Koti Appscout Verizon media punaisen joukkueen päälliköllä on yksi yksinkertainen tietoturvavinkki

Verizon media punaisen joukkueen päälliköllä on yksi yksinkertainen tietoturvavinkki

Video: CS50 2016 Week 0 at Yale (pre-release) (Marraskuu 2024)

Video: CS50 2016 Week 0 at Yale (pre-release) (Marraskuu 2024)
Anonim

Tässä Fast Forward -jaksossa olen tyytyväinen Verizon Median sisäisen punaisen tiimin johtajaan Josh Schwartziin. Tämä tarkoittaa, että hän viettää päivänsä yrittäessään tunkeutua työnantajansa arvokkaimpiin ja luotettavimpiin järjestelmiin, mieluiten ennen kuin joku, joka ei ole palkkahallinnossa, tekee saman.

SXSW: ssä puhuimme siitä, kuinka uhkamatriisi on muuttunut ajan myötä ja mitä yritysten on tehtävä suojautuakseen. Schwartz selitti myös, kuinka kuluttajat voivat suojella itseään myös verkossa. Spoileri: Sisältää salasanan hallinnan.

Dan Costa: Mielestäni ihmisillä on epämääräinen käsitys siitä, mitä punaiset joukkueet ovat; he ovat nähneet heidät elokuvissa. Onko se yhtä hauskaa ja jännittävää kuin se näyttää televisiosta?

Josh Schwartz: Haluan vain, eikö niin? Sillä on vastuu tunkeutua sisään, päästä paikkoihin. Tietenkin se on aika jännittävää, mutta ilmeisesti elokuvissa näet kaiken tapahtuvan heti, ja todellisuudessa ei. Se vie paljon työtä… se ei ole vain juoksemista aiheuttaen keppoja.

Se yrittää todella vaikuttaa muutoksiin organisaation sisällä, yrittäen auttaa informoimaan organisaatiota aiheesta "Mitä pahat pojat todella tekevät?" Tämä rooli sisäisessä punaisessa joukkueessa on, vaikka se on edelleen jännittävää, minun on silti mentävä kokouksiin, silti asetettava tavoitteita, sellaisia.

Dan Costa: Ketkä ovat tämän joukkueen henkilöitä? Kuvittelen, että ohjelmoijia on paljon, mutta uskon, että se ei rajoitu vain ohjelmoijiin.

Josh Schwartz: Joukkueen taitojen monimuotoisuus on jotain, mikäli meillä ei ole sitä, meillä ei ole tätä kykyä. Elokuvissa näkyy usein väärinkäsitys johtuen siitä, että on yksi hakkerityyppi ja hän voi ratkaista minkä tahansa teknisen ongelman.

Dan Costa: Ja siellä on autokaveri, aseasiantuntija.

Josh Schwartz: Todellisuudessa rakennan joukkueen siten, että jokainen henkilö on jonkin verran asiantuntija. Tämä kaveri on se kaveri, joka osaa tehdä fyysisen tunkeutumisen, ja joku muu on salaustekniikan asiantuntija ja joku muu on sosiaalisen insinöörin asiantuntija. Kullakin henkilöllä on asiantuntijana merkitys siitä, että voimme nojata toisiamme tehokkaasti… ratkaista minkä tahansa ongelmallisen ryhmän.

Dan Costa: Miltä päivä toimistossa näyttää? Millaisia ​​asioita testaat?

Josh Schwartz: Hakkeri on vain sellainen joku, joka haluaa erottaa järjestelmät toisistaan, eikö niin? Siksi emme ole luonnostaan ​​rikollisia pelkästään hakkereina.

Joten päivässä toimistossa asetamme tavoitteet tuloksiin perustuen, kinda kuten pahimmat tapaukset, joita haluamme nähdä. Missä vaiheissa voimme siirtyä tyhjästä tämän yritykselle todella haitallisen tavoitteen saavuttamiseksi? Sieltä voimme muodostaa niin sanotun "tappaketjun". Päivä toimistossa selvittää, kuinka saada ketju tapahtumaan. Sitten pohdimme erilaisia ​​paikkoja, joissa voimme katkaista sen ketjun. Sieltä tapaamme sidosryhmiä, kerromme heille, kuinka hyökkääjät tekisivät sen, ja tarjoamme yhden pienen muutoksen, jonka voit tehdä tämän korjaamiseksi.

Dan Costa: Mistä vektoreista olet eniten huolissasi? Tiedän, että saan edelleen sähköposteja IT: ltä, jotta ihmiset eivät napsauta sähköposteihin tai sähköpostien liitteisiin liitettyjä linkkejä. Missä näet edelleen olemassa olevia haavoittuvuuksia?

Josh Schwartz: Jos napsautat linkkejä ja lataat liitteitä, ajat niitä tietokoneellasi monista varoituksista huolimatta, se on ongelma. Mutta olemme kehittyneet uudeksi aikakaudeksi, jossa nyt on pääsy tietoihin, joita on pilvessä ja eri paikoissa. Jos valtuutat pääsyn jollekin toiselle, se on myös ongelma.

Se lopulta on ongelmallisempaa kuin tietokoneella toimiva jotain, koska sen ympärillä on jo paljon suojauksia. Nyt meillä on tietoa, joka kelluu siellä kaikkialla, ja sinulla on virasto hallita sitä. Sinulla on virasto myöntää muille pääsy siihen, se on tavallaan miten Internet toimii nyt. Hyökkääjät, mukaan lukien meitä, ovat siirtyneet kohti sellaisia ​​asioita vähän enemmän.

Dan Costa: On melko erikoista edes tarkastellessani omaa Google Drivea ja sitä, kuinka monta tiedostoa minulla on käyttöoikeus, jota minun ei todellakaan pitäisi käyttää. Mielestäni tilanne on paljon huonompi yrityksissä, jotka eivät ole niin teknisesti kehittyneitä kuin Ziff Davis ja PCMag. Kyse ei ole vain haittaohjelmia käyttävistä tiedostoista, vaan ne voivat olla yritysasiakirjoja tai taloudellisia asiakirjoja, joita et todellakaan halua, että kilpailijoillasi olisi loppukäyttäjiä tai rikollisia.

Josh Schwartz: Turvallisuus, yleensä se on tämä kokonaisvaltainen järjestelmä. Kyse ei ole 'Onko järjestelmässä vika, johon aion heittää jotain hyväksikäyttöä ja se räjähtää' tai jotain sellaista. Se ei enää toimi niin. Se on toisiinsa kytkettyjä järjestelmiä, ihmisiä, liiketoimintaprosesseja, heitä tukeva tekniikka, miten me suhtautumme siihen, politiikka - kaikki yhdessä… on turvallisuus.

Ja turvallisuus on usein vain sellainen tapa kuin sinusta tuntuu. Mitä mieltä olet tiedoista ja tiedoista? Mitä voit tehdä sen suojaamiseksi? Jos sinusta tuntuu vahvasti, ja panostasi ovat vähemmän kuin ympäröivät voimat, jotka yrittävät saada sen, olet epävarma. Mutta jos sinusta tuntuu kuin panostat tarpeeksi vaivaa eikä mitään huonoa tapahtuu, tunnet olosi turvalliseksi. Mutta turvallisuudelle ei ole kytketty / katkaisinta.

Dan Costa: Puhutaanpa vähän näiden uhkien luonteesta. Minusta näyttää olevan pari kauhaa, joista ihmiset ovat huolissaan. Hakkerointi oli leikkisä asia, jonka ihmiset tekivät pääsyäsi tietokoneellesi tai kaatumaan tietokoneesi. Sitten rikolliset keksivät, miten ansaita rahaa näiden eri tekniikoiden avulla. Mutta on myös valtion toimijoita ja jopa yksityisiä yrityksiä, joilla on valtava määrä tietoja ihmisistä. Missä mielestäsi suurimmat näkymättömät uhat ovat turvallisuustilassa?

Josh Schwartz: Selvitä missä suurin uhka on, päädyt selvittämään kuka olet. Suurin uhka sinulle ei todennäköisesti ole suurin uhka minulle, mikä ei ole suurin uhka jollekin yritykselle jossain. Se on tavallaan uhkien mallintamisesta, eikö niin? Et vain valitse suurinta uhkaa ja osoita heille. Luulet: "Mikä minulla on? Kuka ehkä haluaa sitä? Mitä minun pitäisi tehdä sille?" Yritä ja ryhdy toimiin lieventääksesi asioita, joita et halua tapahtua.

Pelkästään yrittäminen osoittaa tälle kansakunnalle on suurin uhka tai tämä yritys on suurin uhka. Se on jotain, joka saa meidät vähän ansaan, jossa aloitamme rakentaa kaiken uhan mallin. Ja vaikka olemme niin keskittyneet tähän yhteen pieneen asiaan, ympärillämme oleva maailma muuttuu ja silloin meitä sokeutetaan jonnekin alalinjaan.

Dan Costa: Monilla yrityksillä on ollut huomattavia tietorikkomuksia, ja suurin osa niistä johtuu heikosta tietoturvasta tai vain huonoista tapoista. Equifax surmasi miljoonia amerikkalaisia, mutta seurauksia ei todellakaan ollut. He maksavat sakon, mutta kaikki heidän johtajansa saivat bonuksia. Luuletko, että vastuuvelvollisuudessa on oltava jonkinlainen muutos?

Josh Schwartz: No olen mies, joka murtautuu tietokoneisiin, en ole julkisen politiikan tekijä, joten en oikeastaan ​​tiedä. Ehkä se muuttaisi asioita. Todennäköisesti tapahtuu muutoksia, mutta ajattelee, että muutos jonnekin muuttaa kaiken ja ettei enää ole ongelmia, olen sitä mieltä, että se on hiukan lyhytnäköinen.

Kyse on siitä, kuinka kaikki toimii yhdessä. Se miten me välitämme siitä yleisönä, miten yritykset välittävät siitä. Se on yksi kappale siitä, mutta se ei tietenkään ole koko ratkaisu. Ja mielestäni yksi isoista asioista, joita tarvitsemme tekniikan ammattilaisten tai tekniikan kuluttajien on ajateltava, on se, että turvallisuus ei ole jonkun työtä norsunluu tornissa kääntääksesi oikean kytkimen ja tehdäksesi kaiken täydelliseksi. Pienemmät muutokset käyttäytymisessä, joita voimme tehdä auttaaksemme tekemään kaikesta hieman turvallisempaa… kaikille.

Dan Costa: Millaiset henkilökohtaiset tietoturvatavat ovat? Käytätkö VPN-verkkoa? Käytätkö kaupallisia haittaohjelmien havaitsemista?

Josh Schwartz: Palataan uhkamalliin, eikö niin? Se riippuu siitä, mitä teen tuolloin. VPN suojaa sinua tietyiltä asioilta, mutta yhteyden muodostaminen VPN-verkkoon ei suojaa sinua viruksilta. Yhdistäminen VPN-verkkoon muuttaa olennaisesti maailmaa missä tahansa, ja joskus siitä voi olla hyötyä, jos tarvitset sitä.

Se laittaa liikenteesi pienen tunnelin sisälle ja tunneli vie sinut muualle ja liikenne lähtee jostakin muusta. VPN-verkko on hyödyllinen, jos se, missä olet, on vähän vaarallinen tai et halua jonkun tietävän missä olet. Ajatus siitä, että olen yhteydessä VPN: ään ja olen nyt turvassa Internetissä, en ole totta.

Minusta henkilökohtaisesti mielestäni suurin asia on salasanan hallinta. Ne ovat vähän uusi asia, mutta jos enemmän ihmisiä, he olisivat paljon paremmassa paikassa. Kaikkia näitä rikkomuksia on tapahtunut, eikö niin? Tunnet heidät melko hyvin. Joten loukkaavana vastustajana ne eivät ole yksityisiä. Kaikki mitä on vuotanut, on siellä Internetissä. Voimme kuratoida suuren luettelon kaikesta ja etsiä salasanoja sekä nähdä, mitä salasanoja olet aiemmin käyttänyt.

Sitten, jos yritän päästä käsiksi jotain sinulla on, voin etsiä aiemmin käyttämäsi salasanan, tiedän vähän sinusta ja voin ottaa nämä tiedot ja yrittää käyttää niitä uudelleen tai yrittää arvata mitä seuraava salasana voi olla. Salasanahallinnan käyttäminen ja jokaisen salasanan tekeminen erittäin ainutlaatuiseksi jokaiselle vierailemalle sivustolle on todella jotain, mikä on hyvää ja vie kuorman ihmisen aivoilta. Sinun on todella suojattava se vain yhdessä paikassa, mikä tekee turvallisuudesta paljon yksinkertaisempaa.

Dan Costa: Olemme suuria PCMag-salasananhallinnan faneja, olen käyttänyt LastPassia melkein 10 vuotta. Kun pääset yli siltä harppaukselta, että et itse tiedä salasanasi, se on niin helpotusta. Se muistuttaa minua myös siitä, että unohdimme Yahoo-rikkomuksen, josta vuodettiin paljon käyttäjätunnuksia ja salasanoja. Se oli vuosia sitten ja kukaan ei enää välittänyt Yahoo: sta, mutta kyseisen hakkeroinnin ja tietoverkkorikollisten arvo on, että monet ihmiset käyttävät edelleen niitä salasanoja, joita he käyttivät Yahoo 10 vuotta sitten. Ja voit etsiä mitä kaikki nämä salasanat ovat, mitä sanot.

Josh Schwartz: Se johtuu ihmisen käyttäytymisestä. Se johtuu siitä, että sinulla on tapoja ihmisinä ja hyökkääjinä. Se on usein mitä haluan hyödyntää. Se ei ole tekniikka. Teknologia paranee edelleen, ja se kasvattaa edelleen tietoturvaa ja entistä turvallisempaa, koska meillä on tämä tarve, joka vetää yritystä eteenpäin.

Mutta ihmisen käyttäytyminen on jotain, joka on eräänlainen vastuumme muuttaa. Ja jos emme muuta tapojamme ja teemme itsestämme turvallisempia, ei ole tekniikkaa, joka voisi suojata meitä mistään.

Dan Costa: Onko muitakin tapoja kuin salasanan hallinta, jotka luulet kuluttajien tarvitsevan omaksumaan, etenkin kun olemme siirtymässä esineiden Internetin ikään ja kaikki on niin paljon yhteydessä toisiinsa?

Josh Schwartz: Jos ajattelet sitä, se ei ole enää vain tietokoneesi. Se on laitteita kaikkialla ja tiettyjä tapoja. Ehkä luulet, että puhelimesi ei ole niin tärkeä, mutta puhelimeesi asettama salasana on käytännössä salasana. Puhelimella on pääsy moniin samoihin asioihin, joita tietokoneellasi saattaa olla. Ajattele kaikkea koskettavaa, joka on vuorovaikutuksessa kaikkien tietojen kanssa, joita haluat suojata, ja varmista, että käsittelet sitä yhtä herkästi kuin kannettavaa tietokonetta tai työpöytää tai tietokonetta töissä.

Dan Costa: Minulla oli pari ihmistä RSA: lla viime viikolla, ja he haastattelivat NSA: n virkamiestä, joka sanoi: "Puhelimen salauksesta huolimatta he voivat käyttää puhelimia, koska suurin osa ihmisistä ei silti lukitse puhelimiaan." On olemassa paljon ihmisiä, jotka eivät lukitse puhelimiaan ollenkaan, ja he eivät tarvitse salausta salataksesi sitä. Se on vain puhdasta käyttäjän käyttäytymistä.

Josh Schwartz: Tai salasanan kaikki nollat ​​tai kaikki tai jotakin sellaista. Aina on tämä ajatus, että tekniikan kehittyessä ja kun salasanasta tulee enemmän asioita, kuten sormenjälkesi, kasvosi tai jotain sellaista, tapahtuu aina hyökkäys ja jollain tavalla sen ympärille. Minun on vain löydettävä sinut ja osoitettava puhelimesi kasvoihisi tai leikattava sormesi ja laitettava se puhelimeesi.

Dan Costa: Nähdään myös monissa elokuvissa.

Josh Schwartz: Kyllä, mutta emme tee niin nykyään, mikä on hyvä.

Dan Costa: Sinulla loppuu joukkueen jäsenet todella nopeasti tällä tavalla.

Josh Schwartz: Ja sormet, se vaikeuttaa kirjoittamista.

Dan Costa: He voivat työskennellä 10 projektissa ja sen jälkeen se on loppu. Joten, kerro minulle mitä teet, mikä on tasapaino sosiaalisen suunnittelun ja teknisen hakkeroinnin välillä? Ja muuttuuko se sekoitus ajan myötä?

Josh Schwartz: Sosiaalitekniikka on aina ollut leipäni ja voini. Se on vähiten vastustuskyvyn tie hyvin usein. Sanoisin, että se on sekoitus. Paljon asiaa on yrittää selvittää, mitä siellä todella olemassa on, mutta se on mielenkiintoista. Sosiaalinen tekniikka, se ei ole vain loukkaavassa maailmassa. Jos mietit miten sisäinen punainen joukkue on olemassa yrityksen sisällä… teemme joitain teknisiä hakkerointeja ja käytämme sosiaalista tekniikkaa, fyysistä ja kaikkea yhdistettyä yrittääksemme suorittaa tämä tappava ketju, suorittaaksemme tehtävän.

Mutta sitten myöhemmin, jos mietit mitä turvallisuus yrittää tehdä, yritämme insinööritä kaikille mittakaavassa parempia tapoja suuremman hyödyn hyväksi. Monta kertaa, se on tarinan kertomista mitä teimme ja ihmisten kouluttaminen… yrityksessä "tässä on miten se toimii, tässä on mitä voit tehdä ollaksesi parempi". Se on sosiaalinen tekniikka. Joten todella suuri osa työstä on sosiaalisuunnittelu, koska se saa ihmiset huolehtimaan turvallisuudesta oikeilla tavoilla, tekemään oikeita valintoja, toivottavasti välittämään oikeista asioista.

Dan Costa: Kuvittelen, että kun ihmiset saavat sinulta sähköpostia, he eivät halua vastata. Jos kysyt jotain, en usko, että ensimmäinen vastaus on kieltävä.

Josh Schwartz: Punaiset joukkueet ovat käyneet läpi metamorfoosin viimeisen vuosikymmenen aikana. Aloitat tässä paikassa, jossa olet erittäin vastustava, erittäin loukkaava, yrität lyödä rumpua ja kertoa kaikille, että turvallisuus on tärkeää ja noina päivinä ihmiset näkevät sinut vastustajana, koska no, se on sinun tehtäväsi.

Minulla on ollut henkilökohtaisia ​​kokemuksia siitä, kun pääsen hissiin ja ihmiset ovat kuin "Voi, en halua mennä minun kerrokselleni, koska Red Team on täällä" ja olen kuin "En ole todellinen paha kaveri." Se on muuttunut ajan myötä, koska lopulta todellakin kaikki pyrimme kohti samaa päämäärää: suojelemme tietoja, suojelemme kuluttajia. Joten kun teemme yhteistyötä ja jaamme tietoa siitä, mitä olemme tehneet vastustajina, sellaiset sulakkeet ja he näkevät meidät liittolaisena ja ystävänä, mutta pääsy siihen vie jonkin aikaa. Mutta näen suuntauksen oikeaan suuntaan, joten se on hyvä.

Dan Costa: Hienoa. Aion kysyä sinulta pari kysymystä, jotka esitän kaikille, jotka tulevat näyttelyyn. Onko jotain tekniikkaa koskevaa suuntausta, joka pitää sinut yöllä?

Josh Schwartz: Se pitää minut yllä yön yli? Ehkä kaikkialla ympärillämme olevalla tekniikalla saatavuus ja mukavuus. Ei niin paljon… todellinen vastaus on, että mikään ei pidä minua yöllä.

Dan Costa: Nukut hyvin.

Josh Schwartz: Näen pahimmat asiat ja riskin hyväksymistä kannattaa myöntää, missä olen: "Okei, tiedän millainen maailma on, tiedän mikä on mahdollista ja aion olla kunnossa sen kanssa." Tiedän, että tekniikkaa infusoidaan elämääni kaikkialla, ja aion tehdä valinnan siitä, että se on kunnossa, mutta aion toimia tavalla, joka ymmärrän sen ja nukun kuin vauva.

  • Parhaat ilmaiset salasanan hallintajärjestelmät vuodelle 2019 Parhaat ilmaiset salasanan hallintaohjelmat vuodelle 2019
  • Kuinka selvittää, onko salasanasi varastettu Kuinka selvittää, onko salasanasi varastettu
  • Facebook-tiedostoon tallennettiin jopa 600 miljoonaa käyttäjän salasanaa yksinkertaisella tekstillä Facebook-tallennettiin enintään 600 miljoonaa käyttäjän salasanaa selkeällä tekstillä

Dan Costa: Hyvä on, onko tekniikkaa, jota käytät joka päivä, tai työkalua tai palvelua, joka inspiroi ihmettä?

Josh Schwartz: No, se ei ole matkapuhelinni, mutta rehellisesti sanottuna on paljon asioita, jotka ovat tulossa ja tulossa, jotka ihmettelen ja tunnen enimmäkseen kärsimättömyyttä. Toivon, että he pääsevät tänne nopeammin. Olen innoissani AI: n tulevaisuudesta, koneoppimisen tulevaisuudesta ja asioista, jotka toivottavasti antavat meille entistä paremman yhteyden maailmaan. Enimmäkseen odotan vain sitä. Mutta mikään ei todellakaan yllättä minua liikaa, luulen.

Dan Costa: Kuinka ihmiset voivat seurata mitä teet, mitä sinulla on oikeus kertoa ihmisille julkisesti, miten he voivat löytää sinut verkosta?

Josh Schwartz: Menen ohjaajan FuzzyNopin varrella, joten ihmiset voivat löytää minut sieltä mistä tahansa.

Verizon media punaisen joukkueen päälliköllä on yksi yksinkertainen tietoturvavinkki