PolySwarm

This page is available in English.

このページは日本語でもご利用いただけます。

Meet with PolySwarm at Black Hat Asia

Learn More

FAQ

下記でお探しの内容が見つからない場合は、当社の Telegram にアクセスしてください。技術的な質問は、当社の Discord をご確認ください。

マーケットプレイス

If it takes 100-200 well financed hackers to build reputation over time and ultimately risk burning that reputation to hide some malware from a subset of ambassadors, I'd say we've won. That bar is far higher than today's status quo - this is a much more costly endeavor than what is required to evade AV today.

No system can be 100% perfect, including PolySwarm, but PolySwarm is far better than today's environment if such resources are required to pull off such an attack.

We have a multi-pronged approach, targeting enterprise, ambassador and security expert onboarding, respectively.

At a high level, we will foster a network effect, playing enterprise interest toward security experts (more bounties available) and then security expert interest toward ambassadors and enterprises (increasingly quality threat intelligence). This two-sided effect will naturally encourage uptake on the opposite side.

1. Sponsor PolySwarm integration into existing incident response (IR) and defensive toolkits.

PolySwarm will offer Nectar bounties (from Swarm Technologies, Inc’s holding) as reward for open source contributions to widely used IR, defense and forensics toolkits. Specifically, we will target open source projects like Facebook’s osquery, and The Sleuth Kit / Autopsy.

By making it trivial to use PolySwarm with these tools, PolySwarm seamlessly plugs into existing workflows. Some users will choose to leverage PolySwarm and any such leverage will help create a network effect.

2. Partnership with existing threat intelligence vendors, offering early Arbitership as incentive to plug into the network.

Existing threat intelligence companies will desire to become Arbiters in the PolySwarm ecosystem. PolySwarm will offer designated arbitership to chosen Arbiters to help bootstrap the network. This will be limited time offer, after which Arbiter must maintain high ecosystem throughput to maintain their status.

3. Hackathons, competitions and sponsorship directed toward information security expertise, with an emphasis toward markets that already participate heavily in vulnerability bug bounty programs.

This one is pretty self-explanatory. We will target information security conferences in Eastern Europe, Asia, Latin and South America in particular.

これについては、前の質問と回答で示唆しました。

上記の回答に加え、PolySwarm では、このネットワークで「swarm された」アーティファクトのコーパスを構築して、最初の参加者をオンボーディングするために、アーティファクトで Nectar 獲得報奨金制度を実施する予定です。セキュリティー専門家は、このベータ期間に悪意のあるアーティファクトを「swarm する」ことで、Nectar を受け取ることができます。評価者が決まるまで、悪意の判定は、アウトソーシングします。

Beyond this mass market approach, all of the founders and many of our friends and colleagues work in the Information Security industry. Many of them have custom malware analysis tools that they develop for their work or hobbies that could be reconfigured to work as microengines.

We speak with graduate and PhD students at conferences and events that have the technical skills to build and run microengines, but cannot get jobs at cyber security companies due to their nationality or choice of home location.

質の高いセキュリティー専門家は存在しているのです。当社では、そうした人たちに参加する手段を提供します。

PolySwarm will enable companies like Palo Alto to enhance their offerings by being able to solicit crowdsourced opinion on files they're unsure of. Today, they reach out to VirusTotal (and pay handsomely to do so). Tomorrow, with PolySwarm, they'll get access to a broader set of security expertise without a middle man (VirusTotal is owned by Google).

From the enterprise perspective, should Palo Alto plug into PolySwarm, the enterprise will see better detection rates. Palo Alto will save money and ideally those savings will be passed down to the customer. In the PolySwarm ecosystem, Palo Alto (PA) is an "Ambassador".

はい、もっと正確に言えば、脅威インデリジェンスのソーシング方法と不十分な (正確ではない) 脅威インテリジェンスの負担で優れた脅威インテリジェンスに報酬を与える方法を定義した一連のスマート・コントラクトです。

一部の大企業が (アンバサダーを利用せずに) マーケットプレイスに直接参加することを期待しており、大きな目標の 1 つは、アンバサダーの役割にできる限り簡単にアクセスできるようにすることです。今日、Palo Alto Networks のような会社を構築するには、資金調達ラウンド、マーケティング、人事などが必要になります。今後は、各アンバサダーのパフォーマンスに関連した生の統計と、このマーケットの自律的な性質を組み合わせることで、今日の市場には適合しないが、PolySwarm で輝けるさらに合理化された運用 (必要であれば、ミニ・アンバサダー) が可能になることを期待しています。

言い換えると、VirusTotal でベンダーとなれるのはわずかですが、PolySwarm では誰でもアンバサダーになれるのです。アンバサダーは、企業やエンド・ユーザーを顧客として引き付けるために、サービスの品質と評判を維持する必要があります。

In the PolySwarm marketplace, an Ambassador submits a request asking Security Experts to analyze a suspicious artifact, such as files, URLs, or network traffic. The requests submitted into the marketplace come in two forms.

The first is in the style of a Wild-West wanted poster, called a "Bounty", and is open to all Security Experts to respond. Think, "WANTED, Malicious? or Benign? The second is in the form of a direct "Offer", which is directed at a specific security expert. Think, "Mr Anderson, do you have time to take a look at this file? I’ll give you 0.15 NCT to tell me if it is Malicious or Benign."

Security Experts download their expertise into automated analysis tools, called "microengines". That will process an artifact if a) it supports it, and b) the Security Expert thinks the payment is worthwhile. All analysis results are provided to the Ambassador, then the Arbiters review results to determine which are correct. Finally, all Security Experts that provided correct results fast get paid in Nectar!

Excellent question (all of these are excellent questions)! If ground truth is wrong (Arbiters are wrong), this could be mean one of two things: (1) the Arbiter honestly got it incorrect, (2) the Arbiter is malicious.

For #1, PolySwarm will correct itself much like today's market corrects itself - one vendor detects WannaCry, publishes it, reaps marketing benefit, other vendors jump on the detection bandwagon. If they're more pointed about it, Vendor X calls out Vendor Y for failing to protect customers against a threat that Vendor X uniquely identifies. Again, the benefit here is a marketing coup. This process happens externally from the core market - it's a feedback loop driven by a natural desire to win customers. It's how it works today and how it'll work in PolySwarm.

For #2, this is more complex. I believe this is best addressed by maintaining a record of trustworthiness of participants / reputation. This is not something that will be built into the market, but one of those "secondary market" value-added services we expect to arise.

Additionally, a secondary market we think will spring up, namely insurance. We think some experts may want to pay a nominal fee per assertion to insure their assertion against arbiter failure. How that works probably varies so widely by jurisdiction that it’s hard to pin down. Of course, Commercial entities could be made to accept a terms of use that make this sort of liability moot.

アルヴィン・ロス氏著の『Who Gets What and Why』という優れた書籍があります。そこでは、臓器提供、公立校の抽選、研修のための医師の選出方法などのあらゆる物事に対する市場設計について説明されています。専門家に報酬を提供でき、かつ私たちが求めていること (脅威の検出) を行うように専門家を動機付ける最適な手段は、報奨金とオファーであると考えました。

報奨金については、具体的には、予測市場の概念に基づいています。複数のセキュリティー専門家がファイルの悪意性を調べるようにするが、調べるたびに報酬量が縮小しないような手段が必要でした。従って、ダンジョン・アンド・ドラゴンのように思われる場合は、市場設計とゲーム理論のせいです。これが理由で、エコノミストを雇用しました。このエコノミストは、マーケットプレイスのパフォーマンスを監視して、マーケットが厚み (関心を引くのに十分なトランザクション量) と参加者の安全の両面を確保できるように報奨金の金額、手数料、その他の設定を推奨しました。

Test-net is in private invite only mode right now, we plan to open up to public submissions after we finish this private testing/tuning with our initial engine and microengine providers.

セキュリティー業界

エンド・ユーザーは、より価値の高いサービスが公開されるため、PolySwarm からメリットを享受することになります。ほとんどのエンド・ユーザーは PolySwarm ネットワークと直接やり取りすることはないと考えています。直接のやり取りは、アンバサダーが果たす役割です。

PolySwarm のアンバサダーは、今日のよく知られている既存のウィルス対策会社 (AVAST など) と、PolySwarm の経済モデルで可能になった新しい会社です。

新しい会社が PolySwarm ネットワークに直接関与するアンバサダーの役割を果たすことを期待しています。このような新しい会社は、エンド・ユーザーからサブスクリプション料金を徴収する代わりに PolySwarm ネットワークに簡便にリンクできるようにし、ユーザー顧客のために報奨金やオファーを処理します。この新しいタイプの会社は、現在存在しているモノリシックなオファリングと比較してほぼ確実に低コストになります。これが還元されて、エンド・ユーザーに対する価値が増大すると考えています。

要約すると、ほとんどのエンド・ユーザーは、引き続き、サブスクリプション・ベースのサービスと契約しますが、PolySwarm のクラウドソーシングを活用した分散型設計で実現する効率性のため、より安い費用でより優れた保護を受けられるようになります。

異なるマーケットであり、当社では Hacken の成功を祈っております。Hacken は、企業のサイトとソフトウェアに対してバグ (脆弱性) 報奨金を分散化しており、基本的に、セキュリティー専門家は固有の対象に対して手動で分析を実行しています。

バグ報奨金マーケットについてはよく知っています。平均取引価額は報奨金当たり 400 から 500 米ドルです。Hacken のマーケットでは、報奨金が与えられるのかどうかを評価するために手作業で確認する必要があります。恐らく、1 年間に千単位の取引数になるでしょう。

Conversely, PolySwarm deals with the sort of threat intelligence that can be *automated*, such as anti-virus. Anti-virus companies, worldwide, see billions of samples a day and probably 10’s of millions are unique. Transaction value ranges 0.0025-0.015 USD per file/url/artifact scan. All microengines and the vast majority of ground truth determination in PolySwarm will be automated.

小さなバイナリーの手動での確認には、1 日から 2 日かかります。大規模アプリケーションの場合、何日、さらには何週間もかかります。

過去 20 年、脅威検出では同じ経済モデルが利用されてきました。つまり、一元化して小規模な開発者チームを地域で雇用し、会社が安定すると研究開発の優先順位を下げて現在の脅威に対処するというモデルです。

シグネチャー・ベースのウィルス対策会社は、一般的な「既知の」マルウェアを解決しようとしますが、新しい脅威は検出できない傾向にあります。単一ベンダー・ソリューションの市場では、複数のベンダーで重複した作業に報酬が支払われ、専門検出機能への投資が妨げられ、相互に互換性のないソフトウェア・パッケージによるベンダー・ロックインが促進されます。

このような会社は、広く使用されているソフトウェアに対する脅威の追求に対して報酬を与えるように構造化されています。大規模な顧客基盤を維持するために大きな脅威を追い求めるように金銭的に動機付けられています。また、広まった脆弱性は確かに懸念事項ですが、個人としては、小さな日常的な脅威にさらされることの方がはるかに多くなっています。

セキュリティー専門家のパフォーマンスは、最新の状況に対応するように動機付けられた競争環境の方が高いという持論があります。これが、当社で埋めようとしているギャップです。ユーザーを保護することで継続的に利益を上げられるようにします。

PolySwarm は、イーサリアム・スマート・コントラクトとブロックチェーンによって実現される、分散型のウィルス対策およびサイバー脅威インテリジェンス・マーケットです。

PolySwarm brings enterprises, consumers, vendors and geographically-diverse security experts together into a single marketplace for more complete cyber threat detection. Experts craft and maintain competing software "microengines" that quickly identify the latest threats, attempting to outperform their competition. The combined protection of thousands of microengines allows for broader, faster coverage and more efficient threat intelligence.

(最高経営者のバッシ) 私は、カリフォルニア州の小さな農業の町で育ちました。11 歳の頃、ある会社のコンピューターに侵入して捕まりましたが、何人かの IT 専門家が私を保護し、高校を卒業するまで夏休みに仕事をさせてくれました。これが、私がセキュリティー業界に関わりはじめたきっかけです。そこから、私はチームとともに Narf Industries を立ち上げ、DARPA から民間に至るあらゆるお客様を対象に多くの素晴らしいプロジェクトに携わってきました。私たちは、多数のハッキング・コンテスト (Defcon の CTF など) にも参加しました。

PolySwarm は、Narf での仕事中に感じた失望から誕生しました。サイバー脅威の検出と緩和に対して範囲は狭いが深く適用できる素晴らしいツールを開発していましたが、企業が直面している実際の問題に対処する機会を創出する手段がありませんでした。そのため、PolySwarm を作成しました。私たちのようにユーザーを保護できるツールを持っている他の小規模なセキュリティー会社が存在していることも分かっていました。また、単一のインターフェースでこのようなすべてのツールにアクセスできる優れた手段もありませんでした。それが PolySwarm が誕生した一因でもあります。PolySwarm は、最高のセキュリティーの専門知識を集めて作り上げた大きな 1 つの傘となります。

新しい脅威に対するユーザーの保護を改善するためにソリューションを最新状態に保つようにセキュリティー専門家を常に動機付けるという経済学の問題です。この問題が重要なのは、さまざまな観点から防御の補償と警戒を増大させることで、攻撃者のコストが最終的に増大するためです。

ブロックチェーン

現在、セキュリティー専門家を参加させる負荷テストを開発しています。セキュリティー専門家は、PolySwarm と疑わしいファイルをリンクすることと引き換えに Nectar を受け取ることができます。この疑わしいファイルは、イーサリアム testnet で報奨金として提示され、スマート・コントラクトをテストすることになります。ファイルは、(セキュリティー専門家を模して) 当社でスキャンします。スキャンは ClamAV (オープン・ソースのウィルス対策) で行われます。固有のサンプルを提示する (そして、負荷テストを手伝う) ことで、専門家は報酬を得ます。1 日に最大 1 サンプルで、PolySwarm の Telegram チャネルで発表される特定のマルウェア系統に対してボーナスが用意されています。PolySwarm はセキュリティー専門家を対象にしていますが、Crypto Kitties は一般大衆を対象としています。当社で構築しているものは、関心が限定されています。さらに、PolySwarm では、スパム試行を防ぐために手数料が組み込まれています。

複数の理由がありますが、もっとも重要なのは、トークンにより、米ドルと ETH の為替レートの急激な変動からこのエコシステムを分離できることです。より望ましい為替レートになるまでセキュリティー専門家が専門知識を出すのを控えた場合、残念な結果になります。独自のトークンを用意することで、トークンのユーティリティーは、PolySwarm ネットワークで提供される脅威インテリジェンスのユーティリティーと密接に関係することになるため、米ドルと ETH の為替レートとは関係なく、専門知識が迷わず提供されるようになります。

Nectar は、PolySwarm のトークンです。このトークンにより、企業やユーザーは、セキュリティー専門家から脅威検出サービスを受けることができます。これは、基本的に、このマーケットプレイス内のすべての取引で通貨として使用されます。

ブロックチェーン技術 (分散型の追記専用の台帳) により、分散型コンピューティング・プラットフォームのドアが開かれました。イーサリアムは、そのようなプラットフォームの 1 つです。このプラットフォームにより、誰でもスマート・コントラクトを作成し、分散して最低限の信頼レベルでそのスマート・コントラクトを実行できます。当社では、スマート・コントラクトを使用して、「交通規則」(マーケットの参加者がやり取りする方法、報酬が与えられる行動の種類、報酬の配分方法など) をインテリジェントに設計 (文字通り、プログラム) しています。イーサリアムは、プログラムされたインテリジェントなマーケット・デザインの基盤となります。これは、わずか 4 年前には不可能でした。PolySwarm は、PolySwarm チームが精通している脅威インテリジェンス分野にこのプリミティブを応用したものです。PolySwarm は、より優れたインセンティブを提供します。そのため、クラウドソーシングを活用したグローバルなセキュリティー専門家のコミュニティーが互いに競い合って、企業やエンド・ユーザーを最善の形で保護するようになります。経済的な構造が誰でも確認できるように定義されています。

Nectar は、イーサ (ETH) の価値やイーサで取引するアプリケーションのパフォーマンスなどの外部市場の原理から PolySwarm を分離するのに役立ちます。Nectar ベースの分離により、PolySwarm マーケットの動作の一貫性が増すため、参加者による取引の信頼性を高め、PolySwarm マーケットを害するよこしまな動機を抑止できます。

輻輳の問題に対処するいくつかの戦略を策定しています。まず、報奨金では、アーティファクトの「バッチ処理」がサポートされます。「バッチ処理」とは、アンバサダーが例えば 256 個のサンプルをまとめて 1 つの報奨金として提示でき、個別の報奨金のオーバーヘッドが生じないということを意味します。同様に、アサーションもバッチ処理できます。次に、オファーのメカニズムでは、Raiden マイクロチャネルを使用して、チェーン外で取引し、定期的に決済します。最後に、イーサリアムの Plasma と Casper の拡張性の改善に期待しています。これらがうまくいけば、問題はありません。うまくいかなかった場合は、報奨金とオファーの独自の設計にマークル・ハッシュ・ツリーを採用することを検討し、また QTUM や EOS などの代替ブロックチェーンも検討します。残念なことに、ここで述べた以外のブロックチェーンは、まだ十分に成熟していません。

お探しの内容が見つかりませんか?

お探しの内容が見つからない場合は、当社の Telegram にアクセスしてください。技術的な質問は、当社の Discord をご確認ください。