Video: Анас Аремеяау Анас: Как я называл, изобличал и сажал (Oktober 2024)
I denne episode af Fast Forward byder jeg Josh Schwartz, leder af Verizon Medias interne røde team, velkommen. Det betyder, at han bruger sine dage på at prøve at hacke ind i sin arbejdsgivers mest værdifulde og pålidelige systemer, ideelt før nogen, der ikke er på lønningslisten, gør det samme.
Dan Costa: Jeg tror, folk har en vag idé om, hvad røde hold er; de har set dem i film. Er det så sjovt og spændende, som det ser ud på tv?
Josh Schwartz: Jeg ønsker kun, ikke? Det har ansvaret for at bryde ind, komme til steder. Selvfølgelig er det ret spændende, men i filmene ser man selvfølgelig alt foregår øjeblikkeligt, og i virkeligheden gør det det ikke. Det kræver en masse arbejde… det løber ikke bare rundt og forårsager slynger.
Det prøver faktisk at påvirke forandringer i en organisation, forsøger at hjælpe med at informere organisationen om 'Hvad gør de onde virkelig?' Denne rolle ved at være i det interne røde hold er, selvom det stadig er spændende, jeg er stadig nødt til at gå til møder, stadig nødt til at opstille mål, ting som det.
Dan Costa: Hvem er personer på dette hold? Jeg kan forestille mig, at der er mange programmerere, men jeg kan forestille mig, at det ikke kun er begrænset til programmerere.
Josh Schwartz: Mangfoldigheden af skillet i teamet er noget, som hvis vi ikke har det, vi ikke har den evne. Der er ofte en misforståelse på grund af, hvad du ser i filmene, er, der er en hacker fyr, og han kan løse ethvert teknologisk problem.
Dan Costa: Og der er bil fyren, våben specialist.
Josh Schwartz: I virkeligheden bygger jeg et team, så hver person er en ekspert på noget. Denne fyr er den fyr, der ved, hvordan man gør fysisk indtrængen, og en anden er en ekspert på kryptografi, og en anden er en ekspert på social engineering. At have hver person til at være ekspert betyder, at vi kan læne os på hinanden for effektivt… at løse enhver problemtype hold.
Dan Costa: Så hvordan ser en dag på kontoret ud? Hvilke typer ting tester du?
Josh Schwartz: At være en hacker er bare en slags at være en der kan lide at adskille systemer fra hinanden, ikke? Det er grunden til, at vi ikke i sagens natur er kriminelle bare ved at være en hacker.
Så på en dag på kontoret sætter vi mål baseret på resultater, som ligesom worst-case scenarier, som vi ønsker at se. Hvad er trinene for os til at gå fra intet til at nå dette mål, der virkelig er dårligt for virksomheden? Derfra kan vi danne noget, der kaldes en "dræbkæde." En dag på kontoret er at finde ud af, hvordan man får den kæde til at ske. Derefter tænker vi på de forskellige steder, hvor vi kunne bryde den kæde. Derfra mødes vi med interessenter, fortæller dem, hvordan angriberne ville gøre det, og tilbyder en lille ændring, du kan gøre for at hjælpe med at løse det.
Dan Costa: Hvad er de vektorer, du er mest bekymret for? Jeg ved, at jeg stadig modtager e-mails fra IT, der beder folk om ikke at klikke på link, der er knyttet i e-mails eller vedhæftede e-mails. Hvor ser du de sårbarheder, der stadig er derude?
Josh Schwartz: Hvis du klikker på links og downloader vedhæftede filer, kører dem på din computer på trods af de mange advarsler, er det et problem. Men vi har udviklet sig til en ny æra, hvor det nu er adgang til information, der findes i skyen og forskellige steder. Hvis du autoriserer adgang til en anden, er det også et problem.
Det ender med at blive mere problematisk end noget, der kører på din computer, fordi der allerede er en masse beskyttelse omkring det. Nu har vi oplysninger, der flyder derude overalt, og du har agentur til at kontrollere det. Du har agentur til at give andre ting adgang til det, det er slags, hvordan Internettet fungerer nu. Angribere, også os, er skiftet mod sådanne ting lidt mere.
Dan Costa: Det er temmelig ekstraordinært, selv når jeg ser på mit eget Google Drive, og hvor mange filer jeg har adgang til, som jeg virkelig ikke burde. Jeg kan forestille mig, at det er meget værre i virksomheder, der ikke er så teknologisk sofistikerede som Ziff Davis og PCMag. Det er ikke kun filer, der kører malware, men det kan være virksomhedsdokumenter eller økonomiske dokumenter, som du bare ikke ønsker, at dine konkurrenter skal have eller slutbrugere eller kriminelle.
Josh Schwartz: Sikkerhed generelt er det dette holistiske system. Det handler ikke om 'Er der en fejl i systemet, hvor jeg vil kaste noget udbytte mod det, og det vil eksplodere' eller noget i den retning. Det fungerer ikke sådan mere. Det er sammenkoblede systemer, mennesker, forretningsprocesser, teknologien, der understøtter dem, hvordan vi føler om det, politik - alt sammen… er sikkerhed.
Og sikkerhed er ofte bare sådan, hvordan du har det. Hvordan har du det med dataene og informationen? Hvilke skridt kan du tage for at beskytte det? Hvis du føler dig stærk over det, og den indsats, du lægger på, er mindre end indsatsen fra kræfterne omkring dig, der prøver på at få det, er du usikker. Men hvis du har lyst til at lægge nok indsats og intet dårligt sker, så føler du dig tryg. Men der er ingen on / off switch for sikkerhed.
Dan Costa: Lad os tale lidt om karakteren af disse trusler. Det ser ud til, at der er et par spande, som folk bekymrer sig om. Hacking plejede at være en legende ting, som folk gjorde for at få adgang til din computer eller ødelægge din computer. Derefter regnede kriminelle ud med, hvordan man tjene penge ved hjælp af disse forskellige teknikker. Men der er også statlige aktører og endda private virksomheder, der har enorme mængder data om mennesker. Hvor tror du, at de største usete trusler er i sikkerhedsrummet?
Josh Schwartz: At finde ud af, hvor den største trussel er, ender med at regne ud, hvem du er. Den største trussel mod dig er sandsynligvis ikke den største trussel mod mig, hvilket ikke er den største trussel mod noget firma et eller andet sted. Det handler slags om truselmodellering, ikke? Du vælger ikke bare en største trussel og peger på dem. Du tænker, "Hvad er det, jeg har? Hvem vil måske have det? Hvad skal jeg gøre ved det?" Og prøv at tage handlinger for at afbøde de ting, du ikke ønsker at ske.
Bare det at prøve at pege på denne nation er den største trussel, eller dette selskab er den største trussel, er noget, der får os til en lille smule af en fælde, hvor vi begynder at opbygge en trusselmodel, der handler om ting. Og mens vi er så fokuserede på denne ene lille ting, ændres verden omkring os, og derefter bliver vi blændede et sted ned ad linjen.
Dan Costa: Mange virksomheder har haft enorme dataovertrædelser, og de fleste af dem skyldes slap sikkerhed eller bare dårlige vaner. Equifax doxede millioner af amerikanere, men der var virkelig ingen konsekvenser. De betaler en bøde, men alle deres ledere fik bonusser. Tror du, at der skal ske en form for ændring med hensyn til ansvarlighed?
Josh Schwartz: Jeg er en fyr, der bryder ind i computere, ikke en offentlig beslutningstager, så jeg ved ikke rigtig. Måske ville det ændre ting. Der ville sandsynligvis være ændringer, men på det grundlæggende niveau ved at tænke på, at en ændring et sted ændrer alt, og at der ikke længere er nogen problemer, synes jeg, det er lidt kortsigtet.
Det handler om, hvordan alt fungerer sammen. Det er, hvordan vi holder af det som offentligheden, det er, hvordan virksomhederne bryder sig om det. Det er et stykke af det, men det er selvfølgelig ikke hele løsningen. Og jeg tror, at en af de store ting, som vi har brug for som teknologer eller teknologiforbrugere er nødt til at tænke over, er, at sikkerhed ikke er en job i et elfenbenstårn for at vende den rigtige switch og gøre alt perfekt. De mere små ændringer i adfærd, som vi kan tage for at hjælpe med at gøre alt lidt mere sikkert… for alle.
Dan Costa: Hvordan er dine personlige sikkerhedsvaner? Bruger du en VPN? Bruger du detektion af kommerciel malware-detektion?
Josh Schwartz: Det kommer tilbage til trusselmodellen, ikke? Det afhænger af hvad jeg laver på det tidspunkt. En VPN beskytter dig mod nogle ting, men at oprette forbindelse til en VPN beskytter dig ikke mod vira. Forbindelse til en VPN ændres i det væsentlige, hvor du er i verden og nogle gange, det kan være nyttigt, hvis du har brug for det.
Det sætter din trafik inde i en lille tunnel, og den tunnel fører dig et andet sted, og trafikken kommer ud et andet sted. En VPN er nyttig, hvis hvor du er, er lidt usikker, eller du ikke vil have nogen til at vide, hvor du er på. Ideen om, at jeg er tilsluttet en VPN, og nu er jeg sikker på internettet, er ikke så sandt.
For mig personligt tror jeg, at den største ting er adgangskodeadministratorer. De er lidt af en ny ting, men hvis flere mennesker er, ville de være et meget bedre sted. Der har været alle disse overtrædelser, ikke? Du er ganske bekendt med dem. Så som en stødende modstander er disse ikke private. Alt, hvad der er lækket, er derude på Internettet. Vi kan sammenstille en stor liste over alt og se efter adgangskoder og se, hvilke adgangskoder, du har brugt før.
Så hvis jeg forsøger at få adgang til noget, du har, hvis jeg kan finde det adgangskode, du brugte før, ved jeg lidt om dig, og jeg kan tage disse oplysninger og prøve at genbruge det eller prøve at gætte hvad din næste adgangskode kan være. Brug af en passwordadministrator og gør ethvert kodeord super unikt for hvert websted, du besøger, er faktisk noget, der er godt, og det tager en belastning af den menneskelige hjerne. Du skal virkelig kun beskytte det ét sted, hvilket gør sikkerheden meget enklere.
Dan Costa: Vi er store fans af passwordadministratorer på PCMag, jeg har brugt LastPass i næsten 10 år. Når du først er kommet over dette spring af ikke at kende dine adgangskoder, er det en sådan lettelse. Det minder mig også om, at vi slags glemte Yahoo-overtrædelsen, som lækkede masser af brugernavne og adgangskoder. Det var år siden, og ingen var virkelig interesseret i Yahoo længere, men værdien af det hack og værdien for cyberkriminelle er, at mange mennesker stadig bruger de adgangskoder, de brugte på Yahoo for 10 år siden. Og du kan slå op, hvad alle disse adgangskoder er, hvad du siger.
Josh Schwartz: Det kommer til menneskelig adfærd. Det kommer ned på det faktum, at du har vaner som menneske og som angriber. Det er ofte det, jeg leder efter at udnytte. Det er ikke teknologien. Teknologien vil fortsat blive bedre og vil fortsætte med at øge sikkerheden og blive mere sikker, fordi vi har dette behov for det, der driver forretningen fremad.
Men menneskelig adfærd er noget, der er slags vores ansvar for at ændre. Og hvis vi ikke ændrer vores vaner og gør os mere sikre, er der ingen teknologi, der kan beskytte os mod noget.
Dan Costa: Er der andre vaner end en password manager, som du tror, at forbrugerne bliver nødt til at vedtage, især når vi flytter ind på tingenes internet-alder, og alt er så meget mere forbundet?
Josh Schwartz: Hvis du tænker over det, er det ikke længere bare din computer. Det er enheder overalt og bestemte vaner. Måske synes du, at din telefon ikke er så vigtig, men den adgangskode, du har lagt på telefonen, er i det væsentlige din adgangskode der. Telefonen har adgang til mange af de samme ting, som din computer muligvis har adgang til. Tænker på alt det, du rører ved, der interagerer med alle de data, du gerne vil beskytte, og sørg for, at du behandler det lige så følsomt som din bærbare computer, dit skrivebord eller computeren på arbejdet.
Dan Costa: Jeg havde et par mennesker i RSA i sidste uge, og de interviewede en NSA-embedsmand, der sagde: 'Uanset hvilken kodning telefonen er, kan de få adgang til telefoner, fordi de fleste stadig ikke låser deres telefoner.' Der er mange mennesker, der overhovedet ikke låser deres telefoner, og de har ikke brug for nogen kryptering for at knække det. Det er bare ren brugeradfærd.
Josh Schwartz: Eller adgangskoden er alle nuller eller alle dem eller noget i den retning. Der er altid denne idé, at når teknologier skrider frem, og efterhånden som din adgangskode bliver flere ting som dit fingeraftryk eller dit ansigt eller noget lignende, vil der altid være et angreb og en eller anden måde omkring det. Jeg har bare brug for at finde dig og rette din telefon mod dit ansigt, eller jeg er nødt til at afskære din finger og sætte det på din telefon.
Dan Costa: Også set i mange film.
Josh Schwartz: Ja, men det gør vi ikke i disse dage, hvilket er godt.
Dan Costa: Du løber tør for teammedlemmer virkelig hurtigt på den måde.
Josh Schwartz: Og fingre, gør det svært at skrive.
Dan Costa: De kan arbejde på 10 projekter, og så er det slutningen på det. Så fortæl mig hvad angår hvad du gør, hvad er balancen mellem social engineering og teknisk hacking? Og ændrer den blanding sig over tid?
Josh Schwartz: Socialteknik har altid været mit brød og smør. Det er vejen til mindst modstand meget ofte. Jeg vil sige, det er en blanding. Meget af det er klar, forsøger at finde ud af, hvad der virkelig findes derude, men det er interessant. Det sociale ingeniørmæssige aspekt, det er ikke kun i den stødende verden. Hvis du tænker over, hvordan et internt rødt team eksisterer i en virksomhed… vi laver noget af den tekniske hacking, og vi bruger social engineering, fysisk og alt sammen for at prøve at udføre den dræbende kæde, udføre missionen.
Men derefter bagefter, hvis du tænker over, hvad sikkerhed forsøger at gøre, forsøger vi at socialingeniør alle i skala for at have bedre vaner til det større gode. Mange gange er det fortællingen om historien om, hvad vi gjorde, og at uddanne mennesker inden for… virksomheden 'her er hvordan det fungerer, her er hvad du kan gøre for at blive bedre.' Det er social ingeniørarbejde. Så virkelig er den store del af jobbet social engineering, fordi det får folk til at bry sig om sikkerhed på de rigtige måder, træffe de rigtige valg og forhåbentlig bekymre sig om de rigtige ting.
Dan Costa: Jeg kan forestille mig, at når folk får e-mails fra dig, at de ikke ønsker at svare. Hvis du beder om noget, kan jeg ikke forestille mig, at det første svar er nej.
Josh Schwartz: Røde hold har gennemgået en smule metamorfose i det sidste årti. Du starter på dette sted, hvor du er ekstremt modstander, ekstrem stødende, forsøger at slå trommen og lade alle vide, at sikkerhed er vigtig, og i disse dage ser folk dig som en modstander, for det er jeres job.
Jeg har oplevet personligt, hvor jeg kommer ind i elevatoren, og folk er som "Åh, jeg vil ikke gå på gulvet, fordi Red Team er her, " og jeg er som "Jeg er ikke den rigtige dårlige fyr." Det har ændret sig over tid, for i sidste ende, virkelig, arbejder vi alle mod det samme mål: beskytte information, beskytte vores forbrugere. Så når vi arbejder sammen, og når vi deler oplysninger om, hvad vi har gjort som modstandere, ser den slags sikringer, og de ser os som en allieret og en ven, men det tager nogen tid at komme dertil. Men jeg ser en tendens i den rigtige retning, så det er godt.
Dan Costa: Fantastisk. Jeg vil stille dig et par spørgsmål, jeg stiller alle, der kommer på showet. Er der en teknologitendens, der angår dig, noget der holder dig op om natten?
Josh Schwartz: Det holder mig op om natten? Måske den allestedsnærværende og komfort, vi får med al teknologien omkring os. Ikke så meget… faktisk er det rigtige svar ingenting som holder mig op om natten.
Dan Costa: Du sover godt.
Josh Schwartz: Jeg ser de værste ting, og det kommer til at risikere accept, hvor jeg er, 'Okay, jeg ved, hvordan verden er, jeg ved, hvad der er muligt, og jeg vil være okay med det.' Jeg ved, at teknologi kommer til at blive infunderet i mit liv overalt, og jeg vil tage valget om at være okay med det, men jeg vil operere på en måde, jeg forstår det, og jeg sover som en baby.
- De bedste gratis adgangskodeadministratorer for 2019 De bedste gratis adgangskodeadministratorer for 2019
- Sådan finder du ud af, om din adgangskode er blevet stjålet Sådan finder du ud af, om din adgangskode er blevet stjålet
- Facebook gemt op til 600M brugeradgangskoder i almindelig tekst Facebook opbevaret op til 600M brugeradgangskoder i almindelig tekst
Dan Costa: Okay, er der teknologi, du bruger hver dag eller værktøj eller service, der inspirerer til undring?
Josh Schwartz: Det er ikke min mobiltelefon, men ærligt talt er der en masse ting, der er op og kommer, som jeg spekulerer på, og jeg føler mig mest utålmodig. Jeg ville ønske, at de ville komme her hurtigere. Jeg er begejstret for AI's fremtid, fremtiden for maskinlæring og ting, der forhåbentlig vil give os en mere forbundet verden. Oftest venter jeg bare på det. Men intet overrasker mig virkelig for meget, synes jeg.
Dan Costa: Så hvordan kan folk følge det, du laver, hvad du har lov til at fortælle folk offentligt, hvordan kan de finde dig online?
Josh Schwartz: Jeg går forbi moniker FuzzyNop, så folk kan finde mig der hvor som helst.
