Synack's Jay Kaplan tiene un ejército de hackers de sombrero blanco

En estos días, puede hacer crowdsource sobre casi cualquier cosa, incluida la seguridad.

En este episodio de Fast Forward, hablo con Jay Kaplan, el CEO y cofundador de Synack. Antes de fundar Synack, Jay ocupó varios puestos relacionados con la seguridad cibernética en el Departamento de Defensa y como Analista Senior de Explotación y Vulnerabilidad de Redes de Computadores en la Administración de Seguridad Nacional.

En Synack, construyó un sistema automatizado de detección de amenazas y una red creada de cientos de investigadores de seguridad en todo el mundo para llevar las pruebas de penetración al siguiente nivel. En una discusión reciente de San Francisco, hablamos sobre el estado de la ciberseguridad, los piratas informáticos y los pasos que toma personalmente para garantizar su seguridad en línea. Lea la transcripción o vea el video a continuación.

De todos sus títulos, el CEO y el cofundador pueden ser muy impresionantes, pero lo que me impresiona es trabajar como miembro de un equipo rojo en el Departamento de Defensa. Entiendo que es posible que no pueda decirnos a todos de los detalles, pero ¿qué significa eso exactamente?

Como miembro de cualquier equipo rojo como parte de cualquier organización eres responsable de actuar como un atacante, como el adversario del que todos tratamos de defender todos los días. Por lo tanto, mi trabajo en el DoD estaba muy centrado en los sistemas de DoD en equipo rojo. Ya sea que se trate de sistemas militares, redes, dispositivos desplegados en el campo, sea lo que sea, queríamos asegurarnos de que estuvieran seguros y no fueran susceptibles a violaciones reales.

Lo combinas con mi trabajo en la NSA, donde en lugar de atacar con fines defensivos, estaba en el ataque lado con fines ofensivos. Si se unen esas dos posiciones juntas, realmente nos ayudó a formalizar todo el concepto detrás de Synack y el modelo de negocio que tenemos hoy.

Me parece que ha tomado el mismo enfoque, lo ha introducido en el sector privado, y supongo que está empleando legiones de hackers y seguridad de la red de crowdsourcing. Háblanos un poco sobre cómo funciona eso.

El enfoque que adoptamos es más un enfoque impulsado por piratas informáticos. Lo que hacemos es aprovechar una red global de investigadores de seguridad de sombrero blanco en más de 50 países diferentes y efectivamente les pagamos en función de los resultados para descubrir vulnerabilidades de seguridad en nuestros clientes empresariales, y ahora estamos haciendo un montón de trabajo con el gobierno también.

Todo el objetivo aquí es tener más ojos en el problema. Quiero decir que una cosa es tener una o dos personas mirando un sistema, una red, una aplicación y tratando de eliminar las vulnerabilidades de esa aplicación. Es otro decir que tal vez 100, 200 personas, todos Mira en este equipo de TI, o lo que sea, e intente descubrir cuáles son las vulnerabilidades y cuándo tiene éxito, pague. Es un cambio de paradigma realmente grande y funciona extremadamente bien en la práctica.

¿Quién sería el cliente típico? ¿Sería como un Microsoft que dice "Estamos lanzando una nueva plataforma Azure, ven y trata de hacer agujeros en nuestro sistema?"

Puede ser desde una gran empresa de tecnología como Microsoft hasta un gran banco donde desean probar sus aplicaciones en línea y móviles, aplicaciones bancarias. También podría ser el gobierno federal; estamos trabajando con el Departamento de Defensa y el Servicio de Impuestos Internos para bloquear dónde envía la información del contribuyente, o desde la perspectiva del Departamento de Defensa, como los sistemas de nómina y otros sistemas que contienen datos muy confidenciales. Es importante que estas cosas no se vean comprometidas, como todos hemos visto en el pasado, puede ser muy, muy perjudicial. Finalmente están adoptando un enfoque más progresivo para resolver el problema, alejándose de las soluciones más comercializadas que hemos visto en el pasado.

¿Cómo encuentras gente? Me imagino que no solo lo publica en un tablero de mensajes y dice "Oye, dirige tus energías hacia esto y luego, si encuentras algo, háznoslo saber y te pagaremos".

A principios dias obviamente aprovechamos nuestra red bastante fuertemente. Trajimos a personas que conocíamos, y eso creció orgánicamente y comenzamos a atraer a personas de todo el mundo que practican la ciberseguridad, e incluso aquellos que no necesariamente hacen ciberseguridad día tras día. Tenemos muchos desarrolladores como parte de nuestra red, los ingenieros forman parte de grandes compañías tecnológicas. El poder de lo que hacemos es brindar a los clientes la diversidad de recursos, acceso al talento al que tradicionalmente no tendrían acceso.

Si nos fijamos en algunas de las estadísticas, dicen que para el año 2021 tendremos 3.5 millones de empleos abiertos de seguridad cibernética. Hay una desconexión masiva de oferta y demanda y un desafío que estamos tratando de resolver. La utilización de crowdsourcing para resolver este problema nos ha funcionado tremendamente bien porque no tenemos que contratarlos. Son independientes y realmente solo tener más ojos en este problema se presta a mejores resultados.

De curso La veracidad de esa red también es primordial para nuestro negocio. Tenemos que saber que podemos confiar en ellos y, por lo tanto, tenemos que someter a nuestros investigadores a un rigor de verificaciones de antecedentes y verificación de identidad, e incluso hacemos auditorías de su tráfico para asegurarnos de que cumplan con el alcance y las reglas de participación., pero es realmente emocionante ver un mecanismo para participar en un modelo de fuente colectiva pero tener un montón de control preparado para permitir a las empresas interesadas obtener acceso a este tipo de metodología.

¿Pueden estos hackers ganar más dinero de lo que podrían gastar solos en la Dark Web? Quiero decir, ¿es rentable ser un sombrero blanco en este modelo?

Hay una idea errónea común de que, ya sabes, operas en la Dark Web y automáticamente serás esta persona rica.

También te estafan mucho.

Te timan mucho, pero la realidad es que las personas con las que estamos trabajando son altamente profesionales y éticas. Están trabajando para corporaciones muy grandes u otras empresas de consultoría de seguridad y hay personas que tienen mucha ética en ellas y que no quieren hacer cosas ilegalmente. Quieren actuar, les encanta hackear, les encanta romper cosas, pero quieren hacerlo en un entorno donde saben que no van a ser procesados.

Esa es una buena ventaja. ¿Cuáles ves como las principales amenazas? en seguridad hoy? ¿Deberíamos estar preocupados por las empresas criminales? Actores del estado-nación? ¿De dónde ve que proviene la mayoría de las amenazas?

Es realmente interesante. Si me hubieras hecho la pregunta hace un par de años, diría que los estados nacionales son las organizaciones mejor equipadas para tener éxito en los ataques cibernéticos. Quiero decir que están sentados en reservas de exploits de día cero, tienen mucho dinero y muchos recursos.

Explica esa idea de sentarte en esas reservas de cero días. Porque eso es algo que fuera del espacio de seguridad, no creo que la persona promedio realmente entienda.

Por lo tanto, un exploit de día cero efectivamente es una vulnerabilidad en quizás un sistema operativo importante que tal vez nadie sepa más que esa organización. Lo encontraron, están sentados en él y lo utilizan para su ventaja. Dada la cantidad de dinero que invierten en investigación y desarrollo, y dada la cantidad de dinero que pagan sus recursos, tienen la capacidad de encontrar estas cosas donde nadie más puede encontrarlas. Esa es una gran razón por la que tienen tanto éxito en lo que hacen.

Por lo general, lo hacen con el propósito de obtener inteligencia y ayudar a nuestros tomadores de decisiones a tomar mejores decisiones políticas. Estamos viendo un cambio en los últimos años donde los sindicatos del crimen están aprovechando algunas de estas herramientas de filtración para su ventaja. Si miras la fuga de Shadow Brokers como un excelente ejemplo de eso, se está volviendo bastante aterrador. Mientras que los proveedores están aplicando parches a sus sistemas, las empresas y las empresas no se están aprovechando de esos parches, dejándolos susceptibles a los ataques y permitiendo a los malvados entrar en sus organizaciones y lanzar ransomware, por ejemplo, para intentar dinero fuera de ellos.

La infección WannaCry afectó a una gran cantidad de sistemas, pero no a los sistemas Windows 10. Era una hazaña que había sido reparada si la gente se había descargado e instalado, pero muchos millones de personas no lo habían hecho y eso abrió la puerta.

Eso es exactamente correcto. La administración de parches es algo realmente difícil para la gran mayoría de las organizaciones. No tienen una idea de qué versiones se están ejecutando, qué cajas se han parcheado y cuáles no, y es una de las razones por las que creamos todo nuestro modelo de negocio: obtener más ojos sobre este problema, ser proactivos para descubrir los sistemas que no han sido parcheados, y decirles a nuestros clientes: "Oye, será mejor que arregles estas cosas o serás la próxima gran brecha o ataques como WannaCry tendrán éxito contra tus organizaciones". Y son los clientes los que emplean nuestros servicios de manera continua, este ha sido un caso de uso realmente exitoso para nosotros.

¿Venden sus servicios para pruebas a corto plazo? ¿O podría estar en curso también?

Tradicionalmente, las pruebas de penetración han sido un tipo de compromiso en un momento dado, ¿verdad? Usted dice que venga por una semana, dos semanas, deme un informe y luego nos veremos un año después cuando estemos listos para nuestra próxima auditoría. Estamos tratando de trasladar a los clientes a la mentalidad de que la infraestructura es altamente dinámica, siempre están introduciendo cambios en el código de sus aplicaciones, podrían estar introduciendo nuevas vulnerabilidades en cualquier momento. ¿Por qué no mirar estas cosas desde una perspectiva de seguridad continuamente de la misma manera que lo hace con su ciclo de vida de desarrollo?

Y el software como servicio es un gran modelo. El servicio como servicio también es un gran modelo.

Eso es correcto. Tenemos grandes componentes de software en la parte posterior de todo esto, por lo que tenemos una plataforma completa que facilita no solo la interacción entre nuestros investigadores y nuestros clientes, sino que también estamos construyendo la automatización para decir "Hola, para hacer nuestros investigadores son más eficientes y efectivos en sus trabajos, automaticemos las cosas en las que no queremos que pasen tiempo ". ¿Derecho? Toda la fruta baja, dándoles más contexto del entorno en el que están caminando, y descubrimos que el emparejamiento de hombre y máquina funciona extremadamente bien y es muy poderoso en el espacio de seguridad cibernética.

Acabas de regresar de Black Hat no hace mucho, donde imaginaste muchas cosas aterradoras. ¿Hubo algo allí que te sorprendió?

Sabes, Defcon había un gran enfoque en los sistemas de votación, y creo que todos hemos visto mucha prensa al respecto. Creo que ver lo rápido que los piratas informáticos pueden tomar el control de uno de estos sistemas de votación dado el acceso físico es bastante aterrador. Realmente te hace cuestionar los resultados electorales anteriores. Al ver que no hay muchos sistemas que tengan rastros de papel, creo que es una propuesta bastante aterradora.

Pero más allá de eso, había mucho enfoque en la infraestructura crítica. Hubo una charla que se centró básicamente en piratear los sistemas de radiación que detectan la radiación en las centrales nucleares y en lo fácil que es entrar en esos sistemas. Quiero decir que eso da bastante miedo, y creo firmemente que nuestra infraestructura crítica está en un lugar bastante malo. Creo que la mayor parte está realmente comprometida hoy y hay una serie de implantes en toda nuestra infraestructura crítica que esperan ser apalancados en caso de que vayamos a la guerra con otro estado-nación.

Entonces, cuando dice "Nuestra infraestructura crítica está comprometida hoy", ¿quiere decir que hay código en las fábricas eléctricas, en las plantas de generación nuclear, en los parques eólicos que las potencias extranjeras colocaron allí y que podrían activarse en cualquier momento?

Si. Eso es exactamente correcto. No tengo nada necesariamente para respaldar eso arriba, pero solo dado mi conocimiento del estado de la ciberseguridad dentro de estas organizaciones de infraestructura crítica, no tengo dudas de que hay un porcentaje muy grande que son comprometido hoy, poniéndonos en una posición bastante aterradora en el futuro.

¿Podemos consolarnos con el hecho de que probablemente tengamos una influencia similar sobre nuestros adversarios y también tengamos nuestro código en su infraestructura crítica, de modo que al menos tal vez haya una destrucción mutuamente segura en la que podamos confiar?

Supongo que estamos haciendo cosas que son muy similares.

Bueno. Supongo que no puedes decir todo lo que puedas saber, pero me consuela saber que al menos la guerra se está librando. Obviamente no queremos que esto se intensifique de ninguna manera, pero al menos estamos luchando en ambos lados y probablemente deberíamos centrarnos más en la defensa.

Eso es correcto. Quiero decir, definitivamente deberíamos centrarnos más en la defensa, pero nuestras capacidades ofensivas son igual de importantes. Ya sabes, poder entender cómo nos atacan nuestros adversarios y cuáles son sus capacidades son requiere un enfoque ofensivo, y es por eso que la NSA hace lo que hace y las otras organizaciones de inteligencia tienen capacidades similares.

Entonces, quería preguntarte sobre un tema que ha estado en las noticias en último un par de meses, y ese es el papel de las empresas tecnológicas extranjeras. Su tecnología está integrada en nuestra infraestructura, en nuestras corporaciones, en nuestras agencias gubernamentales, y luego cada seis meses más o menos hay una historia que dice "Oh, no debemos confiar en la infraestructura de telecomunicaciones de Huawei". Últimamente Ha habido una historia que tal vez deberíamos mirar el software de seguridad de Kaspersky Labs porque han trabajado con los Servicios de Seguridad de Rusia. ¿Cuál es tu opinión sobre ese tipo de relaciones? ¿Son estas compañías independientes, o son armas de los estados desde donde operan?

Entonces, es difícil saberlo ¿verdad? Y creo que dado el hecho de que tenemos que cuestionar los lazos con estas organizaciones, debemos tener cuidado con la implementación, especialmente la implementación generalizada. Algo tan extendido como una solución antivirus como Kaspersky en todos nuestros sistemas, el gobierno está siendo cuidadoso, y dado que tenemos soluciones, soluciones locales, de la misma manera que intentamos construir nuestras cabezas nucleares y nuestros sistemas de defensa antimisiles en el EE. UU., Debemos aprovechar las soluciones que se están construyendo en los EE. UU. Algunas desde una perspectiva de ciberseguridad. Creo que eso es lo que en última instancia están tratando de hacer.

¿Cuál crees que es la cosa número uno que la mayoría de los consumidores hacen mal desde una perspectiva de seguridad?

A nivel del consumidor, es muy básico, ¿verdad? Creo que la mayoría de las personas no practican la higiene de seguridad. Ciclo de contraseñas, uso de contraseñas diferentes en diferentes sitios web, uso de herramientas de administración de contraseñas, autenticaciones de dos factores. No puedo decir cuántas personas hoy en día simplemente no lo usan, y me sorprende que los servicios que usan los consumidores no solo lo impongan. Creo que algunos de los bancos están comenzando a hacer eso, lo cual es genial de ver, pero aun así ver cómo las cuentas de las redes sociales se ven comprometidas porque las personas no tienen dos factores es algo loco para mí.

Entonces, hasta que pasemos la higiene básica de seguridad, no creo que podamos comenzar a hablar sobre algunas de las técnicas más avanzadas para protegerse.

Entonces, cuéntame un poco sobre tus prácticas de seguridad personal. ¿Usas un administrador de contraseñas?

Por supuesto. Por supuesto. yo suelo OnePassword , entonces básicamente Cada sitio web que visito y la cuenta que creo tiene una contraseña diferente, siempre con un mínimo de 16 caracteres. Cambio esas contraseñas regularmente y todas son autogeneradas. Yo uso VPN en redes desprotegidas. Nuestra empresa tiene una solución VPN, así que en cualquier momento Estoy en una red inalámbrica. No tengo miedo de usar la red inalámbrica siempre que esas conexiones pasen por un túnel seguro.

Los servicios VPN pueden ralentizar su conexión un poco, pero son relativamente fáciles de configurar y puede obtener uno por un par de dólares al mes.

Son muy fáciles de configurar y desea ir con un proveedor de confianza porque está enviando tráfico mediante ese proveedor Solo quiere asegurarse de que tengan una buena reputación y que pueda confiar en ellos con su tráfico.

Al mismo tiempo, solo haciendo cosas simples como actualizar mi sistema, cada vez que hay una actualización en mi móvil dispositivo, o mi computadora lo aprovecho. Quiero decir que hay una razón por la que están impulsando esa actualización, por lo que en realidad son solo lo básico. Y entonces por supuesto está monitoreando sus informes de crédito y sus tarjetas de crédito, y cualquier signo de actividad sospechosa que acaba de investigar.

No es tan loco. Realmente no es tan difícil mantenerse seguro como consumidor. No tiene que usar técnicas o soluciones muy avanzadas que existen. Solo piensa en el sentido común.

Creo que dos factores es un sistema que confunde a mucha gente e intimida a mucha gente. Piensan que tendrán que marcar su teléfono cada vez que inicien sesión en su cuenta de correo electrónico, y ese no es el caso. Solo tiene que hacerlo una vez, autoriza esa computadora portátil y, al hacerlo, otra persona no puede iniciar sesión en su cuenta desde cualquier otra computadora portátil, lo cual es una gran protección.

Absolutamente. Sí, por alguna razón asusta a mucha gente. Algunos de ellos están configurados donde puede que tenga que hacerlo cada 30 días más o menos, pero todavía no es tan engorroso como podría parecer y es una gran ventaja de seguridad para implementar. Definitivamente recomendaría poner dos factores en su lugar.

No ha estado en esta industria tanto tiempo, pero ¿puede compartir cómo ha visto el paisaje? cambio desde que empezaste? Cómo las amenazas cibernéticas tienen evolucionado en ese tiempo?

De hecho, he estado en la ciberseguridad y realmente me interesé por ello durante unos 15 años. Desde que tenía 13 años y dirigía una empresa de alojamiento web compartido. Hubo mucho enfoque en proteger los sitios web de nuestros clientes y la administración del servidor, y asegurarnos de que esos servidores estuvieran bloqueados. Miras cómo el conocimiento ha progresado al lado del atacante. Creo que la seguridad es una industria naciente por derecho propio, está en constante evolución y siempre hay una gran cantidad de nuevas soluciones y tecnología innovadoras. Creo que es emocionante ver el rápido ritmo de innovación en este espacio. Es emocionante ver a las empresas aprovechando más de las soluciones que se inclinan progresivamente, alejándose de los nombres de facto de los que todos hemos oído hablar, el Symantecs y el McAfees del mundo y avanzando hacia algunas de las nuevas empresas que existen, reconociendo que tienen que ser innovadores con su enfoque de ciberseguridad. Y si no lo están, los atacantes estarán un paso por delante de ellos.

Solía ​​ser que se trataba principalmente de virus y que necesitaría actualizar sus definiciones, y le pagaría a una compañía para administrar esa base de datos por usted, y siempre que lo haya hecho, estaba prácticamente a salvo del 90 por ciento de las amenazas. Pero las amenazas evolucionaron mucho más rápido hoy. Y hay un componente del mundo real en el que las personas se exponen porque reciben un ataque de phishing, responden y entregan sus credenciales. Así es como penetra su organización y eso es casi más un problema educativo que tecnológico.

Creo que la gran mayoría de los ataques que tienen éxito no son tan avanzados. El mínimo común denominador de la seguridad de cualquier organización. son la gente. Si las personas no están educadas para no hacer clic en un correo electrónico cuando parece sospechoso, entonces se acabó el juego. Es demasiado fácil en estos días, y hay muchas compañías que intentan atacar ese problema específicamente enfocado en el phishing. Además de todas las otras soluciones que están implementando para abordar las vulnerabilidades y las amenazas cibernéticas, primero tenemos que abordar el problema de las personas porque ahora lo estamos haciendo demasiado fácil.

Me encantaría ver investigaciones sobre cuántas amenazas se basan solo en el correo electrónico. Solo miles y miles de correos electrónicos y personas haciendo clic en cosas. Personas que crean un proceso y una serie de eventos que se descontrolan. Pero llega a través del correo electrónico porque el correo electrónico es tan fácil y ubicuo y la gente lo subestima.

Estamos empezando a ver que ahora pasa de ataques basados ​​en correo electrónico a ataques de phishing social y spear-phishing. Lo que da miedo al respecto es que existe una confianza inherente en las redes sociales. Si ve un enlace proveniente de un amigo de un amigo, o incluso la cuenta comprometida de un amigo, probablemente será más propenso a hacer clic en eso enlazar, o descargar un archivo y eso da miedo. También tienes la capacidad de llegar a un público mucho más amplio, ¿verdad? No está enviando correos electrónicos a personas, ahora puede publicar un tweet con un enlace que automáticamente llega a decenas de miles, millones de personas dependiendo de la cuenta en la que esté sentado. Es por eso que estas cuentas son cada vez más aterradoras y afectan a más personas que nunca.

Déjame preguntarte sobre la seguridad móvil. Al principio le dijimos a la gente que si tienes un dispositivo iOS probablemente no necesites antivirus, si tienes un dispositivo Android, tal vez quieras instalarlo. ¿Hemos progresado a un punto en el que necesitamos software de seguridad en cada teléfono?

Creo que realmente tenemos que confiar en la seguridad que está integrada en los propios dispositivos. Dado que Apple, por ejemplo, ha diseñado su sistema operativo para que todo esté bastante protegido, ¿verdad? Una aplicación no puede hacer mucho fuera de los límites de esa aplicación. Android está diseñado de manera un poco diferente, pero de lo que sí tenemos que darnos cuenta es que cuando damos a las aplicaciones acceso a cosas como nuestra ubicación, nuestra libreta de direcciones o cualquier otro dato que esté en ese teléfono, eso saldrá inmediatamente por la puerta. Y se actualiza constantemente, por lo que a medida que se mueve, su ubicación se envía nuevamente a la nube a quien sea el propietario de esta aplicación. Realmente debe pensar en "¿Confío en estas personas con mi información? ¿Confío en la seguridad de esta empresa?" Porque, en última instancia, si albergan su libreta de direcciones y sus datos confidenciales, si alguien los compromete, ahora tienen acceso a ella.

Y es acceso perpetuo.

Eso es correcto.

Debes pensar fuera de la caja. Solo porque está descargando un nuevo juego que se ve genial, si le solicitan su información de ubicación y su información de calendario, y tienen acceso completo al teléfono, confía en que tendrán todo ese acceso para siempre.

Eso es exactamente correcto. Creo que realmente necesitas pensar en "¿Por qué están pidiendo esto? ¿Realmente necesitan esto?" Y está bien decir "Denegar" y ver qué pasa. Tal vez no afectará nada y entonces realmente tienes que preguntarte "Bueno, ¿por qué realmente pidieron eso?"

Hay miles de aplicaciones que se crean solo para recopilar información personal, solo ofrecen un valor adicional para que pueda descargarla, pero el único propósito real es recopilar información sobre usted y controlar su teléfono.

En realidad, es un problema generalizado cuando ves estas entidades maliciosas creando aplicaciones que se parecen a otras aplicaciones. Tal vez pretenden ser su banco en línea cuando no lo son. En realidad, solo están phishing para sus credenciales, por lo que realmente debe tener cuidado. Obviamente Hay un proceso de diligencia por el que estas aplicaciones tienen que pasar antes de publicarse en la tienda de aplicaciones, pero no es infalible.

Quiero hacerte las preguntas que hago a todos los que vienen a este programa. ¿Existe una tendencia tecnológica particular que le preocupe más que mantiene estas despierto en la noche?

Realmente estábamos hablando de dispositivos móviles, y creo que la rápida adopción de dispositivos móviles y las transacciones de casi todos ocurren en dispositivos móviles en lugar de en un navegador web. Lo que me da miedo es la falta de diligencia de seguridad que ocurre desde la perspectiva de la empresa, las personas que están desarrollando estas aplicaciones. No están pensando en la seguridad en estas aplicaciones de la misma manera que lo están para sus redes corporativas y sus entornos de aplicaciones web, por lo que hay API que son susceptibles a ataques. Están almacenando contraseñas en el dispositivo, la criptografía a menudo se implementa incorrectamente. Eso me da miedo, saber que cada vez más personas realizan transacciones en estos dispositivos, sin embargo, las empresas que están desarrollando estas aplicaciones no están pensando en la seguridad de la misma manera que en todo lo demás. Creo que está mejorando, pero todavía no hemos llegado allí.

¿Existe una aplicación, o un servicio, o un gadget que usa todos los días que solo inspira asombro, que lo impresiona?

Buena pregunta. Soy un gran admirador del conjunto de herramientas de Google. Realmente interactúan y funcionan extremadamente bien y se integran bien juntos, así que soy un gran usuario de aplicaciones de Google. y no es solo porque Google es un inversor en nuestra empresa.

Hay un poco de Google en todas partes.

Hay un pequeño Google en todas partes.

Hay algo que decir por tomarse un momento y darles crédito por lo que han hecho. Realmente querían hacer que la información del mundo se pueda buscar y entender, y han hecho un buen trabajo al respecto.

En realidad, acabamos de recibir una nueva pizarra, pizarra digital en nuestra oficina, el Jamboard, y es uno de los dispositivos más geniales que he visto en mucho tiempo. Solo la capacidad de poner en blanco algo, guardarlo y traerlo de nuevo, o interactuar e interactuar con alguien en otro extremo, o cualquier persona en un iPad. Quiero decir que es simplemente increíble, y hablar de colaboración remotamente lo hace mucho más fácil.

Es emocionante ver esa progresión en la forma en que podemos trabajar juntos. No tenemos que tener personas ubicadas en el centro de una oficina, podemos traer malas ideas antiguas y creo que es genial.

Es un producto muy, muy bueno. Lo probamos en el laboratorio y tuvimos algunos problemas con parte del software, pero es primero Generacion. Acaba de salir como hace dos meses, y será la forma en que la gente se comunicará en las salas de conferencias durante los próximos años.

Totalmente de acuerdo.

Solo necesita un par de actualizaciones de software para que sea un poco más fácil.

Es un poco con errores, pero sigue siendo increíble.

¿Cómo pueden las personas ponerte al día, seguirte en línea y hacer un seguimiento de lo que estás haciendo?

Sí, estoy en Twitter @ JayKaplan. Nuestro blog en Synack.com/blog, también es un gran lugar para que escuches las últimas noticias sobre seguridad cibernética y lo que estamos haciendo como compañía, y tengo algunas publicaciones allí de vez en cuando. También estoy en LinkedIn, publicando allí de vez en cuando. Intento mantenerme tan activo en las redes sociales como puedo. No soy el mejor

Se tarda mucho tiempo.

En eso, pero lo estoy intentando.

Tienes un trabajo que hacer también.

Exactamente.