0
0
Divulgações de zero-day, aqueles bugs conhecidos sem uma correção, podem ter resultados potencialmente catastróficos. Uma das melhores maneiras de combatê-los é descobrindo-os antes dos bandidos.
Algumas das maiores marcas de tecnologia do planeta foram atingidas por uma onda de explorações de alto perfil de zero-day. Nas últimas semanas, a Apple anunciou um patch para seu bug de bypass MacOS e correu quatro correções fora de banda para zero-dias sob ataque ativo; O dia zero do Chrome foi publicado no Twitter em meados de abril; e, claro, o ataque de zero-day do Microsoft Exchange ainda está fresco.
Threatpost convidou especialistas de zero-day para cavar além das manchetes, incluindo Katie Trimble-Noble, a ex-oficial do DHS que dirige o programa de recompensa de bugs da Intel; Greg Ose, que dirige o programa de recompensa de bugs do GitHub, e James McQuiggan, um defensor da conscientização de segurança do KnowBe4.
Durante a conversa, o painel discutiu o ciclo de vida de uma vulnerabilidade de zero-day, o funcionamento interno de programas de recompensa por bugs e dicas para pesquisadores que procuram invadir a caça de insetos em grandes momentos. Eles até lançaram algumas previsões para uma boa medida.
Toda a conversa, sobre a Economia das Divulgações 0 Dias: O Bom, Mau e Feio, foi gravada e pode ser vista em sua totalidade sob demanda gratuitamente. O que se segue é uma transcrição levemente editada.
Visite também a Seção webinar do Threatpost para todos os eventos sob demanda e futuros.
Becky Bracken: Bem-vindos à edição de março da série de webinar Threatpost. Sou Becky Bracken, jornalista do Threatpost e moderarei nossa discussão hoje.
Este mês estamos mergulhando fundo nas vulnerabilidades do dia zero. Os atacantes estão procurando por esse tipo de vulnerabilidade. Então reunimos os melhores especialistas que podemos encontrar para falar sobre o que isso realmente significa.
Vamos nos encontrar com nosso painel. Primeiro, temos James McQuiggan,um defensor da conscientização de segurança e instrutor universitário na Valencia College na Divisão de Programação e Tecnologia de Engenharia de Computadores.
Também temos Katie Trimble-Noble e ela atualmente dirige o programa de recompensa de bugs da Intel. Mas antes disso, ela era chefe de seção de gerenciamento de vulnerabilidades, trabalhando com o Departamento de Segurança Interna e a Agência de Segurança Cibernética e Infraestrutura (CISA).
Finalmente temos Greg Ose. Bem-vindo, Greg. Ele é o diretor de engenharia de segurança de produtos no GitHub, e também dirige o programa de recompensa de bugs no GitHub.
Então, bem-vindos a todos vocês. Obrigado por estar aqui.
Série ‘Webinar’ do Threatpost
Antes de começarmos, quero explicar que a ideia desses webinars. A ideia dessas discussões é realmente cavar nas manchetes, e queremos que estes funcionem para você. Há um widget que deve estar no canto superior direito da sua tela, onde você pode enviar suas perguntas.
Temos uma hora com alguns dos melhores do ramo, então vamos ter certeza e obter suas perguntas respondidas. Mande-os mais cedo e mande-os com frequência. Meu editor, Tom Spring, está do outro lado da moderação e ele está pronto para ajudar a responder suas perguntas.
Pergunta de enquete
Antes de entrarmos em todos os detalhes eu queria fazer uma rápida pergunta de enquete do público, só para ver onde vocês estão.
Pergunta da enquete: Se uma vulnerabilidade foi descoberta em seu sistema, sua organização tem algo para receber relatórios e responder?
À medida que as respostas chegam, parece uma bela curva de sino. Temos 17% de vocês agora que estão dizendo, “totalmente, estamos prontos para arrasar.” Outros 21% não têm certeza, mas 63% de vocês estão no meio, e dizem que temos algo, mas pode ser preciso melhorar.”
Então, eu acho que é um ótimo lugar para começar. James, vamos começar com você, e talvez você possa nos dar uma boa visão geral da economia do ciclo de vida que está lá fora que está impulsionando o interesse por essas vulnerabilidades.
0-Day Divulgação Ciclo de vida: O que é um Dia Zero?
James McQuiggan: Definitivamente, e obrigado, Becky, pelo convite e vindo aqui para falar com todos hoje. Estou muito empolgada.
É interessante ver na enquete que muitas pessoas estão nessa área do meio. Acho que como os profissionais de segurança sempre quiseram melhorar, nunca achamos que é perfeito. Acho que nunca podemos ficar perfeitos, mas o fato de que estamos sempre procurando nos esforçar e melhorar, isso é bom. Então, olhando para um dia zero e eu não tenho nenhum slide é só eu falando, então vocês estão todos presos, apenas olhando para este rosto alegre.
Então, como Becky apresentou, eu ensino a faculdade como um trabalho paralelo, é o trabalho noturno aqui em Orlando. E, uma das coisas que eu sempre faço quando estou educando ensinando aos alunos novos conceitos de tópicos é, eu gosto de basear todo mundo, eu tenho a sensação de que todo mundo na plateia provavelmente sabe o que é um dia zero, mas eu vou dar a definição de qualquer maneira.
Vamos falar sobre alguns conceitos básicos só para ter certeza de que todos estão na mesma página. E venha até mim se você não gosta da definição.
Zero day, essencialmente, é aquela vulnerabilidade de software onde não há patch ou correção quando é divulgado publicamente disponível. Se alguém descobrir e não houver nenhum remendo, você tem uma façanha de zero-dia em suas mãos. É útil, é claro, para atacar organizações com testes de penetração, se as organizações estão saindo procurando por elas ou estão descobrindo-as por conta própria.
Tentei voltar e ver se conseguia descobrir quando o primeiro dia zero foi descoberto, e a data que descobri que não gostei e disse que era 2003, mas acho que provavelmente há um encontro anterior em algum lugar. A data que encontrei foi março de 2003, e foi um Windows DLL no Windows 2000, que foi o primeiro dia zero.
Então, quando estamos lidando com vulnerabilidades, é uma falha, e ou hardware ou software permite que um invasor tenha acesso. A exploração é o ataque que é usado para aproveitar essa vulnerabilidade. Então, quando temos uma vulnerabilidade de zero-day, é uma vulnerabilidade desconhecida ou não.
E uma exploração de zero-day é aquela exploração, aquela ferramenta de programador, que é usada para atacar essa vulnerabilidade desconhecida. Então, olhando para o ciclo de vida, então fizemos algumas bases quando olhamos para o ciclo de vida de um dia zero.
No início, hardware ou software são criados. Ele é criado, ele é desenvolvido os desenvolvedores, e talvez eles estão correndo para levá-lo para o mercado porque as vendas querem vendê-lo. Mas eles criam o produto e ele é colocado lá fora.
Uma vez fora, se isso é um sistema operacional, um aplicativo, poderia ser um driver, extensão do navegador, algo que é colocado lá fora, onde os pesquisadores de segurança, se eles são bons, maus, indiferentes, brancos, cinzas, chapéus pretos, o que quer que eles possam ser, eles estão descobrindo, OK, o que é preciso para separar este pedaço de software? O que eles podem usar? uma variedade de ferramentas diferentes. Eles vão fazer engenharia reversa. Eles podem até usar a linguagem de montagem, quebrando-a até os bits e bytes baixo como ele pode ir para dar uma olhada nisso.
O que compõe esse software? O que faz os hackers funcionarem em geral? E eu sei que provavelmente temos algumas pessoas da DEF-CON lá fora. Hackers também são boas pessoas. E há pessoas que gostam de desmontar as coisas. Eu desmontei minha TV. Não fez meus pais felizes. Mas eu o desmontei quando tinha seis anos e o coloquei de volta. Queria ver como funcionava.
Essa é a definição de um hacker também.
Mas, essencialmente, eles vão passar e tentar encontrar vulnerabilidades ou jogar todos os tipos de ferramentas diferentes nele. Eles vão olhar para ver se há uma maneira de sobrecarregá-lo, transbordadores de buffer, esses tipos de técnicas para tentar obter um acesso ou uma base ou interromper o funcionamento disso. Encontre essa vulnerabilidade. Diferentes tipos de zero dias que estão lá fora. Você tem execução remota de código ou escalada de privilégios, rootkits, esse tipo de coisas, negação de serviço. Qualquer coisa que eles possam fazer para interromper ou desligá-lo.
Você pode até ter um bug dentro de um aplicativo web, como scripting cross site. Mas há um ótimo banco de dados lá fora, o Exploit Database. Eles têm uma variedade de diferentes façanhas que estão lá fora que foram coletadas que você pode passar e trabalhar.
Então, olhando para o ciclo de vida, quando um pesquisador de segurança descobre uma vulnerabilidade, eles podem então alertar o fornecedor, e há diferentes maneiras que isso pode ser feito.
Normalmente, é através de um security@the endereço de e-mail de nome da empresa, ou eles terão algum tipo de processo onde você pode alertá-los.
Uma vez que eles te alertarem, eles vão te dar 90 dias para passar e corrigi-lo e corrigir o problema que está lá. Outros pesquisadores de segurança podem enviar e-mails e não receber nada. Eles podem não ter uma resposta. Então eles podem chegar a um jornalista e dizer, “Ei, olha, eu tenho o dia zero, mas ninguém está fazendo nada sobre isso.” Então os jornalistas ligam. E os jornalistas têm um poder incrível, porque eles dizem, “Oi, nós descobrimos essa vulnerabilidade com o seu produto, o que você quer fazer sobre isso?”
Então, é claro, todos eles embaralham, e obtê-lo corrigido.
E eu sei que Katie é uma especialista quando se trata de CVEs, então eu não vou mergulhar muito sobre eles, mas essencialmente, é atribuído como a identidade relacionada a essa vulnerabilidade. As organizações podem realmente entrar, e especialmente se os desenvolvedores entrarem e reservarem pedaços em blocos desses diferentes IDs CVE também. Então, dessa forma, eles estão prontos para ir quando eles precisam alertar o público sobre as vulnerabilidades.
Uma vez que a vulnerabilidade se torna pública, então ela vai escorregando para o lado escuro a maior parte do tempo. E, em alguns casos, esses pesquisadores de segurança descobrirão que podem conseguir muito mais dinheiro vendendo-o na Dark Web.
Agora, costumava ser anos atrás, eles eram muito lucrativos e havia muitos deles lá fora. Muitos hackers mudaram agora, olhando para passar por corretores e coisas diferentes, seja uma organização criminosa, etc., que pode basicamente comprá-lo deles e, em seguida, eles vão em frente e aproveitá-lo.
Você também tem aqueles onde é acesso como serviço onde eles estão alugando- lo. É engraçado quando você pensa sobre os modelos de negócios que eles estão levando com isso, onde anos atrás, você iria comprar um carro e agora, você pode alugar um carro enquanto aqui, isso funciona como um serviço onde você paga para utilizar o serviço.
Eles ainda seguram e você é capaz de aproveitar isso. Essa exploração para obter acesso a uma organização para ser capaz de atacá-lo, lançar ransomware, roubo de espionagem, todos esses diferentes tipos de recursos. Mas muitos desses dark web agora são extremamente difíceis de entrar, os muito limitados. Normalmente, é como a Máfia de anos atrás porque eles não querem que eles mesmos sejam pegos. Se você tem algo para vender, você tem que ser examinado.
Então, muitas vezes, as pessoas acabam utilizando empresas legítimas de terceiros que pagarão por aqueles diferentes dias zero que estão disponíveis lá fora. Você tem a Iniciativa Zero Day, HackerOne, um monte de grupos de crowdsourcing que estão lá em cima, e geralmente com eles, o que você está fazendo está passando por um processo.
Então eles divulgam para a organização, então eles dão-lhes tempo suficiente para consertá-lo. Em seguida, o pesquisador de segurança receberá algum tipo de pagamento por isso, dependendo da vulnerabilidade, dependendo da organização impactada.
A mesma coisa com os cibercriminosos, se você tem um Facebook e iOS zero-day, esses são realmente, realmente caros para obter e um monte de gente gosta de pagar por eles e vai pagar alto dólar por esses. Mas mais de milhões de dólares é o que você poderia obter se você fosse capaz de encontrar um desses lucrativos vendendo-o na Dark Web. Se você está passando por alguns dos outros, ainda vai pagar muito bem, pode não ser tão bem na Dark Web. Mas, novamente, isso é muito mais difícil e extremamente difícil.
Greg Ose: Ao olhar para o meu papel para proteger o GitHub da empresa, o primeiro passo do meu ponto de vista é perguntar: “como fazemos com que seja a maneira mais fácil possível para alguém externamente, fora da empresa, vir até nós com uma vulnerabilidade de segurança?”
BB: Isso nos leva tão perfeitamente à nossa próxima área de discussão, detecção de vulnerabilidades, porque eu acho que é aqui que muitas pessoas ficam presas, porque há tantas maneiras de atacar esse problema. E eu sei, Katie, você disse que na Intel você tem diferentes equipes de pessoas olhando para isso de diferentes fases e de diferentes ângulos. Então, talvez falar sobre como as pessoas com os maiores bolsos são capazes de lidar com isso.
Como caçar bugs de segurança
Katie Trimble-Noble: O ecossistema de segurança é realmente sobre defesa em profundidade, às vezes chamado de Modelo de Queijo Suíço. Existem várias maneiras diferentes de quebrar o ovo. E, na verdade, você realmente não quer usar apenas de uma maneira.
Existem programas de recompensa por bugs, mas também na Intel, temos alguns programas diferentes que estão disponíveis.
Há também programas de divulgação de vulnerabilidades, esse é o seu relatório de segurança que já falamos um pouco antes. É uma espécie de “ver alguma coisa, dizer alguma coisa.” Se você ver algo, por favor, denuncie, para que possa ser consertado.
Mas também há acordos com instituições acadêmicas. Temos uma coisa chamada Intel Labs, onde trabalhamos com instituições acadêmicas em todo o mundo, tentando ter certeza de que estamos fornecendo o melhor produto que podemos de volta aos nossos clientes. Também temos avaliações abertas ou testes de caneta antes que um produto saia no mercado.
Muitos lugares têm equipes de Pesquisa de Segurança Ofensiva que estão internamente tentando encontrar esses bugs, e então você também tem os programas de recompensa de bugs, que é o seu crowdsourced, aberto à abordagem pública.
Muitas vezes as recompensas por insetos vêm em muitos sabores diferentes. Odeio colocar qualquer um em um balde em particular. Há recompensas privadas, há recompensas públicas, há muitos desafios, desafios de caixas de tempo. Você também tem programas estáticos. Então, há muitas maneiras diferentes de esses programas de recompensa de insetos existirem.
Eu dirijo o programa de recompensa de insetos aqui na Intel. Nós olhamos para ele como uma relação cooperativa com a comunidade de pesquisa, certo. Queremos incentivar e recompensar o comportamento positivo da pesquisa. Quando alguém vem até nós e diz que colocou todo esse tempo e esforço para pesquisar essa vulnerabilidade, e isso levou tempo, queremos reconhecer isso. Por isso, muitas vezes pagamos pelas vulnerabilidades que nos são submetidas, passamos e temos um escopo que está disponível publicamente.
As pessoas podem ver o que estamos procurando, o que realmente estamos interessados, e então concentrar suas pesquisas nisso e depois reportá-la de volta para nós. Muitas empresas fazem isso. Isso está se tornando cada vez mais prevalente.
E há muitas maneiras ótimas de responder para entrar no processo de identificação de vulnerabilidades. Então, Greg, fale-nos sobre quais são as melhores práticas para armar isso. Qual é o mecanismo que precisa existir?
Melhores práticas para divulgação de vulnerabilidades
GO: Sim, acho que tudo depende. Acho que é sobre o escopo e a maturidade do seu programa subjacente. Eu estava tipo OK; onde queremos que as pessoas reportem vulnerabilidades para nós. Queremos colocar isso na porta. E queremos ser capazes de não apenas dizer, “entre em contato conosco aqui em nossa segurança por e-mail”, ou “enviar isso para o programa de recompensa de bugs”. Mas o que você também precisa ter no lugar é o outro lado dessa conversa.
E eu acho que muitas vezes é fácil dizer “Vamos enviá-lo para a nossa caixa de entrada de suporte e nosso apoio vai triar isso e obtê-lo na frente dos engenheiros.” Mas, na verdade, o que descobrimos ser bem sucedido no GitHub é ter pessoas que correspondem ao mesmo conjunto de habilidades que é usado para encontrar essas vulnerabilidades para serem as do outro lado dessa conversa. Então, quando recebemos um relatório e podemos identificar rapidamente, como, OK, isso é válido? Qual é o impacto disso?
E usando nossos relacionamentos internos que temos para a avaliação de segurança interna que fazemos no GitHub, podemos então dizer: “Oh, sabemos que a equipe de engenharia que trabalhou nisso, e isso realmente fornece é um pipeline muito limpo entre nós. Ele não precisa passar por muitas mãos para passar de um pesquisador interessado em relatar essa vulnerabilidade para as mãos de um engenheiro que está realmente em posição de corrigi-lo.
Então eu acho que essa é uma das coisas mais importantes, seja um programa de recompensa por bugs, ou se é um programa de divulgação de vulnerabilidades – é ter esse pipeline descoberto. Descubra o que você vai fazer quando tiver uma vulnerabilidade.
E ter esses recursos, e criar expectativas, é importante. Porque como uma equipe de segurança é fácil vender a ideia de um programa de recompensa de insetos. Precisamos corrigir essas vulnerabilidades. Precisamos colocá-los lá dentro.
Mas se você está preso a uma pilha de vulnerabilidades sem engenheiros – como, oh, agora temos todo esse trabalho que precisamos priorizar, porque essas são vulnerabilidades de alta prioridade. Está apenas estabelecendo essa expectativa. Então, configurar esse gasoduto e, em seguida, também ter certeza de que você tem os recursos em todo o pipeline para lidar com o trabalho.
BB: Alguma coisa a acrescentar a isso? Tenho certeza que sim, Katie, considerando que essa é a sua geleia. Criando um programa? Como você inicia isso? Muitas vezes, este é um trabalho de vendas para equipes de segurança, para entrar e dizer: “Ei, adivinha? Você precisa fazer outro investimento, além de software, em mão de obra e tudo isso. Então, como você pega essa semente e começa a cultivá-la em um negócio que não é tão grande quanto a Intel?
Configuração de um programa de recompensa por bugs
KN: sim. Então. Houve muito interesse recentemente em programas de recompensa por bugs no espaço de fornecedores de tecnologia. Mas se você não é um fornecedor de tecnologia, e você ainda é um parceiro da indústria, se você quiser criar uma recompensa por bugs, você pode absolutamente fazer isso.
Há muitas empresas que fazem isso. Há vários na indústria financeira que têm programas de recompensa por bugs. Eles não são vendedores de tecnologia. Há alguns no setor de aviação que têm programas de recompensa por bugs. Então você não precisa ser um fornecedor de tecnologia para ter um programa de recompensa por bugs.
É preciso um pouco de trabalho para configurar. E nós sempre recomendamos, como Greg estava dizendo, que você tenha algumas dessas falhas trabalhadas antes de ligá-lo. Eu sempre afino isso com a ideia de que você comprou uma casa que foi construída em 1858 e não tem encanamento interno, e o condado continua dizendo que eles vão ligar água para sua casa. Eles dragaram a rua, instalaram o cano e disseram que vão ligá-lo. E, se você não tiver esses canos internos montados em sua casa, essa água só vai fluir para o seu porão.
E isso não é uma boa aparência para ninguém.
Por isso, ter essa configuração de parceria dentro do negócio é importante. E você precisa ter certeza que você tem seus amigos de comunicação lá. Você precisa ter certeza de que você tem engenheiros de produto todos alinhados. Temos uma equipe de resposta a incidentes de segurança de produtos na Intel, isso é bastante comum dentro da indústria. Assim, os engenheiros fazem essa triagem inicial e promovem as vulnerabilidades por todo o caminho, através da mitigação e, finalmente, através da divulgação.
Então, ter esses configurados com antecedência é super importante. É preciso um pouco para mudar a mentalidade. E eu gosto de começar com a semente de, “Olha, essas questões estão aqui, quer saibamos sobre eles ou não, então não seria melhor saber sobre isso?”
E então, como resolvemos a situação quando soubermos disso? Queremos ser abertos, honestos e transparentes possível. Queremos construir essa confiança dentro da comunidade, e eu acho que isso acontece quando você entra em uma conversa e você diz, “Ei, eu estou procurando ser melhor?”
Quando trabalhei para o governo, e agora quando trabalho para o setor privado, o cliente ou o contribuinte exige melhor de mim amanhã do que eles têm de mim hoje, e eu tenho essa obrigação de entregar isso.
BB: Bem, James, o que você acha? O que você vê? Como fazemos isso funcionar internamente, quais são algumas das melhores práticas que você já viu na natureza?
JQ: Ecoando o que Katie estava falando sobre o lado do produto, passei 18 anos gloriosos trabalhando na Siemens antes de estar no KnowBe4. E uma das – eu poderia levar um tiro para dizer isso – mas uma das experiências mais interessantes durante meus 18 anos houve em 2010, em julho, quando uma coisinha chamada Stuxnet foi descoberta e eu comecei a trabalhar um pouco de perto com nossa equipe de produtos cert porque eu era responsável por monitorar sistemas para nossas turbinas a gás.
E assim, isso trouxe tudo à tona e muito disso se resume a ter a comunicação, ter a transparência, com a nossa equipe de produtos cert. Tínhamos um pequeno grupo de pessoas fazendo segurança de produtos para a Siemens e explodiu muito bem dentro da organização. Por causa disso, aquele incidente, levou a toda uma placa de segurança de produtos.
Mas uma das principais coisas que tirei de muito disso foi a compreensão da importância de ter comunicação comunitária tanto externamente quanto dentro da organização. Porque você vai ter pessoas batendo na porta mais mesmo internamente. E ter essa comunicação, ter esse programa em vigor, ser capaz de efetivamente alertar o público e depois ter as atenuações e tudo mais, vai um longo caminho.
BB: Temos uma boa pergunta que acho que devemos fazer agora. Essa pessoa pergunta: “Que habilidades devemos aprender para detectar vulnerabilidades que não foram identificadas, ou seja, novos malwares sendo codificados? O que vocês acham disso?
Greg, você tem alguma ideia de como você manter suas habilidades em dia para que você esteja atualizado sobre as últimas?
Quais habilidades são necessárias para o jogo de recompensa de bugs?
GO: Sim, eu estava passando e pensando sobre quais conjuntos de habilidades alguém precisaria para entrar na recompensa por bugs, para começar a ser um pesquisador de recompensa de insetos e outras coisas.
É muito próximo das mesmas habilidades que procuramos, internamente, como parte de nossa equipe interna de segurança de produtos, onde temos pessoas fazendo testes de código, revisão de código e coisas assim.
Ele difere sobre o que seu produto pode ser, sobre qual sua superfície de ataque como uma empresa pode ser. Mas muitos dos conjuntos de habilidades que vemos, interna e externamente, é muita segurança de aplicativos web. Mantendo-se no topo das últimas tendências de segurança de aplicativos web e novas vulnerabilidades, e conhecendo o básico lá, cavando e entendendo e aplicativos e como sua autorização funciona, e como as peças de um grande aplicativo se unem.
Se você está olhando como você encontra essas vulnerabilidades, é sobre segmentação. É um núcleo, compreensão profunda da segurança de aplicativos da Web e vulnerabilidades, e como encontrá-los. E eu acho que também, realmente cavar o produto específico ou alvo que você está olhando.
Alguns dos melhores pesquisadores que temos, e as melhores pessoas que temos internamente, são especialistas no GitHub, o produto. Eles conhecem todas as características, como funcionam, como interagem juntos e é realmente nessas áreas onde vemos muitas de nossas grandes vulnerabilidades sendo relatadas interna e externamente. Não é o seu script básico de cross-site ou injeção SQL. É realmente como, oh, há essas três coisas de autorização diferentes em jogo e todos eles se reúnem para fazer essa vulnerabilidade.
Então eu acho que realmente, conhecendo o seu produto que você está tentando proteger, ou você está tentando encontrar vulnerabilidades dentro E então realmente entender a tecnologia e as vulnerabilidades de cibersegurança que normalmente existem nesses produtos.
BB: E Katie, temos algumas perguntas aqui sobre como invadir programas de recompensa por bugs. Que conselho você daria? E alguém quer saber como ele entra no caminho certo ou certificação de segurança cibernética. E outro pergunta: Como começo a participar, e por onde preciso começar? Então, ajude-os, e ajude-os a dar-lhes bons conselhos.
KN: A beleza do ecossistema de cibersegurança é que ele é realmente diverso, é muito aberto. E por sua natureza, é inclusivo. Ninguém se importa com quem você é, de onde você é. Eles se preocupam com a tecnologia. E então eu diria que a coisa a ter em mente é que você será capaz de obter experiência de todos os tipos de coisas. Direita?
Conferências ou certificações, educação contínua e, em alguns casos, a educação tradicional é ótima. As certificações são uma ótima maneira de começar. Há um monte de ótimos cursos lá fora que você pode tomar por pouco ou nada. Há muito treinamento que é gratuito e disponível.
Se você fizer alguma pesquisa, eu sei que há sempre o tipo pago de boot camps que custam milhares de dólares. Mas você pode estudar para essas certificações por conta própria e fazer o teste. Eu sempre digo às pessoas que a maior coisa que você deve fazer é ficar curioso e constantemente procurar oportunidades.
Então procure conferências ou grupos de encontro em sua área, ou, salvo se isso não é algo aberto a você, existem grupos de encontros online. Eu sei que as plataformas crowdsource como Bugcrowd e HackerOne têm muito treinamento que está disponível para as pessoas. Essas coisas são muitas vezes gratuitas e disponíveis. Há jogos de prática hack-the-box que você pode jogar, e essas coisas realmente ajudarão a desenvolver seu conjunto de habilidades.
Então, ao passar, você só deve se lembrar de ficar curioso e se manter motivado. Como se você fosse se deparar com uma parede de vez em quando. Mas continue com isso porque essa motivação é o que vai fazer você passar no final.
E eu não posso insistir nisso o suficiente. Pegue o que puder de onde puder, mas comece talvez olhando para diferentes produtos. HackerOne e BugCrowd, eles listam todas as empresas com as quem estão trabalhando. E essas empresas têm escopos e diferentes instruções que estão disponíveis e talvez diferentes desafios que estão acontecendo. E veja se alguma dessas coisas cumpre suas habilidades no momento e depois segue em frente à medida que você se desenvolve.
BB: James, o que diria a um de seus alunos que veio até você com esse tipo de perguntas? Que conselho você daria a eles?
Muitos dos alunos que estão se formando, entrando na comunidade, e procurando por esse emprego, eu falei com eles, e eles colocaram centenas de currículos e tiveram entrevistas, e eles simplesmente não estão conseguindo os cargos. Eles estão indo para outras pessoas, porque muito disso se resume à rede.
Katie mencionou sobre os diferentes grupos de encontro, seja online ou pessoalmente, e muitas das coisas que estão acontecendo na segurança cibernética, em geral, bem como com esses outros programas, está se conectando com alguém. Encontrar alguém que possa trabalhar como mentor, ou alguém com quem você possa conversar , leve-o para fora. Junte-se a um encontro para uma xícara de café no fim de semana. Tenho várias pessoas que sou mentora, mas há outras pessoas que me orientam. E então eu sempre pergunto, o que está acontecendo rio abaixo? O que você está vendo? E depois passando isso para trás.
Mas muito disso vai acontecer, sim, você vai precisar saber as informações, como usar os programas, e aprender a fazê-los através dessas certificações ou outros cursos ou seu próprio trabalho escolar. Mas também sair e fazer networking, e eu sei que para algumas pessoas ter que falar com outras pessoas não é algo que eles gostam de fazer. É muito difícil, mas eu sei que através de muitos dos diferentes grupos de segurança que estão lá fora que estamos sempre convidando, eles estão sempre felizes por ter novas pessoas aparecendo.
agora. O que você acaba fazendo? Enquanto isso? Às vezes, alguns dos alunos estão fora de obter outros empregos, ou eles ficam trabalhando em uma posição de helpdesk ou como um técnico, mas a jornada para a segurança cibernética não é um sprint. É uma maratona. Estamos nisso há algum tempo.
BB: Tudo bem, agora, nós vamos voltar para algumas outras perguntas, e nós vamos circular de volta para eles.
Pesquisadores de segurança, nós conversamos sobre isso também, mas vamos realmente entrar nisso, porque parece ser de interesse para o nosso público. O que faz um bom pesquisador? Como você constrói uma reputação na comunidade de pesquisadores? E Katie falou muito sobre investimento corporativo e oportunidades, o que eu acho que faz se encaixa bem em muitas das perguntas que estamos recebendo.
Você quer trabalhar para a Intel, faça treinamento patrocinado pela Intel. Provavelmente é um bom lugar para começar. Então, talvez, Katie, você possa nos chutar com isso e nos ajudar a obter um leito da terra.
Como enviar uma prova de conceito para ser pago
KN: Eu vou divergir um pouco e dizer, eu sempre digo às pessoas para ter certeza de que você entende que o ciclo completo inclui documentação.
Então é super importante ser capaz de fazer o hack, sabe? Mas você precisa ser capaz de documentar isso também. Porque se você quer ser pago, você precisa ser capaz de comunicar isso de volta para a empresa que você está dando a pesquisa, e quanto mais rápido eles podem entender o que você está significando, mais rápido eles podem pagar você.
BB: Há algum tipo de modelo lá fora que eles possam começar?
KN: Essa é difícil, porque cada empresa tem um tipo diferente de sabor, e cada produto tem um sabor diferente. E às vezes a melhor coisa que você pode fazer é tirar uma captura de tela e colocá-la em um PDF. E outras vezes, a melhor coisa que você pode fazer é script Python ou algo assim nesse sentido. Eu vi provas de conceitos virem como tudo, desde um vídeo do YouTube até capturas de tela até trechos de código.
BB: Greg, você viu algum?
GO: Eu sei que temos um modelo em nosso formulário de submissão. Expor os detalhes que sentimos que é carne de carne faz uma boa submissão quanto à prova de conceitos.
Eu não sou um grande fã de vídeos sem outro contexto porque então é sobre a pessoa triaging-lo para então transcrever o vídeo. Então eu diria que já vi tudo. Vimos roteiros totalmente funcionais, alguém levantando uma prova de conceito totalmente trabalhoso.
Acho que se é fácil alguém entender e se reproduzir é fundamental. Acho que também é para a minha equipe sobre todo aquele oleoduto triseado, certo? Tipo, eu também preciso ser capaz de comunicar claramente os detalhes a um engenheiro, de modo que quanto mais ao longo da submissão chegar, precisamos realmente traduzir isso em algo significativo para a equipe de engenharia. Quanto mais detalhes nos der, mais rápido seremos capazes de triar isso e realmente entender o impacto.
BB: Ok, James, o que você acha sobre relatar as melhores práticas? Talvez haja uma lista de informações? Quero dizer, há algo que as pessoas possam começar e saber que estão cobrindo suas bases?
JM: Gostaria que houvesse uma lista de verificação, mas acho que parece uma coisa boa escrever como post no blog. Você tem que ser capaz, com as diferentes ferramentas, de ser capaz de quebrar e reverter o software, então ser capaz de reproduzir isso e entregar isso. E suas habilidades de comunicação, suas habilidades de escrita, essas devem estar lá também. As soft skills que Katie estava falando.
BB: E do outro ponto de vista, sinto interromper, só porque estou interessado em saber, como você coloca a palavra para os pesquisadores para dizer, ei, sim, estamos atentos a isso. Quero dizer, você anuncia publicamente uma recompensa por insetos? litro
KN: Sim, como a maioria dos pôsteres procurados. A Intel tem diferentes tipos de programas de recompensa por bugs. Temos o que consideramos um programa estático, o que significa que a maioria dos produtos estão em escopo. Se você quiser ir verificar na segurança da Intel, você pode encontrar a lista de no escopo. Mas a maioria dos produtos estão no escopo.
Mas há outros tipos de desafios também. Às vezes, as empresas lançam um desafio de caixa de tempo em um dispositivo específico e talvez eles lhe digam: “Ei, eu estou procurando especificamente coisas como mudanças de tensão ou problemas de Wi-Fi ou problemas de Bluetooth e procurando por essas coisas específicas. E se você pode quebrar a caixa e depois colocá-la de volta, eu vou te pagar mais.
Se você pode me dar, talvez não seja uma vulnerabilidade tradicional do dia zero; talvez seja uma mudança nos vetores de ataque. Se você pode criar isso ou criar uma ferramenta, talvez, então eu vou te dar mais por isso.
KN: E essas coisas tendem a ser em torno de desafios. Os desafios às vezes são abertos a todos, às vezes abertos apenas a pesquisadores específicos, e eles tendem a ser de caixas de tempo, certo? Então, nós anunciamos se vamos executar um desafio ou um prêmio, isso é algo que nós colocaríamos nas mídias sociais, que nós diríamos às pessoas sobre.
Porque, em última análise, no final do dia, queremos melhorar nossos produtos, e fazemos isso trabalhando com pessoas. Então, precisamos que as pessoas saibam que estamos interessados nessas coisas, e é assim que fazemos.
BB: E você, Greg?
GO: Se você olhar para o seu escopo geral do seu programa e eventualmente você chegar à maturidade, eu acho que Katie mencionou com como um programa estático, certo? É como, bem, nós temos o nosso escopo e isso cobre nossa superfície de ataque, e nós somos bons nisso.
E eu acho que algo que estamos sempre tentando chegar internamente é, quais são as coisas de maior risco que estamos fazendo agora para novos recursos de produtos, novas ofertas de produtos. São todos esses tipos de coisas novas que estamos lançando como novos recursos, certo?
Foco, não apenas internamente para o trabalho de segurança, mas externamente. E nós usamos esses programas únicos de captura e captura de bug-bounty. Eles são públicos ou também temos um grupo de pesquisadores privados com quem trabalhamos, com quem trabalhamos no passado. Eles são convidados para o Programa VIP.
E então, podemos dar-lhes acesso ainda mais cedo aos nossos produtos e recursos. Se, digamos, é um beta privado para um novo recurso que estamos abrindo para obter feedback do cliente ao mesmo tempo. Quero obter o feedback e atenção dos nossos pesquisadores de segurança sobre isso. Então, vamos criar uma captura da bandeira em torno disso e alguns bônus em torno disso.
BB: Como você consegue ser um pesquisador VIP, é apenas tempo de serviço, qualidade dos bugs encontrados?
GO: No GitHub, não podemos abrir um beta privado para todos na internet. E será um beta privado nesse ponto.
Caça a insetos crowdsourcing
BB: Excelente Então deixe-nos falar sobre tendências e eu sei, Katie, você falou muito sobre HackerOne e BugCrowd, e o aspecto crowdsourcing disso. Então talvez você possa nos acompanhar por que essa é uma boa solução. E que oportunidades existem, tanto para os negócios quanto para aspirantes a caçadores de insetos.
KN: sim. Então, pesquisa de segurança crowdsourced é algo que vimos no último talvez, eu acho, tecnicamente, o primeiro realmente foi em 2004, eu acredito que foi a Netscape que lançou o primeiro grande programa de recompensa de bugs, mas tem sido uma espécie de tendência que estamos vendo cada vez mais.
Nos últimos cinco anos, acho que houve uma boa aceitação de programas de recompensa por bugs. E, como eu disse, inicialmente foram principalmente os grandes fornecedores de tecnologia que adotaram programas de recompensa por bugs, mas temos visto muito mais da tecnologia não tradicional, apenas empresas regulares, tendo programas de recompensa por bugs.
Então, eu realmente amo vê-lo na indústria aérea. Porque algumas dessas companhias aéreas lhe darão milhas aéreas, em vez de um pagamento. Então, eu acho que é realmente incrível, mas nós vimos uma grande tendência nisso.
Também vimos uma mudança na cultura. Há sempre essa ideia de que hackers são um mau tipo de negócio, e nós não olhamos para o ruim ou o bem. Eu não olho para motivação. Eu olho para a tecnologia, então eu olho para a prova de conceito. Estou olhando as informações que você me forneceu. E eu não entro nas motivações das pessoas. Essa geleia não é minha.
Então, superar alguns desses tipos de obstáculos e apenas dizer, olha, eu estou focado na tecnologia. Se você está cooperando e está no meu programa, então eu acho que você é bom o suficiente para mim. Então essa é uma grande mudança que vimos recentemente e a mudança de mentalidade que a pesquisa crowdsource, seja programas de recompensa por bugs ou apenas divulgação de vulnerabilidade.
E é uma mentalidade diferente, certo? É um tipo diferente de olhar. Então o engenheiro de produto, a pessoa que constrói o produto, eles olham para as coisas a partir de sua perspectiva, e essa perspectiva é ótima. Mas não é ótimo também ter um conjunto extra de olhos no produto? E essa aceitação. Isso tem sido algo novo que está mudando.
O que é realmente legal é que você viu essa grande mudança nos governos instituindo processos de divulgação de vulnerabilidades. Então eu sei que o governo dos EUA criou essa diretiva operacional vinculante que orienta todas as agências executivas federais a criar programas de divulgação de vulnerabilidades, o que é realmente incrível, porque se você encontrar uma vulnerabilidade em um site do governo dos EUA, ele lhe dá um vetor para relatar isso para que eles possam corrigi-lo. E isso é para mim, realmente, realmente incrível. Então esse tipo de mudança eu acho que é realmente positivo.
BB: E você, Greg, que tendências você está vendo?
GO: Sim, olhando para ele da minha perspectiva, internamente, e o valor que temos do programa de recompensa de bugs, eu olho através do nosso ciclo de vida de desenvolvimento de segurança para nossos produtos. Onde a recompensa por insetos se encaixa? Acho que temos muita conscientização dos desenvolvedores de iniciativas internas.
Mesmo testes internos da equipe vermelha, todas essas diferentes iniciativas para tentar se livrar de vulnerabilidades antes de serem introduzidas, e o caso de recompensa por bugs, isso é na parte de trás disso.
Talvez possamos apresentá-lo, e identificado, em um acesso antecipado ou um beta, ou talvez seja algo que está em nossos produtos públicos estão em nossos produtos, depois de enviados.
Teste de caneta de terceiros
G.O. Nós também normalmente tentaríamos fazer testes de penetração de terceiros e coisas assim. Então, vejo que há muita sobreposição antes do que costumávamos contratar para testes externos de penetração de terceiros, e o que estamos fazendo com o programa de recompensa de bugs.
A diferença é que nossos clientes. O que você tira de um teste de penetração de terceiros é um bom relatório que diz: Aqui estão as coisas que investigamos, isso é o que vimos e estes foram os resultados. O futuro é como temos essa mesma garantia? Como podemos trabalhar com nosso programa de recompensa de bugs para obter as mesmas informações para compartilhar com nossos clientes. Esta também é uma parte importante do nosso ciclo de vida de desenvolvimento de segurança.
É como um teste de penetração de 365 dias feito por quem sabe quantos consultores, com uma avaliação escopo da nossa superfície de ataque público.
Então, para mim, está fazendo a ponte. Eu posso ver que a lacuna se fez uma ponte de uma perspectiva de risco ali. Ambos olhando para as mesmas coisas, estão ambos procurando o mesmo tipo de vulnerabilidades, mas como fazemos a ponte dessa lacuna, apenas de uma perspectiva de conformidade de comunicação, de, como, hey, estamos executando um programa de recompensa de bugs, e talvez agora os fornecedores vão começar a perguntar, ” Onde está o seu programa de recompensa de bugs?” ou “Eu quero ver o seu programa de recompensa de bugs.”
Tendências de dia zero
BB: James, o que você acha? O que é rio abaixo? Me orientei. Diga-me, me diga o que estamos olhando.
JM: Bem, sabemos que zero dias não vão a lugar nenhum, como você observou no topo da apresentação.
Eu acho que, olhando para baixo da linha, as organizações querem ter certeza de que eles têm plataformas com as qual podem trabalhar para ajudar, no que diz respeito à divulgação de vulnerabilidades. Eles podem ajudar com esses programas de recompensa de bugs e trabalhar para garantir que eles tenham essa comunicação, essa transparência com seus clientes.
Se você está sendo atingido por ransomware ou se você está tendo um dia zero descoberto sobre o seu produto principal, a comunicação será a chave. E eu sei que isso vem mudando ao longo dos anos, mas muitas vezes, as organizações estão preocupadas com as consequências disso.
Mas quando há transparência e demonstração de que há um esforço sendo feito na tentativa de resolver o problema e causar menos impacto sobre as organizações que possuem seu produto ou usam seu produto, há muito mais perdão que continua.
Quero dizer, eu penso nos primeiros dias quando eu estava na Siemens, quando nós primeiro liberamos algumas das vulnerabilidades e houve reação, mas depois de um tempo muito mais organizações foram mais apreciadas por isso. Eles dizem: “Ok, bom, agora sabemos tomar as medidas necessárias para implementar algumas mitigações adicionais de risco para proteger esse produto.”
KN: Houve um estudo muito grande, acho que é o Instituto Ponemon, que disse que 73% dos entrevistados disseram que são mais propensos a comprar de um fornecedor de tecnologia que era proativo em encontrar e divulgar vulnerabilidades de segurança.
Então, se você é uma organização que tem medo da reação, a história indica que é realmente do interesse de todos divulgar essas vulnerabilidades e corrigi-las o mais rápido possível e ser transparente com seus clientes. Porque você vai se recuperar.
Quero dizer, historicamente, é assim que funciona. Você constrói essa confiança com o seu conjunto de clientes, e eles são mais propensos a comprar de você, há estatísticas difíceis sobre ele. Eles sabem que você leva a sério.
BB: Ok, nós temos um monte de perguntas, vocês e vamos ver aqui, vamos passar por alguns destes.
Pergunta: Okey. Sou novo em segurança cibernética. Vou me matricular em um curso de seis meses através de uma universidade, que certificação é melhor ter?
JM: Vou te dar a resposta que dou aos meus alunos. E isso é se você vai obter uma certificação, e você está recebendo educação, e há um grande debate sobre isso já, o que é mais importante, experiência, educação ou as certificações? E a resposta favorita, infelizmente, é que depende.
Mas se você está procurando entrar na recompensa por bugs, você está procurando para descobrir esses dias zero e as vulnerabilidades, você vai precisar ter as capacidades de programação, e Katie e Greg podem conversar sobre isso. Mas, pelo que sei, seriam as capacidades de programação, entender como o programa funciona, ser capaz de reverter o projeto. Se houver alguma certificação que vá junto com isso, para talvez considerá-los, sua educação.
Se você tem cursos na escola que você está frequentando que têm qualquer tipo de programação ou engenharia reversa, esses são os tipos de coisas que você quer mirar.
A outra coisa que você pode fazer é encontrar pessoas que fazem isso para viver, e um lugar fácil de fazer isso é entrar em contato no Twitter. Ou outras mídias sociais onde você pode encontrá-los. O Twitter é muito bom para fazer isso, o LinkedIn, é claro, o aspecto de negócios dele. Mas, se você pode estender a mão e se comunicar com eles, e ver, ou mesmo olhar para seus perfis, que tipo de certificações eles têm? Que tipo de educação?
Eu sei que para mim, segurança cibernética não era o que eu estava indo para quando eu entrei na faculdade, mas é onde eu acabei. Hoje em dia, muitas das pessoas que foram mais experientes, eles podem não ter os diplomas, mas certamente vale a pena chegar até eles, e verificar, e ver o que eles têm, ou o que eles recomendam.
BB: Isso é um bom conselho. Greg, temos um especificamente para você. Isso é um Gibson (guitarra) na parede?
GO: Sim, eu costumava tocar muito mais guitarra quando eu estava no ensino médio e com COVID, eu pensei em dar outra chance, ou pelo menos colocá-lo na parede para que, poderia me lembrar, todos os dias, meu fundo de chamadas de vídeo, que eu não pratiquei e não peguei de novo, mas pelo menos parece bom.
BB: Temos um fã. Eu só quero que você saiba disso.
Pergunta: Você mencionou algumas ferramentas gratuitas e treinamento on-line, há um bootcamp de ferramentas, livro de software, etc, que você diria que definitivamente vale o investimento financeiro pessoalmente?
Treinamento de Caçador de Insetos
KN: Há um monte de coisas diferentes lá fora, e você não quer realmente empurrar alguém em uma direção ou outra. É realmente sobre o seu interesse.
Eu diria, como, James estava dizendo, o aspecto de codificação dele pode ser realmente importante. Ter esse Python básico em um tipo mínimo de negócio, é importante.
Admito que minha formação é em psicologia e religião, sou formado em relações internacionais. Eu não tenho um passado técnico, e eu pareço ter feito OK neste campo de carreira. Então, você não precisa tanto das experiências tecnológicas quanto, entender o ambiente de ameaças, pensar criativamente, ser capaz de ter essas boas habilidades de comunicação.
Acho que essa será a diferença entre o que faz algum realmente bem sucedido como pesquisador neste negócio. No final do dia, você tem que ser capaz de se comunicar sobre o que você aprendeu e o que você encontrou.
E se você não é capaz de fazer isso bem, então você realmente precisa colocar o tempo para essas habilidades de comunicação e ser capaz de falar com outras pessoas. É muito, muito importante.
JM: Seja amigo de um inglês iluminado, ou casado com um. Sim, meu passado foi no teatro, então você sabe de onde eu comecei.
BB: Greg, aposto que você tem algum diploma chique em programação de computadores.
GO: Eu tenho um diploma de ciência da computação, isso é correto. Acho que meu caminho talvez seja um pouco mais tradicional, trabalhando como engenheiro de software e transformando isso em foco em segurança. Então, sim, talvez um pouco mais típico.
BB: Ok, então, alguém também perguntou sobre Python. Python é uma boa linguagem de programação? Parece ser unânime que seja. Você quer falar sobre, por que você quer falar sobre talvez algumas outras línguas que você também recomendaria?
GO: Bem, quero dizer, eu acho que você vê muito no espaço de segurança em Python, só porque você escreveria Python como você pensaria, para escrever, como, pseudo código. Ele flui muito facilmente, eu acho que é muito popular no espaço de segurança. Mais uma vez, eu não acho que há uma resposta certa para a língua para aprender. Provavelmente é só o que você já está aprendendo.
Quero dizer, eu gosto da Ruby, mas isso é porque fazemos um monte de Ruby para o GitHub. O que quer que esteja na sua frente normalmente é a melhor coisa.
BB: James ou Katie, você tem alguma ideia sobre isso?
JM: Python é o que eu digo a todos os alunos pelas mesmas razões que Greg mencionou. É versátil, é amplamente utilizado em segurança. Você vê isso toda semana, vendo um monte de aplicações diferentes. Isso para mim seria um ponto de partida. Então há alguns mais especializados que você pode entrar depois disso.
Mas, sim, se você, eu até sentei com o livro para começar a aprender Python, e eu acho que ainda estou no capítulo dois, mas é algo que vale a pena ter, especialmente se você vai estar olhando para fazer isso como uma carreira, você certamente vai precisar saber várias línguas, mas Python é certamente um dos principais.
Internet das Coisas
JM: Se alguém me perguntar o que me mantém acordado à noite, tanto quanto o mundo da segurança, vai ser a internet das coisas (IoT). Vai ser a interconexão que estamos chegando hoje em dia. Quando você tem teias conectadas, há um jogo totalmente novo.
E muitas dessas coisas são alguém jogando um pouco de conectividade Wi-Fi lá, e batendo em uma etiqueta conectada à internet nele, e colocá-lo no mercado. E assim, eu acho que nós vemos um monte de Python no mundo IoT. E então, se você está procurando onde há um terreno rico para identificação de vulnerabilidade, eu diria que o mundo ioT é bastante aterrorizante.
BB: Eu diria além que o campo médico tem conectado tudo e ninguém do meu relatório parece saber por que eles estão conectados, ou com o que eles estão conectados. Há muita confusão, particularmente nesse espaço.
JM: Tivemos um debate em que ponto um humano se torna parte da internet das coisas. E então, se você tem um marca-passo conectado à internet, você é uma internet das coisas? Porque está te mantendo vivo, então em que ponto isso impede alguém de hackear um marca-passo.
BB: Parece ruim para mim, quero dizer, eu nem sou uma pessoa médica.
Há alguma coisa que perdemos, ou que vocês acham que é importante trazer para o nosso público antes de sairmos daqui?
KN: Uma coisa. É muito fácil ficar muito animado como pesquisador, sobre a pesquisa que você acabou de fazer, mas tenha em mente que há pessoas do outro lado dessa pesquisa. Então, quando você envia uma vulnerabilidade a uma empresa, a qualquer um, entenda que há uma pessoa do outro lado, e eu pediria que você tenha empatia e simpatia por elas, também, porque eu sei que às vezes leva mais tempo do que você esperaria. Mas muitas vezes, as pessoas estão lidando com centenas e centenas de vulnerabilidades, centenas de submissões ao mesmo tempo. Talvez estejam saturados de tarefas.
Então respire um pouco, e perceba que estamos todos juntos nisso, e todos queremos chegar lá juntos, mas temos que trabalhar juntos para chegar lá juntos.
BB: É um excelente conselho. E acho que falamos também sobre algumas das melhores práticas, algumas das piores práticas. Mais uma vez, com raiva e má comunicação, mas também as pessoas que vêm e dizem: “Ei, a propósito, eu tenho essa vulnerabilidade me paga se você gostaria de saber sobre isso.” Fale sobre como isso é recebido do seu lado.
KN: Extorsão é crime. Odeio dizer isso, mas extorsão é crime. E se você vem para uma empresa que se dedica a fazer a coisa certa e está genuinamente tentando com esse tipo de atitude…
GO: Não é a maneira de fazer amigos e influenciar as pessoas.
KN: Todo mundo quer consertar isso e quanto mais rápido conseguirmos uma correção, mais rápido eu me aproximo para passar para a próxima coisa. Meu trabalho é fechar ingressos e passar para a próxima coisa e fazer com que o produto seja o mais seguro possível. Não quero ficar com ele por mais tempo do que qualquer um. Eu quero isso revelado, e quando ele remendado, e eu quero passar para a próxima coisa.
E então a outra coisa que está alinhada com que “se você quiser saber sobre isso me pague agora” é a situação de migalhas de pão, onde eu vou te dar um pouco e então você tem que descobrir isso a partir daí.
Como você gostaria que alguém fizesse isso com você, como se estivéssemos tentando as pessoas estão genuinamente tentando em todos os lados, como eu acho que todas as partes interessadas neste relacionamento estão tentando fazer o melhor. Então tenha em mente, há pessoas envolvidas aqui.
BB: Esse parece ser o lugar perfeito para parar por hoje.
Quero agradecer a todos vocês por nos emprestar sua experiência aqui por esta hora. Tem sido muito apreciado e nosso público é realmente apreciado também com base em seus comentários. Então, novamente, qualquer um de vocês que queiram entrar aqui em nossos endereços de e-mail, por favor, envie-me um e-mail. Estou sempre procurando feedback.
Mais uma vez, eu sou uma pessoa, então seja empático. Mas esponte-se e nos avise. E aqui estão nossas informações de contato para nossos palestrantes. E se alguém precisar de alguma coisa, você sabe onde me encontrar.
FONTE: THREATPOST