Видео: Verizon's Millenial Push (Ноември 2024)
В този епизод на Бързо напред приветствам Джош Шварц, ръководител на вътрешния червен екип на Verizon Media. Това означава, че той прекарва дните си, опитвайки се да проникне в най-ценните и надеждни системи на работодателя си, в идеалния случай, преди някой, който не е на ведомостта, да направи същото.
Дан Коста: Мисля, че хората имат неясна представа какво представляват червените отбори; виждали са ги във филми. Толкова забавно и вълнуващо ли е, колкото изглежда по телевизията?
Джош Шварц: Искам само, нали? Това е отговорността да нахлуеш, да стигнеш до места. Разбира се, това е доста вълнуващо, но очевидно във филмите виждате всичко да се случва мигновено, а в действителност това не е така. Това отнема много работа… не е просто да тичате около причиняването на шеги.
Всъщност се опитва да повлияе на промените в една организация, опитва се да помогне да се информира организацията за „Какво всъщност правят лошите?“ Тази роля на участието във вътрешния червен отбор е, въпреки че все още е вълнуващо, все още трябва да ходя на срещи, все още трябва да си поставям цели, такива неща.
Дан Коста: Кои са хората в този екип? Представям си, че има много програмисти, но си представям, че не се ограничава само до програмистите.
Джош Шварц: Разнообразието от набор от умения в екипа е нещо, което ако нямаме, нямаме тази възможност. Има погрешно схващане много често поради това, което виждате във филмите, е, има един хакер и той може да реши всеки технологичен проблем.
Дан Коста: И там е автомобилът, специалистът по оръжия.
Джош Шварц: В действителност аз изграждам екип, така че всеки човек да е експерт по нещо. Този човек е човекът, който знае как да прави физическо нахлуване, а някой друг е експерт по криптография, а някой друг е експерт в социалния инженеринг. Това, че всеки човек е експерт, означава, че можем да се облегнем един на друг, за да… ефективно да решим всеки тип проблем.
Дан Коста: И така, как изглежда ден в офиса? Какви видове неща тествате?
Джош Шварц: Да си хакер е просто вид да си някой, който обича да разделя системи, нали? Това е причината да не сме по своята същност престъпници само като сме хакер.
И така, в един ден в офиса си поставяме цели въз основа на резултатите, като най-лошите сценарии, които искаме да видим. Какви са стъпките да преминем от нищо към постигане на тази цел, която наистина е лоша за компанията? Оттам можем да образуваме нещо, наречено „верига за убийство“. Един ден в офиса измисляме как да направим тази верига. Тогава мислим за различните места, където бихме могли да прекъснем тази верига. Оттам се срещаме със заинтересованите страни, казваме им как биха го направили нападателите и предлагаме една малка промяна, която можете да направите, за да помогнете да поправите това.
Дан Коста: Кои са векторите, които ви вълнуват най-много? Знам, че все още получавам имейли от ИТ, които казват на хората да не кликват върху връзки, прикачени в имейли или прикачени файлове в имейла. Къде виждате уязвимостите, които все още са там?
Джош Шварц: Ако кликвате върху връзки и изтегляте прикачени файлове, пускайте ги на компютъра си въпреки многото предупреждения, това е проблем. Но ние сме се развили в нова ера, в която сега е достъп до информация, която съществува в облака и на различни места. Ако разрешавате достъп до някой друг, това също е проблем.
Това в крайна сметка е по-проблематично от нещо, което работи на вашия компютър, защото вече има много защити. Сега имаме информация, която плава навсякъде и имате агенция, която да я контролира. Имате агенция, която да предоставя достъп до други неща до нея, това е начинът, по който интернет работи сега. Нападателите, включително и ние, се насочиха към подобни неща малко повече.
Дан Коста: Доста изключителен е дори да гледам собствения си диск в Google и колко файлове имам достъп до него, всъщност не бива. Представям си, че е много по-лошо в компании, които не са толкова технологично усъвършенствани като Ziff Davis и PCMag. Това не са само файлове, работещи със злонамерен софтуер, но може да са корпоративни документи или финансови документи, които просто наистина не искате вашите конкуренти да имат или крайни потребители или престъпници.
Джош Шварц: По принцип сигурността е тази цялостна система. Не става въпрос за „Има ли грешка в системата, в която аз ще хвърля някаква експлоатация и тя ще избухне“ или нещо подобно. Това вече не работи така. Това са взаимосвързани системи, хора, бизнес процеси, технологията, която ги поддържа, как се чувстваме за това, политика - всичко заедно… е сигурността.
И сигурността, често, е просто вид на това, как се чувствате. Как се чувствате по отношение на данните и информацията? Какви стъпки можете да предприемете, за да го защитите? Ако чувствате силно за това и усилията, които влагате са по-малко от усилията на силите около вас, които се опитват да го постигнат, значи сте несигурни. Но ако чувствате, че влагате достатъчно усилия и нищо лошо не се случва, тогава се чувствате сигурни. Но за сигурност няма превключвател за включване / изключване.
Дан Коста: Нека поговорим малко за естеството на тези заплахи. Струва ми се, че има няколко кофи, за които хората се притесняват. Хакването беше игриво нещо, което хората направиха, за да получат достъп до вашия компютър или да го сринат. Тогава престъпниците измислили как да печелят пари, използвайки тези различни техники. Но има и държавни участници и дори частни компании, които имат огромни количества данни за хората. Къде смятате, че най-големите невиждани заплахи са в пространството за сигурност?
Джош Шварц: Да разберем къде е най-голямата заплаха е да разбереш кой си. Най-голямата заплаха за вас вероятно не е най-голямата заплаха за мен, която не е най-голямата заплаха за някоя компания някъде. Това е нещо като моделиране на заплахите, нали? Вие не просто изберете най-голямата заплаха и ги насочите към тях. Ти си мислиш: "Какво имам? Кой може да го иска? Какво трябва да правя по въпроса?" И опитайте да предприемете действия, за да смекчите нещата, които не искате да се случват.
Просто опитът да се насочи към тази нация е най-голямата заплаха или тази компания е най-голямата заплаха е нещо, което ни вкарва в малко капан, в който започваме да изграждаме модел на заплаха за всичко. И докато сме толкова съсредоточени върху това едно малко нещо, светът около нас се променя и тогава ние се заслепяваме някъде по линията.
Дан Коста: Много компании са имали големи нарушения на данните и повечето от тях се дължат на слаба сигурност или просто лоши навици. Еквифакс допира милиони американци, но всъщност няма последствия. Те ще платят глоба, но всички техни ръководители получиха бонуси. Мислите ли, че трябва да има някаква промяна по отношение на отчетността?
Джош Шварц: Ами аз съм човек, който се вмъква в компютрите, а не в създателя на обществени политики, така че всъщност не знам. Може би това ще промени нещата. Вероятно би имало промени, но на своето фундаментално ниво, мислейки, че една промяна някъде променя всичко и че вече няма проблеми, мисля, че е малко късоглед.
Става въпрос за това как всичко работи заедно. Това е, как се грижим за него като публика, как бизнесът се грижи за него. Това е едно парче от него, но не е цялото решение, разбира се. И мисля, че едно от големите неща, от които се нуждаем като практикуващи технологии или потребители на технологии, е, че сигурността не е нечия работа в кула от слонова кост, за да завърти правилния превключвател и да направи всичко перфектно. Колкото по-малки промени в поведението, които можем да предприемем, за да направим всичко малко по-сигурно… за всички.
Дан Коста: Какви са вашите лични навици за сигурност? Използвате ли VPN? Използвате ли откриване на търговски злонамерен софтуер извън търговската мрежа?
Джош Шварц: Връща се към модела на заплаха, нали? Зависи какво правя по това време. VPN ви защитава от някои неща, но свързването с VPN не ви защитава от вируси. Свързването към VPN съществено се променя там, където сте по света, а понякога това може да бъде полезно, ако имате нужда.
Той поставя трафика ви в малък тунел и този тунел ви отвежда някъде другаде и трафикът излиза на друго място. VPN е полезен, ако сте малко опасни или не искате някой да знае къде се намирате. Идеята, че съм свързан с VPN и сега съм в безопасност в интернет, не е толкова вярна.
За мен лично мисля, че най-голямото нещо са мениджърите на пароли. Те са малко ново нещо, но ако повече хора, те биха били на много по-добро място. Имало е всички тези нарушения, нали? Ти си доста запознат с тях. Така че, като обиден противник, те не са частни. Всичко, което изтече, е там в интернет. Можем да излекуваме голям списък с всичко и да потърсим пароли и да видим какви пароли сте използвали преди.
След това, ако се опитвам да получа достъп до нещо, което имате, ако мога да намеря паролата, която сте използвали преди, знам малко за вас и мога да взема тази информация и да опитам и да я използвам повторно или да опитам и да предположа каква е вашата следващата парола може да бъде. Използването на мениджър на пароли и правенето на всяка парола супер уникална за всеки сайт, който посещавате, всъщност е нещо, което е добро и отнема натоварване от човешкия мозък. Наистина трябва да го защитите само на едно място, което прави сигурността много по-проста.
Дан Коста: Ние сме големи фенове на мениджърите на пароли в PCMag, използвам LastPass от близо 10 години. След като преодолеете този скок на това, че всъщност не знаете паролите си, това е такова облекчение. Това също ми напомня, че някак забравихме за нарушението на Yahoo, което изтече много потребителски имена и пароли. Беше преди години и никой наистина не се интересуваше от Yahoo вече, но стойността на този хак и стойността на киберпрестъпниците е, че много хора все още използват онези пароли, които са използвали в Yahoo преди 10 години. И можете да потърсите какви са всички тези пароли е това, което казвате.
Джош Шварц: Това се свежда до човешкото поведение. Това се свежда до факта, че имате навици като човек и като нападател. Това често искам да използвам. Това не е технологията. Технологията ще продължи да се подобрява и ще продължи да повишава сигурността и да става по-сигурна, защото имаме тази нужда от нея, която движи бизнеса напред.
Но човешкото поведение е нещо, което е наша отговорност да променим. И ако не променяме навиците си и правим себе си по-сигурни, няма технология, която да ни предпази от нищо.
Дан Коста: Има ли други навици, различни от мениджъра на пароли, които смятате, че потребителите ще трябва да възприемат, особено след като навлизаме в ерата на Интернет на нещата и всичко е много по-свързано?
Джош Шварц: Ако се замислите, това вече не е само вашият компютър. Това са устройства навсякъде и определени навици. Може би смятате, че телефонът ви не е толкова важен, но паролата, която сте поставили по телефона, е вашата парола там. Телефонът има достъп до много от същите неща, до които компютърът ви може да има достъп. Помислете за всичко, до което се докоснете, което взаимодейства с всички данни, които бихте искали да защитите, и се уверете, че се отнасяте с него също толкова чувствително, като към вашия лаптоп или вашия работен плот или компютъра на работа.
Дан Коста: Имах няколко души в RSA миналата седмица и те интервюираха служител на NSA, който каза: „Независимо от криптирането на телефона, те имат достъп до телефони, тъй като повечето хора все още не заключват телефоните си“. Има много хора, които изобщо не заключват телефоните си и не се нуждаят от криптиране, за да го счупят. Това е просто чисто поведение на потребителя.
Джош Шварц: Или всички нули на паролата или всички такива или нещо подобно. Винаги има тази идея, че с напредването на технологиите и с паролата ви стават повече неща като пръстов отпечатък или лице или нещо подобно, винаги ще има някаква атака и някакъв начин около нея. Просто трябва да те намеря и да насоча телефона ти към лицето си или трябва да отрежа пръста ти и да го сложа на телефона си.
Дан Коста: Вижда се и в много филми.
Джош Шварц: Да, но ние не правим това в наши дни, което е добре.
Дан Коста: Наистина бързо ви изчерпват членовете на екипа.
Джош Шварц: И пръстите му правят трудно да се пише.
Дан Коста: Те могат да работят по 10 проекта и тогава, това е краят на това. И така, кажете ми по отношение на това, което правите, какъв е балансът между социалния инженеринг и техническото хакване? И това микс ли се променя с времето?
Джош Шварц: Социалният инженеринг винаги е бил моят хляб и масло. Това е пътят на най-малко съпротива много често. Бих казал, че е смесица. Голяма част е реконструирана, опитва се да разбере какво наистина съществува там, но е интересно. Социалният инженерен аспект не е само в обидния свят. Ако се замислите как съществува вътрешен червен екип във фирмата… ние правим част от техническото хакване и използваме социално инженерство, физическо и всичко комбинирано, за да опитаме и изпълним тази верига за убийство, да изпълним мисията.
Но след това, ако се замислите какво се опитва да прави сигурността, ние се опитваме да социални инженери всички в мащаб да имат по-добри навици за по-доброто. Много пъти, това е разказването на историята на това, което направихме и възпитахме хората в… компанията "ето как работи, ето какво можете да направите, за да бъдете по-добри." Това е социалното инженерство. Така че наистина голямата част от работата е социалното инженерство, защото това е да накараме хората да се грижат за сигурността по правилните начини, да направят правилния избор, дано да се грижат за правилните неща.
Дан Коста: Представям си, че когато хората получават имейли от вас, че не искат да отговарят. Ако питате за нещо, не мисля, че първият отговор е „не“.
Джош Шварц: Червените отбори преминаха през малко метаморфоза през последното десетилетие. Започвате от това място, където сте изключително съпернически, изключително обидни, опитвате се да биете по барабана и да уведомите всички, че сигурността е важна и в онези дни хората ви виждат като противник, защото е, това е ваша работа.
Аз лично съм имал преживявания, когато влизам в асансьора и хората са като: "О, не искам да отида на етажа си, защото Red Team е тук", и аз съм като: "Не съм истински лош човек. " Това се променя с времето, защото в крайна сметка наистина всички работим за една и съща цел: защита на информацията, защита на нашите потребители. И тъй като ние работим заедно и докато споделяме информация за това, което сме направили като противници, този вид предпазители и те ни разглеждат като съюзник и приятел, но отнема известно време да стигнем до там. Но виждам тенденция в правилната посока, така че това е добре.
Дан Коста: Страхотно. Ще ви задам няколко въпроса, които задавам на всеки, който идва в шоуто. Има ли технологична тенденция, която ви засяга, нещо, което ви поддържа през нощта?
Джош Шварц: Това ме поддържа през нощта? Може би повсеместността и комфортът, които получаваме с цялата технология около нас. Не чак толкова… всъщност истинският отговор е, че нищо не ме поддържа през нощта.
Дан Коста: Спите добре.
Джош Шварц: Виждам най-лошите неща и се свежда до риск от приемане там, където съм такъв: „Добре, знам какъв е светът, знам какво е възможно и ще се оправя с него“. Знам, че технологията ще навлиза навсякъде в живота ми и ще направя избора да бъда добре с нея, но ще оперирам по начин, който разбирам това и спя като бебе.
- Най-добрите безплатни мениджъри на пароли за 2019 г. Най-добрите безплатни мениджъри на пароли за 2019 г.
- Как да разберете дали паролата ви е открадната Как да разберете дали вашата парола е открадната
- Facebook съхранява до 600M потребителски пароли в обикновен текст Facebook съхранява до 600 милиона потребителски пароли в обикновен текст
Дан Коста: Добре, има ли технология, която използвате всеки ден, или инструмент или услуга, които вдъхновяват чудото?
Джош Шварц: Е, това не е мобилният ми телефон, но честно казано има много неща, които се случват и предстоят, за които се чудя и най-вече се чувствам нетърпелив. Иска ми се да стигнат тук по-бързо. Вълнува ме бъдещето на AI, бъдещето на машинното обучение и нещата, които, надяваме се, ще ни дадат по-свързан свят. Най-вече просто го чакам. Но нищо наистина не ме изненадва твърде много, мисля.
Дан Коста: И така, как хората могат да следват това, което правите, какво можете да казвате на хората публично, как могат да ви намерят онлайн?
Джош Schwartz: Минавам покрай FuzzyNop, така че хората да ме намерят там навсякъде.