、悪者がソーシャルエンジニアリング攻撃を行う方法と善人が行う方法には違いがあります。いいやつだ、DEFCONやBlack Hatに行けば、そこにソーシャルエンジニアリングファームがあって、みんながみんなのラップトップやその他すべてのでたらめを盗んでいる。ソーシャルエンジニアリングは実際にはそういうふうには機能しません。ソーシャルエンジニアとして、本当に利益を得るためか、攻撃の動機が何であれ、それをやろうとしているのであれば、潜在的な被害者に自分はただそうすることを選択しているだけだと思わせるようなことをできるだけ小さな方法でやろうとしていることになります。そして、彼らに気づいてほしくありません。彼らが見つけたら仕事が盛り上がるからつまり、行動できるのはそのスペースだけです。ですから、相手が気づいていないスペースをできるだけ長くしたいのです。だから、善良な連中が何かをするのと同じように、私も冗談を言っています。DEFCONは、本物の犯罪者が決してしないようなエクスプロイトや攻撃方法について人々が話せるようにするために存在しているのです。それは冗談だけど、それにもたくさんの真実がある。そして、私はいつもこう思います。人々は犯罪者の考えを理解していると思っていて、私は犯罪者のように考えることができると思っているのです。いいえ、できません。もしできたら、あなたは犯罪者になるだろう。それこそが、人々が本当に見逃していることの一つだと思います。だからといって、私が何をするか予測できないというわけではありません。できますが、心を開いておく必要があります。あなたは客観的でなければならず、すべてを知っているとは思わないでください。また、問題の1つは、これらの企業の多くがセキュリティ予算が非常に大きいことだと思います。本当に多額の予算を組む必要はないと思います。予算が非常に大きいということは、そのすべてのお金で何か関係のあるものを見つけなければならないということだと思います。そして、うまくいくこともあればうまくいかないこともありますが、とにかくたくさんのお金をかけましょう。これらすべてを総合すると、適切なサイバーセキュリティであり、保護は実際には一般公開されていないと思います。それほどロマンチックというわけではなく、やるべきことをやるための要点に過ぎません。セキュリティ企業は8500社以上あります。攻撃者をハッカーやコンピューターの天才として描くマスメディアはたくさんあります。彼らが望むどんなタイプのコンピュータシステムにも侵入することができる。実際はそうではありません。攻撃が発生するのは、すべての攻撃の 90% 以上が既知のエクスプロイトを使用しているためです。ええ、それはコンピューターの天才ではありません。それは私たちが何年も前から言ってきたことですが、私たちは何もしていません。これが世の中の脅威環境の原因となっています。攻撃の 90% 以上がフィッシング攻撃から始まるbreaches の主役です。つまり、人間を危険にさらしているのです。既知の脆弱性を探しています。これらのことを理解することです。攻撃者を理解することです。ほとんどの攻撃は現金ベースで、ほとんどの攻撃は日和見攻撃です。その犯罪投資から最大の利益が得られる最も簡単なアクセスを探しています。それを理解して少しでも警備をすれば大丈夫だしかし、あなたはそれをしなければなりません。10億ドルしか持てないわけにはいきません。これらの銀行の私には10億ドルものセキュリティ予算があります。どの銀行かは説明しませんが、彼らの脅威担当副社長と話していました。彼女に聞いたら、「ねえ、どうしてまだランサムウェアに見舞われてないの?」そして彼女は、「わからない。聞いてみるよ。」それで、約3週間後、彼女が戻ってきて、こう言います。「まあ、上司と会ったよ。彼はついに私に答え、「まあ、私たちには10億ドルのセキュリティ予算があります」と言います。そして、「くそー、それは多すぎる」と思いました。そして彼女は「うん」と言って、「それから彼は立ち止まり、私を見て、彼はこう言いました。私たちはとてもラッキーです。」そして、「なんてこった、運は戦略だ」と思いました。
ブレット・ジョンソン34:38
ご存知のとおり、一方でセキュリティに10億ドルを費やしていると言っていて、次の瞬間に、運が良ければ、おそらく何かがおかしいと言っているとします。
ラグー・ナンダクマラ34:50
それは素晴らしいことです。仮に彼らがその10億ドルを節約し、運だけに頼っていたとしても、結果はおそらくかなり似ていて、おそらく似ているだろうと私は確信しています。
ブレット・ジョンソン35:02
それが面白いです。だから、それは本当に、ただ腰を落ち着かせて、自分がスーパースターだとは思わず、ええ、本当にロマンチックな仕事だとは思わないということのひとつです。それは本当に物事の要点に関するものです。先日、ある男を見かけたんだ。私が話し始めたとき、2つありました。実際に話していたのは本物の犯罪者が二人だけだった。私とフランク・アベニューだ。今ではさらにいくつかあり、彼らの中には自分が何を話しているのか知っている人もいます。だから、彼らのうち私はしません。これ。これは、ある人が詐欺に対する認識とセキュリティ意識向上のためのトレーニングについて投稿したもので、ご存知の通り、「セキュリティ意識向上トレーニングを実施している企業は 63% 減少し、税金を払えば 50% の節約になる」という数字を伝えました。そして、彼は自分が何を話しているのか知りませんでした。なぜなら、セキュリティ意識向上、詐欺啓発トレーニングは、トレーニングが継続している限り有効だからです。それは数週間行うようなものではなく、効果的です。その2週間は効果があり、その後数字はすぐに元の状態に戻ります。つまり、正しい方法で物事を行わなければならないことを理解することです。ただの犬とポニーのショーではありません。私が刑務所にいたとき、私たちはいつも犬とポニーのショーをしていました。それは続けなければならないことであり、同時に物事を正しく行っていることを確認する必要があります。
ラグー・ナンダクマラ36:20
そのすべてが的確だと思いますし、あなたの経歴から考えると、言われ続けていることの多くが補強されていると思いますが、十分に注目されていないように感じますよね?あなたが言ったのは、これはサイバー攻撃者とは違う、サイバー犯罪者は土地を離れて暮らしているようなものだということですよね?すべてのツールキットが既知のエクスプロイト用に存在するため、同じエクスプロイトセットです。では、そこにあるものを転用できるのに、なぜ新しいエクスプロイトに備えて新しいツールキットを作成しなければならないのでしょうか。コストも少なく、労力も少なくて済みます。繰り返しになりますが、そうですね、運が良ければ、その結果が得られ、キャッシュアウトして、次に進むことができます。つまり、あなたが言ったのは、必ずしもセクシーな新しいことをしているわけではなく、サイバーセキュリティの最も基本的な、基本的で基本的なことをうまくこなせるということですよね?基本的に、ディフェンダーにとって最大のチャンスはそこにあります。その教訓は聞かれていますか?
ブレット・ジョンソン37:32
ええと、いくつかの場所があります。所々です。これらのbreaches の多くが公になればなるほど、ますます耳にするようになっていると思います。たとえば、コロニアルパイプラインを例にとってみましょう。コロニアルパイプライン。なぜそんなことが起きたの?その理由は、コロニアルパイプラインが自社のVPNパスワードの1つがダークウェブチャネルで入手可能であることを知っていたからです。彼らはそれを知っていて、それについて何もしませんでした。彼らはパスワードを変更しませんでした。それが起こる理由です。これは、パスワードが solarwinds123 であることがわかっているか、またはそれが原因の 1 つであるために発生します。
ブレット・ジョンソン38:07
つまり、もし、そういうことがもっと世間に向けられるようになって、私たちが理解しているように、コロニアル・パイプラインがインターンにそれを延期しようとしたのに、エクスペリアンがそれを延期しようとしたとしたら。明らかに、情報breaches えいを経験したすべての企業で、同じインターンが採用され続けているのは明らかで、彼らの話を聞くためです。こうした情報の多くが公開され、これらの攻撃がどのようなものであるかが分かるにつれて、通常は高度な攻撃ではなく、単なる日和見攻撃になると思います。そういうことを理解して、私たちがこのような会話を続けているうちに、「ねえ、これはセクシーなものではなく、誰も捕まえられない影の中で活動しているコンピューターの天才たちではない」という認識が生まれると思います。そうではありません。こいつらがスキャンしてる彼らはホワイトペーパーを読んでいます。彼らはアクセスを探すのに熱心に取り組んでいる。彼らは、ある業種に属していて、この攻撃でその業種の企業を危険にさらすことができれば、おそらく同じ攻撃が同じ業種の他の企業でも機能することを理解しています。つまり、これらのことを理解することです。それは理解であり、共有とコラボレーションです。私がインフラストラクチャ、金融など、特定の業種の企業で、自分の会社がこの特定の攻撃に見舞われているとします。私が同じ業種の他の企業と共有したりコラボレーションしたりすれば、攻撃が発生する前に他の企業が自社を保護できるということです。そうしなければ、ここでセキュリティを実装して、他の競合他社を生きたまま食い尽くすような競争力を働かせようとしていることになります。それは下だ、心を開いてるんだ客観的だね。お互いに気を配る必要があることは、私たちが最初に理解していたことです。それは、ただ自分自身に気を配るだけではありません。
ラグー・ナンダクマラ39:56
その程度まで。どんな感じか色々考えてる?規制などは時間とともに進化しており、報告、インシデントの報告、影響の報告などが非常に重要視されています。それがより透明な文化の原動力になっていると思いますか?組織はサイバー攻撃を報告する方が快適だと思いますか?
ブレット・ジョンソン40:19
彼らがもっと快適かどうかはわかりません。問題は、規制を例にとってみると、規制しようとしている業界について理解していない人が規制を課す傾向があるということです。仮想通貨に関する公聴会をいくつか見てみると、上院議員や下院議員のガラスの目が見えたが、彼らは物事を規制するつもりなのか?なんてこった!だから、それが問題の一つです。もう一つの問題は、報道が公表されることに賛成する一方で、他の潜在的な被害者に公開される前に身を守る機会を与えることにも賛成しているということです。なぜEquifaxはヒットしたの?Equifaxがヒットしたのは、Apacheがパッチを発表したためです。Equifaxはそれを入れない。24時間以内に生きたまま食べられてしまう。これらの他社がセキュリティを導入することが公表される前に、時間を与える必要があると思います。なぜなら、更新とは、地球上のすべての犯罪者に、どのドアをノックすべきかを伝えるブロードキャストにすぎないからです。ええ、そこには何らかの規制が必要だと思います。違反した企業は、まずそれをその業種の他の企業と共有できる必要があり、他の企業はすぐにそれに基づいて行動し、適切なセキュリティを実装する必要があります。そして、その時点で、その情報を公開して、違反の発表によって他の企業が被害に遭わないようにすることができます。
ラグー・ナンダクマラ41:51
これは本当に良い点だと思います。というのも、先ほども話したように、ある特定の業種の組織が、特定の脆弱性を悪用する特定のサイバー攻撃の被害者である場合、多くの場合、同じ種類のテクノロジーが同業他社グループの大多数によって使用されているということです。だから、あなたは正しい。つまり、情報共有の場合と同様に、仲間グループ内での共有を優先するようなものであるべきですが、チャタムハウスのルールとほとんど同じですよね?それは同じことですが、十分な時間をかけて独自のデューデリジェンスを行い、少なくとも保護されていることを確認するまで公開しないでください。次回は、私たちのうちの1人がここに来て、それを皆さんと共有します。そして、あなたも同じように恩恵を受けるでしょう。それで、次のことに移る直前でしょ?そのため、現時点では多くの焦点が当てられています。実際、ここ数年、MITREが攻撃フレームワークを体系化して以来、戦術、テクニック、手順などに多くの焦点が当てられています。これについての私の見方は、攻撃者の戦術は実際には変わらないということですよね?同じ一連の戦術が繰り返し実行されるため、攻撃しようとしている組織の成熟度に応じて、技術や手順が変わることがあります。そういう意味で、TTPの理解は重要だと思います。私たちがTTPに過度に重点を置いていると思いますか?あなたが言ったことに戻ると、それらのTTPにアクセスできる理由の根本原因、つまり基本が不足していることへの対処です。あなたの見方は?
ブレット・ジョンソン43:27
何よりもまず、これらの根本原因に絶対に対処する必要があると思います。同時に、AIの話題のように、どの企業も何らかのAIコンポーネントを導入したいと考えており、どの企業も犯罪者がAIを使用していると言いたがっています。あなたは非常に良い主張をするかもしれませんが、私が言うのは、犯罪者や攻撃者は、何かが彼らにそれを強制しない限り、攻撃の仕方を変えることはないということです。ええ、知ってるでしょ、どうして私が?自分がやっていることですでに夢中になって、大成功を収めているのに、なぜAIを使い始めるのでしょうか?しないよ、しないよ。私を変えさせてくれる何かがあるはずです。あなたの質問に答えるには、どうしてもTTPを続けて行く必要があると思います。それは全然悪いことではないと思います。ただし、セキュリティ製品を売ろうとする無関係なおしゃべりがたくさんあることを理解してください。そういうわけで、私はAIを使う必要があるのでしょう。あなたがその議論を始める前に、私は実際にそのためのユースケースを持っています。さっきも言ったように、犯罪者によってある程度利用されてるんですね。ただし、使用よりもチャタリングの方がはるかに多いです。攻撃者に今変化させ、そしてそこからTTPで遊ばせざるを得ない理由を理解してください。ただし、適切なセキュリティの基本はどのような犠牲を払っても変わりません。攻撃の 90% 以上がエクスプロイトに使われていることは、いくら強調してもしすぎることはありません。それは一言で言えばPetyaではありません。それを差し込めば、そうでない場合よりも安全になります。
ラグー・ナンダクマラ45:06
ええ、完全に。それって、何度繰り返しても足りないんだと思う。そして、あなたが指摘した2つの点を実際に組み合わせると、その 90% に対処すると、自動的に攻撃者の行動に変化が加えられると思います。なぜなら、土地を離れて生活しているものは、ここではこれらの言葉を使用していませんが、以前の会話では、税務の大部分にはそれほど高度な技術的進歩はないということですよね?彼らは土地を離れて暮らしている。しかし、私たちが彼らに与えたら、彼らが生活できる土地の量を制限したり最小限に抑えたりすれば、そうですよね?これにより、技術的な高度化が余儀なくされ、それが難しくなるか、検出と対応の方法が増えるかのどちらかになります。
ブレット・ジョンソン45:54
そうだね。それについては特に触れていません。私たちはコンピューターの天才ではありません。よし、私たちの何人かはとても優秀です。私だってそうなんですしかし、ハッカーである必要はありませんし、企業や個人を犠牲にするためにコンピューターの達人である必要もありません。成功するためにはそうする必要はありません。私がしなければならないことは、お互いに共有し、交換し、コラボレーションすることです。それが私が大成功を収めるために必要な唯一のことです。これらの攻撃者は洗練されたコンピューターの天才だということが頭から離れることができれば、その点によって競争の場がほぼ平準化され、オープンマインドになり、「ねえ、こいつらは天才ではない」と言えるほどオープンマインドになることができることを理解してください。そうじゃない、彼らは本当に明るくない。つまり、そのうちのいくつかはそうですが、一部はそうではありません。しかし、いったん心を開くと、「ねえ、これらの問題は解決できる」と言えるようになります。私はできる。それはただの要点です。風景をスキャンして、「ねえ、何年もの間あちこちに言われてきたポートが開いていることが分かった。そういうものを閉める必要がある」と言っているのです。リモートアクセスを許可していることがわかりました。ええ、ええ、そのようなものです。だから、それを直せば大丈夫だ。正直なところ、そうではありません。それほど複雑ではありません。そうではありません。
ラグー・ナンダクマラ47:17
攻撃者のように考えるので、あなたの言い方が本当に気に入っています。しかし、実際には攻撃者は可能な限り単純なことをしようとしていることを覚えています。そこで、取り組む必要のある簡単なことを考えてみてください。そうすれば、はるかに多くの費用対効果が得られます。それはあなたが言っていることだと思います。
ブレット・ジョンソン47:36
ええ、そこから始めましょう。そこから始めましょう。私はそうではありません。ほとんどの攻撃が現金ベースであるかどうかを調べているわけではなく、最も簡単にアクセスできるものを探しています。だからこそ、セキュリティへの階層化されたアプローチを採用しているのです。私がイデオロギー的な理由であなたを攻撃しているのなら、あなたがどれだけのセキュリティを持っていようと、私はあなたが持っているすべてのものを乗り越えようとしていることを理解しています。これは問題です。なぜなら、あなたが持っているすべてのセキュリティコンポーネントが整っているので、十分な努力を払えばバイパスできるからです。しかし、イデオロギー攻撃は別のタイプの攻撃です。ほとんどの攻撃は現金ベースまたはステータスベースです。つまり、セキュリティへの階層化されたアプローチでは、そこに多くのレイヤーを配置しようとしているため、時間をかけたり労力をかけたりする価値がないということです。別の犠牲者を探すつもりだ。うん、それが重要なんだ。
ラグー・ナンダクマラ48:27
ええ、絶対に。そこで、トラックを大きく変更するのではなく、少し変更してみましょう。サイバーセキュリティ戦略をどのように改善すべきかについて、組織からアドバイスを求められたときですよね?元サイバー犯罪者として、知恵の真珠として彼らに通常提供しているのは何ですか?
ブレット・ジョンソン48:47
さて、私たちは今そのことについて話しているところです。それは情報の共有と交換であり、それが私がカンファレンスに夢中になっている理由の1つです。少なくともカンファレンスでは、自分と同じ業種に属し、同じタイプのポジションで働いている他の人々と出会うことができます。共有したりコラボレーションしたりしてはいけないルールがあっても、電話に出てこう言うことができます。「ねえ、ビル、これがここで見ていることです。たぶん、多分あなたはそれについて何かをしたいと思うかもしれません。」つまり、少なくとも、一日の終わりに重要な接続とネットワークを構築する能力は備わっているのです。もう一つは、さっきも言ったように、セキュリティサービスのツアー商品がどんなものか気にしないということを理解することです。特効薬はありません。ありません。セキュリティ会社の中には、「必要なのは私の製品だけ」と言うでしょう。それはすべてを治すでしょう。」それがサイバーセキュリティピロートークと呼ばれるものです。言っていることと同じだ。朝になっても尊敬するよ。いいえ、彼らはしません。ですから、理解してください。階層化されたアプローチが必要であることを理解してください。また、あなた自身も理解してください。攻撃されている理由、ステータス、現金、イデオロギー、攻撃者がわかっていて、攻撃者の種類が7種類しかない場合は、犯罪者、ハクティビスト、テロリスト、国民国家、内部関係者、雇われるハッカー、スクリプトキディがいます。それらは7つです。あなたは誰があなたを攻撃しているのか知っています。なぜ彼らがあなたを攻撃しているのか理解できます。そこから、彼らは何を探しているのでしょうか?彼らが探しているのは情報、アクセスデータ、または現金だけです。では、そのようなこと、相手が誰なのか、なぜ彼らが求めているものを攻撃しているのかを理解し、それを中心にセキュリティを設計できれば、その個人は何を求めているのでしょうか?それは、誰もあなたを攻撃しないようなもののためにセキュリティを設計しようとはしないということです、絶対にそうです。そこで、彼らが何を探しているのか、彼らが誰なのか、なぜデザインセキュリティを攻撃しているのかを考えてみてください。サイバー犯罪の領域における自分の位置を理解することが重要です。なぜなら、あなたにはサイバー犯罪が存在するからです。そして、私があなたをどのように攻撃するかは、あなたが誰で、何をするかに完全に依存します。それを考え出してください。セキュリティを設計し、基本的なことはすべて行ってください。知ってるでしょ、私は男と話した男じゃない、なんてこった、たぶん5年前のことだ。彼は金融機関で働いていて、「ねえ、Splunkができた」と言っていました。「うん」って感じでした。彼は「Splunkの使い方がわからない」と言っています。「うん、独自の言語だよね?」って感じでした。彼は「うん、本当に難しい」みたいだ。「それで、それで何をしているの?」「まあ、コンピューターに接続しましたが、何にも接続されていません。」あいつは君が必要以上に予算を組んでる奴だそれが連邦政府の悪いところだ予算を出すことや、政府機関が使用しないものは何でも戻らなければならないので、その機関はそのお金を使うためのものを見つけようとします。多くの企業がそうです。予算を使わなければ、来年の予算は削減されるでしょう。それは間違った考え方です。そのような考え方を捨てて、自分の部署が自分と顧客、またはクライアントの環境を保護していることを理解する必要があります。そして、私たちはまだそこにいません。私たちは絶対にそこにいません。しかし、私が話しているのはそういうことです。コンポーネントの種類について、もしあなたが金融業界なら、それを持っているのか、ID検証コンポーネントがあるのか、攻撃者がどうやってそれを乗り越えることができるのか理解していますか?つまり、データ全体を見ていることを確認するには、これらの他のコンポーネントも必要です。私と同じように、私は数年前にその会社で働いていましたが、彼らは私を最高刑事責任者にしました。それは仕掛けでした。それは絶対的な仕掛けでした。彼らは今日に至るまで、「ああ、いや、本気だ。あなたはそうではありませんでした、それは仕掛けでした。」そこで働いているうちに、この真ん中の男が攻撃されているのを見始めました。攻撃者がホワイトペーパーを読んだからです。また、何年もの間ホワイトペーパーを読んでいて、パスワードの廃止が推進されていることを理解していました。そのため、現在、多くのセッショントークンが盗まれ、多くのクッキーインジェクション攻撃が行われています。その攻撃は、そして今日に至るまで、多くの金融機関に対して非常に成功しています。そして、それが機能する理由は、その金融機関が単にそのクッキーに依存しているからです。クッキーを持っているなら、あなたは正しい人でなければなりません。しかし、時間をかけてそのアカウントで利用可能なすべてのデータを調べると、デバイスに変化が見られたり、IPに変化が見られたり、これらのさまざまな異常が発生したりします。ですから、私も話しているのはデータを見ることです。それは重要だからです。このデータから、環境の真実と現在行われているトランザクションがわかります。データを見ていない場合や、データ全体のごく一部だけを見ている場合は、自分自身に不利益をもたらし、顧客に不利益をもたらしていることになります。つまり、データも見ているのです。
ラグー・ナンダクマラ53:45
では、組織が採用すべき重要な戦略について、例えば、私たちが議論していた会話のトップ、トップ、トラスト、トラストの意味、などについて、何かアドバイスはありますか。そして、ここ10〜15年の間に、ゼロトラスト戦略全体が中心的な存在になりました。たとえば、組織がゼロトラストを採用するための適切な戦略についてどう思いますか、などです。
ブレット・ジョンソン54:10
ゼロトラストには絶対持ってると思うよ。そう思うし、これについてある程度話したけど、さっきも言ったけど、私があなたを犠牲にするためには、ある程度の信頼を築かなければならないということだ。そして、お客様と組織との新たな関わりは、すべてゼロトラストの観点から行うべきだと、私は強く信じています。ほら、それは「ねえ、私たちは以前あなたを信頼していた」というものではありません。このログインまたはこのクッキーは、前回のセッションから有効であったことがわかっています。それで、また入ってきます。行ってもいいよ。」いいえ、そうであってはなりません。攻撃者として、クッキーを盗むのは非常に簡単だということは理解しています。IDやクレジットカード番号を盗んだり、ブラウザのフィンガープリントを偽造したりして、そのように侵入するのはとても簡単です。つまり、新しいインタラクションが毎回検証されていることを確認しているのです。そしてそれはレーガンにまでさかのぼりますよね?信頼しなさい、しかし検証しなさい。ええ、私はあなたを信頼するが、私はあなたの言うことをすべて検証するつもりです。それが重要なんだそれと同時に、これは、つまり、私が理解するのが難しいことの一つでもあります。その環境では、顧客が別の場所に移動するような摩擦は避けたいものです。ええ、それは大きな問題になります。そして、ええ、あなたは世界中のすべての詐欺を阻止することができます。あなたがしなければならない唯一のことは、ウェブサイトをシャットダウンすることです。ウェブサイトは停止します。欲しくないのはあなたです。セキュリティと摩擦のバランスを取りたいのですが、そのバランスは絶対にセキュリティ側のほうに重きを置く必要があります。そうしなきゃ。つまり、バックグラウンドでは、そこで行われる各インタラクションにどれだけの検証が必要かを予測できるような準備を整えることです。知ってるでしょ、いつもとは違うIPから来ているの?潜在的なプロキシから来ているように見えますか、それともどこかから再ルーティングされているように見えますか?何が起こってるの?新しいデバイスですか?入ってくるのは古いデバイスですか?同じデバイスまたは同じIP範囲で他のアカウントにアクセスできますか?何回パスワードを見逃しましたか?使用しているのは古いパスワードで、パスワード変更のリクエストですか?つまり、こうしたことはすべて、顧客側でさらなる摩擦を引き起こすような事態に見舞われる前に、バックグラウンドで実行できるということです。だから、それこそが、あなたがしなければならないことです。実行するには、バックグラウンドでできる限りのことを行って詐欺の可能性を予測し、その時点で行動を起こしてください。それが重要になります。ご存知のように、先日、CAPTCHAに関する調査が行われました。基本的に、彼らはCAPTCHAを激しく打ち砕いたということです。正直に言うと、たくさんのCAPTCHAが世に出ています。善人にとっては摩擦しかありません。そして、それは、つまり、あなたが注意しなければならないことです、わかった。つまり、その顧客を遅らせる必要がないように、バックグラウンドで処理を行っているのです。
ラグー・ナンダクマラ57:14
これらの写真のうち、サイクルが入っているのはどれですか?ええ、結局、ちょうどそのことについて話していたら、結局すべてを選択することになります。なぜなら、突然、すべてがサイクルの一部を持っているように見えて、間違った試みを繰り返すと言われるからですよね?そして、40分後に戻ります。ええ、ええ、まさに、まさに。大丈夫。今日はたくさんの時間をくれたので、私たちは永遠に続けることができます。ブレット、まとめる前に、みんなが学べる面白い逸話を残してくれませんか?
ブレット・ジョンソン57:45
面白い逸話?オーケー、うん、うん。信用と私が最初に犯した本物のオンライン犯罪について話したわそして、私がこれについて話すのを聞いたことがある人もいるかもしれませんが、これはほとんどの詐欺の仕組みの縮図のようなものです。私はケンタッキー州のレキシントンにいました。ストリート詐欺ではあまりうまくいっていませんでした。eBayを見つけて、eBayがとても気に入りました。お金を稼ぐ方法がわからなかった。そしてある夜、インサイド・エディションのホストとしてビル・オライリーを見ていました。彼らはビーニー・ベイビーのプロファイリングをしていて、彼らが話していたビーニー・ベイビーは、1,500ドルで売られているロイヤルブルーのエレファント、ピーナッツでした。そこで、ピーナッツを探し始めました。彼が見つからない。結局、8ドルでグレーのビーニー・ベイビー・エレファントを買ってしまい、立ち寄って青い染料を買い、家に帰って小さな男を染めようとしました。彼はポリエステル製だったことが分かった。染料をうまく保持できません。彼を連れ出せば彼は毛包虫症にかかったようだしかし、私はその女性から1,500ドルを盗みました。私の写真で本物の写真を見つけました。投稿しました。彼女は私が本物を持っていると思った。彼女は入札に勝ちます。私は彼女に1,500ドルを盗み取った。その時、私はサイバー犯罪の最初の教訓を学んだ。彼女は私が誰だか知ってたでも被害者を十分に遅らせたら後回しにし続けることになる彼らの多くは、憤慨し、両手を空中に投げて立ち去り、犯罪を報告しません。だから、それが本当に最初の教訓です。ほとんどの人は犯罪を報告しません。ほとんどの人はあきらめます。さて、それが最初のレッスンです。しかし同時に、こうした詐欺の大半の縮図がひとつあることも理解しておきましょう。そこに被害者がいるんだ何かを欲しがっている潜在的な被害者がいる彼らは何かを欲しがっている。その願望のおかげで犯罪者としての私は被害者の信頼をより簡単に得ることができ、被害者が合理的でも論理的でもなく、感情的に反応していることを確認できます。それで、彼女はeBayプラットフォームを信頼しました。彼女はその技術を信頼した。彼女は、私が信頼を得たり、信頼の扉を開いたりするために、本物の写真のような道具を使っていることを理解していませんでした。いったんドアが開いたら、ソーシャル・エンジニアはどれほど優秀か?私が彼女を操って現金をくれるなんて嘘つきだ?それが私がしたことです。つまり、オンラインで信頼を築きたいという被害者の願い、テクノロジー、ツール、ソーシャルエンジニアリング、そして最後に、その人はあきらめて立ち去り、法執行機関に犯罪を報告しないということです。暗号通貨であれ、eBayであれ、PlayStation 5であれ、これらすべては、これらの詐欺のほとんどの方法の縮図のようなものです。これらの詐欺はすべてオンラインで機能します。それを理解してください。それが願望であることを理解してください。何かを欲しがっているということは、論理的あるいは合理的というよりは感情的に反応するということです。プラットフォームが存在する一方で、本質的にそれを信頼すべき理由はないことを理解しているということです。ゼロトラスト技術についても同じことが言えます。なんで信用しなきゃいけないんだ?攻撃者がいて、いたるところに捕食者がいます。それが私が使う逸話です。現実世界でこういうことを理解していると、状況認識がかなり上手になりがちです。私たちは、私たちが悪い地域にいるとき、物事が起こりそうなとき、またはあなたが何をしているのかを知っています。これはオンライン環境にはあまり当てはまりませんが、捕食者はいたるところにいることを理解する必要があります。私たちがそれを理解していれば、それは人生を妄想に陥らせることではありませんが、攻撃者がいたるところに存在することを理解するためです。そして、それを理解すれば、私たちの意識レベルが上がり、そのおかげで自動的に安全性が高まります。
ラグー・ナンダクマラ1:01:19
素晴らしい、つまり、この特定の会話を締めくくるには完璧な場所だと思う。ブレット、お話しできて光栄で嬉しかったです。それで、お時間をどうもありがとうございました。いいえ、あなたとあなたの正直さには感謝しません。
ブレット・ジョンソン1:01:35
感謝しています。本当にありがとう。本当に話せて嬉しかったよ。どうもありがとうございます。
ラグー・ナンダクマラ1:01:39
詳細とゼロトラストのリソースについては、今週のセグメントのエピソードを視聴していただきありがとうございます。illumio.comのWebサイトをチェックしてください。LinkedInやIllumioのTwitterでもつながることができます。今日の会話が気に入ったら、ポッドキャストを入手できる場所で他のエピソードを見つけることができます。ホストのラグー・ナンダクマラです。すぐ戻ります。