Video: Welcome to the new era of enterprise | Verizon (Septembra 2024)
V tejto epizóde Fast Forward vítam Josha Schwartza, vedúceho interného tímu Red Red spoločnosti Verizon Media. To znamená, že trávi dni snahou preniknúť do najcennejších a najdôveryhodnejších systémov zamestnávateľa, v ideálnom prípade skôr, ako niekto, kto nie je na výplatnej listine, urobí to isté.
Dan Costa: Myslím si, že ľudia majú nejasnú predstavu o tom, čo sú červené tímy; videli ich vo filmoch. Je to také zábavné a vzrušujúce, ako vyzerá v televízii?
Josh Schwartz: Len by som chcel, však? Je zodpovednosťou za vniknutie, príchod na miesta. Samozrejme je to celkom vzrušujúce, ale vo filmoch je zrejmé, že sa všetko deje okamžite a v skutočnosti to tak nie je. Vyžaduje to veľa práce… nie je to len pobehovanie spôsobujúce žarty.
V skutočnosti sa snaží ovplyvniť zmeny v organizácii a snaží sa pomôcť organizácii informovať o tom, čo vlastne robia zlí? Táto úloha bytia v internom tíme červenej je síce stále vzrušujúca, ale stále musím ísť na stretnutia, stále si musím stanoviť ciele a podobné veci.
Dan Costa: Kto sú jednotlivci v tomto tíme? Viem si predstaviť, že existuje veľa programátorov, ale predstavujem si, že sa to netýka iba programátorov.
Josh Schwartz: Rôznorodosť súboru zručností v tíme je niečo, čo ak nemáme, takú schopnosť nemáme. Existuje veľmi mylná predstava kvôli tomu, čo vidíte vo filmoch, je to, že existuje jeden hackerský človek a môže vyriešiť akýkoľvek technologický problém.
Dan Costa: A je tu aj chlapík, špecialista na zbrane.
Josh Schwartz: V skutočnosti budujem tím tak, že každý človek je odborníkom na niečo. Tento chlap je chlap, ktorý vie, ako robiť fyzické vniknutie, a niekto iný je odborník na kryptografiu a niekto iný je odborníkom na sociálne inžinierstvo. Mať každého človeka odborníkom znamená, že sa môžeme o seba oprieť, aby sme efektívne… vyriešili akýkoľvek problémový typ tímu.
Dan Costa: Ako teda vyzerá deň v kancelárii? Aké druhy vecí testuješ?
Josh Schwartz: Byť hackerom je jednoducho taký, že je niekto, kto rád rozdeľuje systémy, nie? To je dôvod, prečo nie sme vo svojej podstate kriminálni len tým, že sme hackeri.
Za deň v kancelárii sme si teda stanovili ciele na základe výsledkov, napríklad scenáre najhoršieho prípadu, ktoré chceme vidieť. Aké sú kroky, aby sme prešli od ničoho k dosiahnutiu tohto cieľa, ktorý je pre spoločnosť skutočne zlý? Odtiaľ môžeme vytvoriť niečo, čo sa nazýva „reťaz zabíjania“. Deň v kancelárii príde na to, ako dosiahnuť, aby sa tento reťazec stal. Potom premýšľame o rôznych miestach, kde by sme mohli reťaz prerušiť. Odtiaľ sa stretneme so zúčastnenými stranami, povedzme im, ako by to útočníci urobili, a ponúkneme jednu malú zmenu, ktorú môžete urobiť, aby ste to napravili.
Dan Costa: O aké vektory sa najviac zaujímate? Viem, že od IT dostávam e-maily, ktoré ľuďom hovoria, aby neklikali na odkazy uvedené v e-mailoch alebo prílohách e-mailov. Kde vidíte zraniteľné miesta, ktoré stále existujú?
Josh Schwartz: Ak klikáte na odkazy a sťahujete prílohy, spustíte ich na svojom počítači napriek mnohým upozorneniam, je to problém. Ale vyvinuli sme sa do novej éry, kde je teraz prístup k informáciám, ktoré existujú v cloude a na rôznych miestach. Ak autorizujete prístup k niekomu inému, je to tiež problém.
To skončí byť problematickejšie ako niečo, čo beží na vašom počítači, pretože okolo toho už existuje veľa ochranných opatrení. Teraz máme všade plávajúce informácie a máte agentúru na ich kontrolu. Máte agentúru, ktorá jej umožňuje prístup k iným veciam, je to tak, ako teraz internet funguje. Útočníci, vrátane nás, sa posunuli smerom k veciam trochu viac.
Dan Costa: Je dosť zvláštne, keď sa pozriem na svoj vlastný Disk Google a na koľko súborov mám prístup, na ktoré by som sa nemal. Myslím si, že je to oveľa horšie v spoločnostiach, ktoré nie sú také technologicky náročné ako Ziff Davis a PCMag. Nie sú to len súbory so škodlivým softvérom, ale môžu to byť firemné dokumenty alebo finančné dokumenty, ktoré naozaj nechcete, aby vaši konkurenti mali alebo ukončili používateľov alebo zločincov.
Josh Schwartz: Bezpečnosť, vo všeobecnosti je to tento holistický systém. Nejde o to, či v systéme existuje chyba, kde na ňu hodím nejakú exploatáciu a exploduje, alebo niečo také. Takto to už nefunguje. Sú to vzájomne prepojené systémy, ľudia, obchodné procesy, technológia, ktorá ich podporuje, ako sa o nich cítime, politika - všetko dohromady… je bezpečnosť.
A bezpečnosť je často len taká, ako si o tom myslíte. Čo si myslíte o údajoch a informáciách? Aké kroky môžete podniknúť na jeho ochranu? Ak sa o tom cítite silne a úsilie, ktoré vynaložíte, je menšie ako úsilie síl okolo vás, ktoré sa ho snažia dosiahnuť, potom ste neistí. Ale ak máte pocit, že vyvíjate dostatočné úsilie a nič zlé sa nestane, potom sa cítite bezpečne. Neexistuje však žiadny vypínač na zabezpečenie.
Dan Costa: Povedzme trochu o povahe týchto hrozieb. Zdá sa mi, že je tu pár vedier, o ktoré sa ľudia starajú. Hacking bol hravou vecou, ktorú ľudia urobili, aby získali prístup k vášmu počítaču alebo počítač zlyhali. Potom zločinci prišli na to, ako zarobiť peniaze pomocou týchto rôznych techník. Existujú však aj štátne subjekty a dokonca aj súkromné spoločnosti, ktoré majú obrovské množstvo údajov o ľuďoch. Kde si myslíte, že najväčšie neviditeľné hrozby sú v bezpečnostnom priestore?
Josh Schwartz: Zistenie, kde je najväčšia hrozba, zisťuje, kto ste. Najväčšou hrozbou pre vás pravdepodobne nie je najväčšia hrozba pre mňa, ktorá nie je najväčšou hrozbou pre nejakú spoločnosť niekde. Je to niečo o modelovaní hrozieb, však? Vy si nielen vyberiete najväčšiu hrozbu, ale poukazujete na ne. Myslíš si: „Čo to mám? Kto by to mohol chcieť? Čo by som s tým mal robiť?“ A skúste podniknúť kroky na zmiernenie vecí, ktoré sa nechcete stať.
Snažiť sa poukázať na tento národ je najväčšou hrozbou alebo táto spoločnosť je najväčšou hrozbou. Je to niečo, čo nás dostane do trochu pasce, kde začneme stavať model hrozieb. A zatiaľ čo sa zameriavame na túto maličkosť, svet okolo nás sa mení a potom sa niekde na spodnej hranici dostaneme slepo.
Dan Costa: Mnoho spoločností malo rozsiahle narušenie údajov a väčšina z nich je spôsobená laxnou bezpečnosťou alebo iba zlými návykmi. Equifax doxoval milióny Američanov, ale neexistovali žiadne dôsledky. Budú platiť pokutu, ale všetci ich vedúci pracovníci dostali bonusy. Myslíte si, že je potrebné urobiť nejakú zmenu, pokiaľ ide o zodpovednosť?
Josh Schwartz: No, ja som človek, ktorý sa vlámal do počítačov, nie ako tvorca verejnej politiky, takže to vlastne neviem. Možno by to zmenilo veci. Pravdepodobne by došlo k zmenám, ale na základnej úrovni, myslím si, že jedna zmena niekde zmení všetko a že už neexistujú žiadne problémy, myslím, že je trochu krátkozraká.
Je to o tom, ako všetko funguje spolu. Takto sa o nás staráme ako o verejnosť, o to, ako sa o to podniky starajú. Je to jeden kus, ale samozrejme to nie je celé riešenie. A myslím si, že jednou z veľkých vecí, ktorú potrebujeme ako odborníci v oblasti technológií alebo spotrebitelia technológií, je premýšľať, že bezpečnosť nie je úlohou niekoho vo veži zo slonoviny, aby otočila správny spínač a urobila všetko dokonalým. Čím menšie zmeny v správaní môžeme urobiť, aby sme všetko zabezpečili trochu bezpečnejšie… pre všetkých.
Dan Costa: Aké sú vaše osobné bezpečnostné návyky? Používate VPN? Používate bežnú detekciu malwaru?
Josh Schwartz: Vracia sa k modelu hrozieb, však? Závisí to od toho, čo robím v tom čase. Sieť VPN vás chráni pred niektorými vecami, ale pripojenie k sieti VPN vás nechráni pred vírusmi. Pripojenie k sieti VPN sa zásadne mení tam, kde sa nachádzate na svete, a niekedy to môže byť užitočné, ak to potrebujete.
Uvádza vašu premávku do malého tunela a tento tunel vás zavedie niekde inde a premávka vyjde na inom mieste. Sieť VPN je užitočná, ak ste v mieste, kde je trochu nebezpečný alebo nechcete, aby niekto vedel, kde sa práve nachádzate. Myšlienka, že som pripojený k sieti VPN a teraz som na internete v bezpečí, nie je to tak.
Osobne si myslím, že najväčšou vecou sú správcovia hesiel. Sú trochu novou vecou, ale ak by bolo viac ľudí, boli by na oveľa lepšom mieste. Vyskytli sa všetky tieto porušenia, však? Ste s nimi celkom oboznámení. Takže, ako útočný protivník, nie sú súkromní. Všetko, čo uniklo, je na internete. Môžeme spravovať veľký zoznam všetkého a hľadať heslá a zistiť, aké heslá ste predtým používali.
Ak sa potom pokúsim získať prístup k niečomu, čo máte, ak dokážem nájsť heslo, ktoré ste predtým používali, viem o vás niečo a môžem si tieto informácie vziať a skúsiť ich znovu použiť alebo skúsiť uhádnuť, aké sú vaše ďalšie heslo môže byť. Použitie správcu hesiel a urobenie každého hesla jedinečným pre všetky navštívené stránky je vlastne niečo dobré a zaberá to ľudský mozog. Skutočne ho musíte chrániť iba na jednom mieste, čo podstatne zjednodušuje zabezpečenie.
Dan Costa: Sme veľkými fanúšikmi správcov hesiel v spoločnosti PCMag, LastPass používam už takmer 10 rokov. Akonáhle sa dostanete cez ten skok o tom, že v skutočnosti nepoznáte svoje heslá, je to úľava. Tiež mi to pripomína, že sme zabudli na porušenie pravidiel Yahoo, ktoré presakovalo veľa používateľských mien a hesiel. Bolo to pred rokmi a nikto sa o Yahoo naozaj nestaral, ale hodnota tohto hacku a hodnota pre počítačových zločincov spočíva v tom, že veľa ľudí stále používa tie heslá, ktoré použili na Yahoo pred 10 rokmi. A môžete sa pozrieť, aké sú všetky tieto heslá.
Josh Schwartz: Ide o ľudské správanie. Prichádza k faktu, že máte zvyky ako človek a ako útočník. To sa často snažím využiť. Nejde o technológiu. Táto technológia sa bude naďalej zlepšovať a bude naďalej zvyšovať bezpečnosť a stáva sa bezpečnejšou, pretože potrebujeme túto technológiu, ktorá vedie podnikanie vpred.
Ľudské správanie je však niečo, čo je druh našej zodpovednosti za zmenu. A ak nemeníme svoje návyky a nezabezpečujeme seba samých, neexistuje žiadna technológia, ktorá by nás mohla ochrániť pred čímkoľvek.
Dan Costa: Existujú aj iné návyky ako správca hesiel, ktoré si myslíte, že spotrebitelia budú musieť prijať, najmä keď sa sťahujeme do veku vecí internetu a všetko je tak oveľa viac prepojené?
Josh Schwartz: Ak si o tom myslíte, už to nie je iba váš počítač. Sú to zariadenia všade a určité návyky. Možno si myslíte, že váš telefón nie je taký dôležitý, ale heslo, ktoré ste do telefónu zadali, je v podstate vaše heslo. Telefón má prístup k mnohým rovnakým veciam, ku ktorým môže mať váš počítač prístup. Premýšľajte o všetkom, čoho sa dotknete, ktoré interaguje so všetkými údajmi, ktoré chcete chrániť, a uistite sa, že s nimi zaobchádzate rovnako citlivo ako s vašim prenosným počítačom alebo pracovnou plochou alebo počítačom v práci.
Dan Costa: Minulý týždeň som mal v RSA pár ľudí a viedli rozhovory s úradníkom NSA, ktorý povedal: „Bez ohľadu na šifrovanie telefónu môžu pristupovať k telefónom, pretože väčšina ľudí stále nezablokuje svoje telefóny.“ Existuje veľa ľudí, ktorí vôbec nezablokujú svoje telefóny a nepotrebujú na šifrovanie žiadne šifrovanie. To je iba čisté správanie používateľov.
Josh Schwartz: Alebo všetky heslá sú nuly alebo všetky, alebo také podobné. Vždy existuje táto myšlienka, že s postupujúcimi technológiami a s tým, ako sa vaše heslo stáva viac vecami, ako napríklad odtlačok prsta alebo tvár alebo niečo také, vždy dôjde k nejakému útoku a určitým spôsobom okolo neho. Potrebujem vás len nájsť a nasmerovať váš telefón na tvár, alebo si musím odrezať prst a položiť ho na telefón.
Dan Costa: Tiež videný v mnohých filmoch.
Josh Schwartz: Áno, ale dnes to nerobíme, čo je dobré.
Dan Costa: Týmto spôsobom sa vám veľmi rýchlo míňajú členovia tímu.
Josh Schwartz: A prsty, je ťažké písať.
Dan Costa: Môžu pracovať na 10 projektoch a potom je to koniec. Takže, povedzte mi, čo robíte, aká je rovnováha medzi sociálnym inžinierstvom a technickým hackovaním? A to sa mení v priebehu času?
Josh Schwartz: Sociálne inžinierstvo bolo vždy mojím chlebom a maslom. Je to cesta najmenšieho odporu veľmi často. Povedal by som, že je to mix. Veľa z toho je prieskum, snaží sa zistiť, čo skutočne existuje, ale je to zaujímavé. Aspekt sociálneho inžinierstva nie je len v ofenzívnom svete. Ak premýšľate o tom, ako vnútorný spoločnosť Red Team existuje v spoločnosti… robíme niektoré technické hackingy a používame sociálne inžinierstvo, fyziku a všetko dohromady, aby sme vyskúšali a vykonali reťaz zabíjania, splňte misiu.
Potom, potom, ak premýšľate o tom, čo sa bezpečnosť snaží urobiť, je to, že sa snažíme sociálneho inžiniera, aby mal lepšie návyky pre väčšie dobro. Mnohokrát je to rozprávanie príbehu o tom, čo sme urobili, a vzdelávanie ľudí vo vnútri… spoločnosť „takto to funguje, tu je to, čo môžete urobiť, aby ste boli lepší“. To je sociálne inžinierstvo. Takže skutočne veľká časť práce je sociálne inžinierstvo, pretože prinúti ľudí, aby sa starali o bezpečnosť správnymi spôsobmi, robili správne rozhodnutia, dúfajme, že sa starajú o správne veci.
Dan Costa: Myslím si, že keď ľudia od vás dostanú e-maily, nechcú reagovať. Ak niečo požiadate, neviem si predstaviť, že prvá odpoveď je nie.
Josh Schwartz: Červené tímy za posledných desať rokov prešli trochu metamorfózou. Začínate na tomto mieste, kde ste nesmierne protivníci, veľmi urážliví, snažíte sa poraziť bubon a dajte všetkým vedieť, že bezpečnosť je dôležitá. V tých dňoch vás ľudia vidia ako protivníka, pretože dobre, to je vaša práca.
Osobne som mal skúsenosti, kde sa dostávam do výťahu, a ľudia sú ako: „Och, nechcem ísť na podlahu, pretože Red Team je tu, “ a ja som rád: „Nie som skutočný zlý človek. " Časom sa to zmenilo, pretože nakoniec sa všetci skutočne snažíme dosiahnuť rovnaký cieľ: chrániť informácie, chrániť našich spotrebiteľov. Takže keď pracujeme spolu a zdieľame informácie o tom, čo sme urobili ako protivníci, tento druh poistiek a oni nás vidia ako spojenca a priateľa, ale trvalo nám nejaký čas, kým sa tam dostali. Vidím však trend správnym smerom, takže je to dobré.
Dan Costa: Skvelé. Pýtam sa vás na pár otázok. Pýtam sa každého, kto prichádza na predstavenie. Existuje nejaký technologický trend, ktorý sa vás týka, niečo, čo vás v noci udržuje?
Josh Schwartz: To ma drží v noci hore? Možno všadeprítomnosť a pohodlie, ktoré dostávame so všetkými technológiami okolo nás. Nie toľko… vlastne, skutočnou odpoveďou nie je nič, čo by ma v noci udržalo.
Dan Costa: Spíte dobre.
Josh Schwartz: Vidím to najhoršie a riskuje to prijatie, keď sa mi páči: „Dobre, viem, aký je svet, viem, čo je možné a budem s ním v poriadku.“ Viem, že táto technológia sa do môjho života zavedie všade a ja sa rozhodnem, že s ňou budem v poriadku, ale budem pracovať spôsobom, ktorému to rozumiem, a spím ako dieťa.
- Najlepšie bezplatné správcov hesiel pre rok 2019 Najlepšie bezplatné správcov hesiel pre rok 2019
- Ako zistiť, či bolo vaše heslo ukradnuté Ako zistiť, či bolo vaše heslo ukradnuté
- Facebook Uložený až 600 miliónov užívateľských hesiel v obyčajnom texte Facebook Uložený až 600 miliónov užívateľských hesiel v obyčajnom texte
Dan Costa: Dobre, existuje technológia, ktorú používate každý deň alebo nástroj alebo službu, ktoré inšpirujú zázraky?
Josh Schwartz: Nie je to môj mobilný telefón, ale úprimne povedané, je tu veľa vecí, ktoré sa objavujú a ktoré prichádzajú a ktoré ma zaujímajú, a väčšinou sa cítim netrpezlivý. Prial by som si, aby sa sem dostali rýchlejšie. Som nadšený z budúcnosti AI, z budúcnosti strojového učenia a z vecí, ktoré nám, dúfajme, pomôžu. Väčšinou na to čakám. Ale nič ma veľmi neprekvapuje.
Dan Costa: Ako teda môžu ľudia sledovať, čo robíte, čo môžete ľuďom verejne povedať, ako vás môžu nájsť online?
Josh Schwartz: Chodím s menom FuzzyNop, aby ma tam ľudia našli kdekoľvek.
