Глава “Красной команды” Веризон СМИ имеет один простой Совет Безопасности

Джош Шварц проводит свои дни, пытаясь взломать самый ценный Веризон СМИ и надежных систем. Но его главный совет для обеспечения безопасности в интернете является то, что мы все можем сделать.

The Head of Verizon Media's Red Team Has One Simple Security Tip

На этот эпизод быстро вперед, я приветствую Джош Шварц, руководитель Службы внутреннего Красной команды Веризон СМИ. Это значит, что он проводит свои дни, пытаясь взломать его работодателя наиболее ценным и надежным системам, в идеале перед тем, кто не на зарплате делает то же самое.

The Head of Verizon Media's Red Team Has One Simple Security Tip

На SXSW, мы говорили о том, что матрица угроз меняется с течением времени и то, что компании должны сделать, чтобы защитить себя. Шварц также объяснил, каким образом потребители могут защитить себя, а также онлайн. Спойлер: в включает менеджеров паролей.

Дэн Коста: Я думаю, что люди имеют смутное представление о том, что Красные бригады, они видели их в фильмах. Это же весело и интересно, как это выглядит на ТВ?

Джош Шварц: я бы только хотел, верно? Это имея ответственности за нарушение в том, как добраться до места. Конечно, это довольно захватывающе, но, очевидно, в фильмах вы видите, что все происходит мгновенно и в реальности это не так. Это занимает много работы…это не просто бегают, вызывающие шалости.

Это на самом деле пытаясь повлиять на изменения в организации, пытаясь помочь проинформировать организацию о том, как] ‘то, что делают плохие парни действительно?’ Эту роль на внутреннем красной команды, в то время как это все еще интересно, я до сих пор ходить на митинги, все равно придется ставить цели и тому подобное.

Дэн Коста: кто эти лица, на эту команду? Я думаю, есть много программистов, но я думаю, это касается не только программистов.

Джош Шварц: разнообразие навыков в команде-это то, что если у нас нет, у нас нет такой возможности. Есть ошибочное мнение, очень часто из-за того, что вы видите в кино, это как, есть один хакер и он может решать любые технологические проблемы.

Дэн Коста: и есть парень с машиной, специалист по оружию.

Джош Шварц: в действительности, я строить команду так, что каждый человек является экспертом в чем-то. Этот парень-это парень, который знает, как делать физические вторжения и кто-то еще является экспертом по криптографии и кто-то другой специалист в области социальной инженерии. У каждого человека быть экспертом означает, что мы можем положиться друг на друга, чтобы эффективно…решить любую задачу команды.

Дэн Коста: так, что же день в офисе выглядеть? Какие типы вещей, которые вы тестируете?

Джош Шварц: хакер-это просто быть кем-то, кто любит принимать системы на части, верно? Это причина того, что мы по сути не криминально, просто быть хакером.

Так, в день в офисе, мы ставим цели, основанные на результатах, вроде как наихудшие сценарии, которые мы хотим видеть. Какие шаги для нас, чтобы перейти от ничего к достижению этой цели это очень плохо для компании? Оттуда, мы можем сформировать то, что называется “убить цепь”. День в офисе-это выяснение того, как сделать цепи произойдет. Затем мы думаем о разных местах, где мы могли бы разорвать эту цепь. Оттуда, мы встречаемся с заинтересованными сторонами, рассказать им, как злоумышленники могли бы сделать это, и предложить одно небольшое изменение вы можете сделать, чтобы помочь исправить это.

Дэн Коста: каковы направления, которые ты больше всего беспокоит? Я знаю, что я по-прежнему получать письма от него, говорить людям, чтобы не нажать на ссылки, добавленные в сообщения электронной почты или вложения электронной почты. Где вы видите уязвимостей, которые все еще там?

Джош Шварц: если вы щелкаете по ссылкам и скачивание вложений, запустив их на свой компьютер, несмотря на многочисленные предупреждения, это проблема. Но мы эволюционировали в новую эру, где теперь [подробнее] доступ к информации, которая существует в облаке и в разных местах. Если вы разрешаете доступ к кому-то другому, это тоже проблема.

Что в итоге оказывается более проблематичным, чем что-то работает на вашем компьютере, потому что есть много защит вокруг, что уже. Теперь у нас есть информация, что плавает там везде, и у вас есть свобода воли, чтобы контролировать его. У вас есть свобода воли, предоставляя прочим доступ к нему, это вроде как интернет работает сейчас. Злоумышленники, включая нас, сместились в сторону таких вещей немного больше.

Дэн Коста: это очень необычное, даже глядя на мой собственный Google Drive и сколько файлов у меня есть доступ к тому, что я действительно не должны. Мне кажется, это намного хуже в компаниях, которые не столь технологически сложный, как Зиффа Дэвиса и в PCMag. Это не только файлов запуск вредоносных программ, но это могут быть корпоративные документы или финансовые документы, что вы действительно не хотите, чтобы ваши конкуренты или конечных пользователей или преступников.

Джош Шварц: безопасность, в общем, это целостная система. Это не есть ошибка в системе, где я собираюсь бросить некоторые эксплуатируют на него и он взорвется или что-то подобное. Это больше не работает. Это взаимосвязанные системы, люди, бизнес-процессы, технологии, которые поддерживают их, как мы чувствуем об этом, политика—все вместе… – это безопасность.

И безопасности, часто, это просто то, как вы чувствуете об этом. Как вы относитесь к данным и информации? Какие шаги вы можете предпринять, чтобы защитить его? Если вы чувствуете, сильно об этом и усилия, которые вы положили в меньше усилия сил вокруг вас, пытаясь сделать это, тогда ты чувствуешь себя неуверенно. Но если вы чувствуете, как вы положить в достаточно усилий и ничего плохого не происходит, то вы чувствуете себя защищенным. Но нет включения/выключения для безопасности.

Дэн Коста: давайте поговорим немного о природе этих угроз. Мне кажется, есть пару ведер люди переживают. Взлом был игривым, что люди сделали для того чтобы получить доступ к вашему компьютеру или аварии компьютера. Затем преступники придумали, как делать деньги, используя эти разные методики. Но есть также государственных структур и даже частных компаний, которые имеют огромные объемы данных на людей. Как вы думаете, где самая большая невидимых угроз в области безопасности?

Джош Шварц: выяснить, где самая большая угроза-это заканчивает тем, что выяснить, кто вы. Самая большая угроза для вас, вероятно, не самая большая угроза для меня, которая не является самой большой угрозой для какой-то компании где-то. Это все про моделирование угроз, верно? Вы не просто выбираете большую угрозу и указывать на них. Вы думаете, “что я есть? Кому он может быть нужен? Что я должен делать?” И попытаться принять меры, чтобы смягчить вещи, которые вы не хотите, чтобы произошло.

Просто пытаюсь указать, чтобы эта страна является самой большой угрозой или этой компании является самой большой угрозой является то, что получает нас в небольшую ловушку, где мы начнем построение модели угроз все об одном. И пока мы так сосредоточены на этой мелочи, мир вокруг нас меняется и то, нам нанесут удар где-то вниз по линии.

Дэн Коста: многие компании имели массивные утечки данных и большинство из них из-за слабой безопасности или просто вредных привычек. Doxed Equifax и миллионы американцев, но было действительно никаких последствий. Они заплатят штраф, но все их руководители получили бонусы. Вы думаете, что там должен быть какой-то изменения в плане ответственности?

Джош Шварц: Ну я парень, который взламывает компьютеры, а не публичный политик, поэтому я не знаю. Может быть, что бы изменить положение вещей. Скорее всего, в него будут внесены изменения, но на ее фундаментальном уровне, думая, что одна смена где-то все меняет, и нет больше никаких проблем, я думаю, это немного недальновидно.

Это о том, как все работает вместе. Это то, как мы заботимся о нем как публики, это как компании заботятся о нем. Это один кусок, но не весь, конечно. И я думаю, что одна из самых больших вещей, которые нам нужны в качестве специалистов или потребителей технологии нужно задуматься о том, что безопасность-это не чья-то работа в башне из слоновой кости, чтобы повернуть правый переключатель и сделать все идеально. Более мелкие изменения в поведении, которые мы можем предпринять, чтобы помочь сделать все немного более безопасно…для всех.

Дэн Коста: каковы ваши личные привычки безопасности? Вы используете VPN? Используете ли вы готовые обнаружения коммерческих вредоносных программ?

Джош Шварц: он возвращается к опасная модель, верно? Это зависит от того, что я делаю в данный момент. А VPN защищает вас от некоторых вещей, но подключение к VPN не защищает вас от вирусов. Подключение к сети VPN по сути изменений там, где вы находитесь в мире, а иногда, что может быть полезно, если вам это нужно.

Он ставит свои движения внутри небольшой тоннель и туннель приведет вас где-то еще и трафик выходит в другом месте. А VPN-это полезно, если, где вы находитесь немного небезопасным или вы не хотите, чтобы кто-нибудь знал, где ты находишься. Идея о том, что я подключен к VPN и теперь я в безопасности в Интернете, не так верно.

Для меня лично, я думаю, самое главное — менеджеры паролей. Они немного новой вещи, но если больше людей [использовал их], они были бы в гораздо лучшем месте. Все эти нарушения, верно? Вы хорошо знакомы с ними. Так как наступление противника, это не частная. Все, что было слил там в интернете. Мы можем составить большой список всего и искать пароли и посмотреть, какие пароли вы использовали раньше.

Тогда, если я пытаюсь получить доступ к что-то у вас, если я могу найти пароль, который вы использовали раньше, я знаю немного о вас и я могу взять эту информацию и попробовать и использовать его или попытаться угадать, что ваш следующий пароль может быть. Используя менеджер паролей, и пароль супер уникальным для каждого сайта, который вы посещаете на самом деле очень хороший и он принимает груз от человеческого мозга. Вы действительно только должны защитить его в одном месте, что делает защиту намного проще.

Дэн Коста: мы-большие поклонники менеджеров паролей по версии журнала PCMag, я использую LastPass уже почти 10 лет. Как только вы получите за этот прыжок на самом деле не зная ваших паролей, это такое облегчение. Это напоминает мне, что мы вроде как забыли о Yahoo нарушение, которое просочилось много логинов и паролей. Это было давно и никого уже не волновало Yahoo, но значение этого рубить и ценность для киберпреступников, что много людей все еще используют те пароли, которые они используют на Yahoo 10 лет назад. И вы можете посмотреть, что все эти пароли-это то, что ты говоришь.

Джош Шварц: все сводится к поведению человека. Он сводится к тому, что у вас есть привычки как человека и как злоумышленник. Это часто то, что я ищу, чтобы использовать. Это не технология. Технология будет продолжать становиться все лучше и будет продолжать расти в безопасности и стал более безопасным, потому что у нас эту потребность, которая движет бизнес вперед.

Но поведение человека-это нечто вроде нашей ответственности изменить. И если мы не меняем наши привычки и сделать себя более защищенными, нет технологии, которая может защитить нас от всего.

Дэн Коста: есть другие привычки, другие, чем менеджер паролей, который вы думаете, что потребители должны принять, тем более что мы движемся в Интернете вещей возраст и все это намного больше связано?

Джош Шварц: если вы думаете об этом, это уже не просто компьютер. Это устройств все на месте и некоторые привычки. Может быть, вы думаете, что ваш телефон не так важно, но пароль, который вы поставили на телефон, по сути, является там свой пароль. Телефон имеет доступ ко многим из тех же самых вещей, что ваш компьютер может иметь доступ. Думая о все, что вы касаетесь, что взаимодействует со всеми данными, которые вы хотели бы защитить и убедившись, что вы относитесь к нему просто как чутко, как вашего ноутбука или компьютера или компьютера на работе.

Дэн Коста: у меня на прошлой неделе пару человек в ОГА и они опросили официальный АНБ, который сказал, ‘Независимо от шифрования телефоне, они могут получить доступ к телефонам, ведь большинство людей до сих пор не закрывают свои телефоны.’ Есть много людей, которые не закрывают свои телефоны на всех и не надо никаких шифрование, чтобы расколоть. Это чисто поведение пользователей.

Джош Шварц: или пароль все нули или все единицы или что-то подобное. Всегда есть эта идея, что по мере развития технологий и в качестве пароля становится все более такие вещи, как отпечатки пальцев или лицо или что-то подобное, там всегда будет какая-то напасть и каким-то образом вокруг него. Мне просто нужно, чтобы найти вас и указать свой телефон на свое лицо или мне нужно отрезать палец и положить, что на вашем телефоне.

Дэн Коста: также видели во многих фильмах.

Джош Шварц: да, но мы этого не делаем в эти дни, это хорошо.

Дэн Коста: вы бежите из членов команды очень быстро таким образом.

Джош Шварц: и пальцы, делает его трудно ввести.

Дэн Коста: они могут работать на 10 проектов и то, что это конец. Итак, скажи мне, в плане того, что вы делаете, что баланс между социальной и инженерно-технические взлома? И в том, что смесь меняется с течением времени?

Джош Шварц: социальная инженерия всегда была моим хлебом и маслом. Это путь наименьшего сопротивления очень часто. Я бы сказал, что это микс. Много это разведка, пытаясь выяснить, что действительно существует, но это интересно. Социальная инженерия аспект, это не только в наступлении мира. Если вы думаете о том, как внутренняя Красная команда существует внутри компании…мы делаем некоторые технические взлома и мы используем социальную инженерию, физическую, и все вместе, чтобы попытаться выполнить то, что убивать, услуги, выполнить миссию.

Но потом, потом, если вы думаете о том, что безопасность-это пытаемся сделать мы пытаемся социальный инженер все в масштабе, чтобы лучше привычки ради общего блага. Много раз, это рассказ истории, что мы сделали и обучение людей в…Компания [о] ‘вот как это работает, вот что вы можете сделать, чтобы быть лучше. Это социальная инженерия. Так что действительно, большую часть работы социальной инженерии, ведь это заставить людей заботиться о безопасности в правильном пути, сделать правильный выбор, надеюсь, волнуют правильные вещи.

Дэн Коста: Я думаю, что когда люди получают письма от вас, что они не хотят отвечать. Если вы просите что-то, я не представляю, первый ответ-нет.

Джош Шварц: Красный команды прошли через немного метаморфоза за последние десятилетия. Вы начинаете в этом месте, где вы чрезвычайно враждебные, крайне оскорбительно, стараясь бить в барабан, и пусть все знают, что безопасность важна и в те времена, люди видят тебя как врага, потому что, ну, это твоя работа.

Я имел опыт лично, когда я вхожу в лифт, а люди такие “О, я не хочу ехать на мой этаж, потому что Красная команда здесь,” и я такой: “я не плохой человек.” Что изменилось с течением времени, ведь в конце концов, действительно, мы все работаем для достижения одной цели: защиты информации, защиты наших потребителей. Так как мы работаем вместе и как мы делимся информацией о том, что мы сделали, как противников, что-то вроде предохранителей и они видят нас как союзник и друг, но потребовалось некоторое время, чтобы добраться туда. Но я вижу тенденцию в правильном направлении, так что это хорошо.

Дэн Коста: Большой. Я собираюсь задать тебе пару вопросов, прошу всех, кто приходит на шоу. Есть тенденции, технологии, что касается вас, то, что держит вас на ночь?

Джош Шварц: что держит меня на ночь? Возможно, вездесущность и комфорт, которые мы получаем с все технологии вокруг нас. Не так уж и много … на самом деле, реальный ответ ничего не дает мне спать по ночам.

Дэн Коста: вы хорошо спали.

Джош Шварц: я вижу худшее и дело доходит до риска прием, где я, как, ‘хорошо, я знаю, какой мир на самом деле, я знаю, что возможно и я буду в порядке.’ Я знаю, что технология будет вводиться в моей жизни, и я собираюсь сделать выбор, чтобы быть хорошо с ним, но я собираюсь работать так, я понимаю, что и я сплю как младенец.

Дэн Коста: все правильно, есть технологии, которые вы используете каждый день или инструменты и сервисы, которые вдохновляют чудо?

Джош Шварц: Ну, это не мой мобильный телефон, но, честно говоря, есть много вещей, которые и, что интересно, и в основном я чувствую нетерпение. Я хочу, чтобы они сюда быстрее. Я в восторге от будущего ИИ, будущее машинного обучения и вещей, которые, надеюсь, даст нам более взаимосвязанном мире. В основном, я просто жду его. Но ничего толком мне слишком много сюрпризов, я думаю.

Дэн Коста: так, как люди могут следить за тем, что ты делаешь, что тебе позволено говорить люди публично, как они могут найти вас в интернете?

Джош Шварц: я иду по моникер FuzzyNop, чтобы люди могли найти меня в любом месте.

Понравилась статья? Поделиться с друзьями:
Гуру ПК
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: