Video: Welcome to the new era of enterprise | Verizon (Listopad 2024)
V této epizodě Rychlého vpřed vítám Josha Schwartze, vedoucího interního Red Team Verizon Media. To znamená, že tráví dny tím, že se snaží proniknout do nejcennějších a nejdůvěryhodnějších systémů svého zaměstnavatele, nejlépe před tím, než někdo, kdo není na výplatní listině, udělá totéž.
Dan Costa: Myslím, že lidé mají nejasnou představu o tom, jaké červené týmy jsou; viděli je ve filmech. Je to zábavné a vzrušující, jak to vypadá v televizi?
Josh Schwartz: Já jen přeji, že? Je zodpovědný za vniknutí, dostat se na místa. Samozřejmě je to docela vzrušující, ale ve filmech samozřejmě vidíte všechno, co se děje okamžitě, a ve skutečnosti to tak není. Zabere to spoustu práce… není to jen pobíhání způsobující žerty.
Ve skutečnosti se snaží ovlivnit změny v organizaci a snaží se organizaci informovat o tom, „Co špatní lidé opravdu dělají?“ Tato role bytí v interním červeném týmu je, i když je stále vzrušující, stále musím chodit na schůzky, stále si musím stanovit cíle, podobné věci.
Dan Costa: Kdo jsou jednotlivci v tomto týmu? Představuji si, že existuje spousta programátorů, ale myslím si, že to není omezeno pouze na programátory.
Josh Schwartz: Rozmanitost sady dovedností v týmu je něco, co když nemáme, takovou schopnost nemáme. Existuje velmi mylná představa kvůli tomu, co ve filmech vidíte, je to, že existuje jeden hackerský člověk a dokáže vyřešit jakýkoli technologický problém.
Dan Costa: A je tu auto chlap, specialista na zbraně.
Josh Schwartz: Ve skutečnosti buduji tým, takže každý člověk je v něčem odborníkem. Ten chlap je ten, kdo ví, jak dělat fyzické vniknutí, a někdo jiný je odborník na kryptografii a někdo jiný je odborník na sociální inženýrství. To, že každý člověk bude odborníkem, znamená, že se můžeme o sebe opřít, abychom efektivně… vyřešili jakýkoli problémový typ týmu.
Dan Costa: Jak tedy vypadá den v kanceláři? Jaké typy věcí testujete?
Josh Schwartz: Být hackerem je prostě druh někoho, kdo má rád rozebírání systémů, že? To je důvod, proč nejsme ze své podstaty kriminální jen tím, že jsme hackerem.
Takže za den v kanceláři si stanovujeme cíle na základě výsledků, jako jsou scénáře nejhorších případů, které chceme vidět. Jaké jsou kroky k tomu, abychom se od ničeho k dosažení tohoto cíle, který je pro společnost opravdu špatný? Odtud můžeme vytvořit něco, co se nazývá „zabijácký řetěz“. Jeden den v kanceláři přijde na to, jak dosáhnout toho řetězce. Pak přemýšlíme o různých místech, kde bychom mohli ten řetěz rozbít. Odtud se setkáváme se zúčastněnými stranami, řekneme jim, jak by to útočníci udělali, a nabídneme jednu malou změnu, kterou můžete napravit.
Dan Costa: O jaké vektory se nejvíce bojíte? Vím, že od IT stále dostávám e-maily, které lidem říkají, aby neklikali na odkazy připojené k e-mailům nebo e-mailovým přílohám. Kde vidíte zranitelná místa, která tam stále jsou?
Josh Schwartz: Pokud kliknete na odkazy a stahujete přílohy, spustíte je na svém počítači i přes mnohá varování, to je problém. Ale vyvinuli jsme se do nové éry, kde je nyní přístup k informacím, které existují v cloudu a na různých místech. Pokud autorizujete přístup k někomu jinému, je to také problém.
To skončí být problematičtější než něco, co běží na vašem počítači, protože kolem toho již existuje spousta ochranných opatření. Nyní máme všude plovoucí informace a máte agenturu, která je ovládá. Máte agenturu, která k tomu uděluje přístup jiným věcem, je to druh, jak internet funguje nyní. Útočníci, včetně nás, se posunuli k podobným věcem trochu víc.
Dan Costa: Je to docela neobvyklé, i když se podívám na svůj vlastní Disk Google a na kolik souborů, ke kterým mám přístup, bych opravdu neměl. Představuji si, že je to mnohem horší ve společnostech, které nejsou tak technologicky náročné jako Ziff Davis a PCMag. Nejsou to jen soubory, které používají malware, ale mohou to být firemní dokumenty nebo finanční dokumenty, které opravdu nechcete, aby vaši konkurenti měli nebo koncových uživatelů nebo zločinců.
Josh Schwartz: Bezpečnost, obecně je to tento holistický systém. Nejde o „Je v systému chyba, kde na to hodím nějaké vykořisťování a bude to explodovat“ nebo něco takového. Už to nefunguje. Jsou to vzájemně propojené systémy, lidé, obchodní procesy, technologie, která je podporuje, jak se o tom cítíme, politika - vše společně… je bezpečnost.
A bezpečnost je často jen o tom, jak se o tom cítíte. Jak se cítíte o údajích a informacích? Jaké kroky můžete podniknout k jeho ochraně? Pokud se o tom cítíte silně a úsilí, které vynakládáte, je menší než úsilí sil kolem vás, které se ho snaží získat, pak jste nejistí. Ale pokud máte pocit, že vyvíjíte dostatečné úsilí a neděje se nic špatného, cítíte se bezpečně. Neexistuje však žádný vypínač pro zabezpečení.
Dan Costa: Pojďme se trochu zmínit o povaze těchto hrozeb. Zdá se mi, že je tu pár kbelíků, které si lidé dělají starosti. Hacking byl hravou věcí, kterou lidé udělali, aby získali přístup k vašemu počítači nebo havaroval počítač. Poté zločinci přišli na to, jak vydělat peníze pomocí těchto různých technik. Existují však také státní aktéři a dokonce i soukromé společnosti, které mají obrovské množství údajů o lidech. Kde si myslíte, že největší neviditelné hrozby jsou v bezpečnostním prostoru?
Josh Schwartz: Přijít na to, kde je největší hrozba, přijde na to, kdo jste. Největší hrozba pro vás pravděpodobně není největší hrozbou pro mě, která není největší hrozbou pro nějakou společnost někde. Je to něco o modelování hrozeb, že? Nejste jen vybrat největší hrozbu a poukazovat na ně. Myslíš si: „Co to mám? Kdo by to mohl chtít? Co s tím mám dělat?“ A zkuste podniknout kroky ke zmírnění věcí, které se nechcete stát.
Jen pokusit se poukázat na tento národ je největší hrozba nebo tato společnost je největší hrozba je něco, co nás dostane do trochu pasti, kde začneme stavět model hrozby. A i když jsme se tak soustředili na tuto jednu maličkost, svět kolem nás se mění a potom jsme někde zaslepeni slepou stranou.
Dan Costa: Mnoho společností zažilo masivní narušení dat a většina z nich je způsobena laxním zabezpečením nebo jen špatnými návyky. Equifax doxoval miliony Američanů, ale ve skutečnosti nebyly žádné důsledky. Budou platit pokutu, ale všichni jejich vedoucí pracovníci dostali bonusy. Myslíte si, že je třeba provést nějakou změnu, pokud jde o odpovědnost?
Josh Schwartz: No, já jsem člověk, který se vloupal do počítačů, ne jako tvůrce veřejné politiky, takže to vlastně nevím. Možná by to změnilo věci. Pravděpodobně by došlo ke změnám, ale na své základní úrovni, když si myslíme, že jedna změna někde změní všechno a že už neexistují žádné problémy, myslím, že je trochu krátkozraká.
Jde o to, jak všechno funguje společně. Je to o to, jak se o nás staráme jako o veřejnost, a o to, jak se o to podniky starají. Je to jeden kus, ale samozřejmě to není celé řešení. A myslím si, že jednou z velkých věcí, kterou potřebujeme jako odborníci na technologie nebo spotřebitelé technologií, je třeba myslet na to, že bezpečnost není práce někoho ve věži ze slonoviny, aby otočila správný spínač a učinila vše dokonalým. Čím více drobných změn v chování, které můžeme udělat, aby se vše trochu bezpečnější… pro všechny.
Dan Costa: Jaké jsou vaše osobní bezpečnostní návyky? Používáte VPN? Používáte běžnou detekci malwaru?
Josh Schwartz: Vrací se k modelu hrozby, že? Záleží na tom, co dělám v té době. VPN vás chrání před některými věcmi, ale připojení k VPN vás nechrání před viry. Připojení k síti VPN se zásadně mění tam, kde se nacházíte, a někdy to může být užitečné, pokud to potřebujete.
Uvádí váš provoz do malého tunelu a tento tunel vás zavede někam jinam a provoz vyjde na jiném místě. VPN je užitečná, pokud jste v místě, kde je trochu nebezpečný nebo nechcete, aby někdo věděl, kde jste. Myšlenka, že jsem připojen k VPN a nyní jsem v bezpečí na internetu, není to tak pravda.
Osobně si myslím, že největší věcí jsou manažeři hesel. Jsou to trochu nová věc, ale pokud bude více lidí, budou na mnohem lepším místě. Došlo k těmto porušením, že? Jste s nimi docela obeznámeni. Takže jako útočný protivník nejsou soukromí. Všechno, co uniklo, je venku na internetu. Můžeme spravovat velký seznam všeho a hledat hesla a zjistit, jaká hesla jste dříve používali.
Pokud se pak snažím získat přístup k něčemu, co máte, pokud mohu jít najít heslo, které jste použili dříve, vím o tobě trochu a můžu si tyto informace vzít a zkusit je znovu použít nebo zkusit uhodnout, jaké jsou vaše další heslo může být. Použití správce hesel a učinění každého hesla jedinečným pro každý navštívený web je ve skutečnosti něco dobrého a zabírá to zátěž lidského mozku. Opravdu ji musíte chránit pouze na jednom místě, což značně zjednodušuje zabezpečení.
Dan Costa: Jsme velcí fanoušci správců hesel v PCMag, LastPass používám téměř 10 let. Jakmile překonáte ten skok, že nevíte svá hesla, je to taková úleva. Také mi to připomíná, že jsme zapomněli na porušení Yahoo, které uniklo spousty uživatelských jmen a hesel. Bylo to před lety a nikdo se o Yahoo opravdu nezajímal, ale hodnota tohoto hacku a hodnota pro počítačové zločince je taková, že mnoho lidí stále používá ta hesla, která použili na Yahoo před 10 lety. A můžete se podívat, co všechna tato hesla jsou, to, co říkáte.
Josh Schwartz: Týká se to lidského chování. Záleží na tom, že máte zvyky jako člověk a jako útočník. To je často to, co chci využít. Není to technologie. Technologie se bude stále zlepšovat a bude i nadále zvyšovat bezpečnost a bude bezpečnější, protože tuto potřebu potřebujeme, která vede vpřed.
Ale lidské chování je něco, co je druh naší odpovědnosti za změnu. A pokud nezměníme své návyky a nebudeme si jistější, neexistuje technologie, která by nás mohla ochránit před čímkoli.
Dan Costa: Existují jiné návyky než správce hesel, o kterých si myslíte, že je budou muset zákazníci přijmout, zejména když se stěhujeme do věku věcí internetu a všechno je tak mnohem více propojené?
Josh Schwartz: Pokud o tom přemýšlíte, není to jen váš počítač. Je to zařízení všude a určité návyky. Možná si myslíte, že váš telefon není tak důležitý, ale heslo, které zadáte do telefonu, je v podstatě vaše heslo. Telefon má přístup k mnoha stejným věcem, ke kterým může mít váš počítač přístup. Přemýšlejte o všem, čeho se dotknete, který spolupracuje se všemi daty, která byste chtěli chránit, a ujistěte se, že s nimi nakládáte stejně citlivě jako váš notebook nebo stolní počítač nebo počítač v práci.
Dan Costa: Minulý týden jsem měl v RSA pár lidí a rozhovor s úředníkem NSA, který řekl: „Bez ohledu na šifrování telefonu mohou přistupovat k telefonům, protože většina lidí stále své telefony nezamkne.“ Existuje spousta lidí, kteří své telefony vůbec nezablokovali, a na jejich odstranění nepotřebují žádné šifrování. To je pouze čisté chování uživatelů.
Josh Schwartz: Nebo heslo jsou všechny nuly nebo všechny nebo něco podobného. Vždy existuje tato myšlenka, že jak technologie postupují a jak se vaše heslo stává více věcí, jako je váš otisk prstu nebo obličej nebo něco podobného, vždy bude existovat nějaký útok a nějaká cesta kolem něj. Potřebuji tě jen najít a namířit telefon na obličej, nebo si musím odříznout prst a dát si ho do telefonu.
Dan Costa: Také viděn v mnoha filmech.
Josh Schwartz: Jo, ale v současné době to neděláme, což je dobré.
Dan Costa: Tímto způsobem vám dojdou velmi rychle členové týmu.
Josh Schwartz: A prsty, je těžké psát.
Dan Costa: Mohou pracovat na 10 projektech a to je konec. Takže, řekni mi, co děláš, jaká je rovnováha mezi sociálním inženýrstvím a technickým hackováním? A mění se tato směs v průběhu času?
Josh Schwartz: Sociální inženýrství bylo vždy mým chlebem a máslem. Je to cesta nejmenšího odporu velmi často. Řekl bych, že je to mix. Hodně z toho je zjišťování, snaží se přijít na to, co tam skutečně existuje, ale je to zajímavé. Aspekt sociálního inženýrství není jen v útočném světě. Pokud přemýšlíte o tom, jak interní Red Team existuje ve společnosti… děláme některé technické hackery a používáme sociální inženýrství, fyziku a všechno dohromady, abychom se pokusili a provedli tento zabijácký řetězec, splňte misi.
Ale poté, pokud přemýšlíte o tom, co se zabezpečení snaží, je pokusit se sociálního inženýra, aby měl lepší návyky pro větší dobro. Mnohokrát je to vyprávění příběhu o tom, co jsme udělali, a vzdělávání lidí uvnitř… společnost „tady je, jak to funguje, tady je to, co můžete udělat, abyste byli lepší.“ To je sociální inženýrství. Opravdu, velká část práce je sociální inženýrství, protože přiměje lidi, aby se starali o bezpečnost správným způsobem, udělali správná rozhodnutí, doufejme, že se starají o správné věci.
Dan Costa: Představuji si, že když od vás lidé dostávají e-maily, nechtějí reagovat. Pokud něco požádáte, nemyslím si, že první odpověď zní ne.
Josh Schwartz: Červené týmy za poslední desetiletí prošly trochu metamorfózou. Začnete na tomto místě, kde jste extrémně protivníci, extrémně urážliví, snažíte se porazit buben a dejte všem vědět, že bezpečnost je důležitá, a v těch dnech vás lidé vidí jako protivníka, protože dobře, to je vaše práce.
Osobně jsem měl zkušenosti, kde jsem se dostal do výtahu a lidé jsou jako: „Ach, nechci jít na podlahu, protože Red Team je tady, “ a já jsem rád, „nejsem skutečný špatný chlap." Časem se to změnilo, protože nakonec se všichni skutečně snažíme dosáhnout stejného cíle: chránit informace, chránit naše spotřebitele. Takže když pracujeme společně a jak sdílíme informace o tom, co jsme udělali jako protivníci, tento druh pojistek a oni nás vidí jako spojence a přítele, ale trvalo nějakou dobu, než jsme se tam dostali. Ale vidím trend správným směrem, takže je to dobré.
Dan Costa: Skvělé. Pokládám vám pár otázek a ptám se každého, kdo přichází na show. Existuje technologický trend, který se vás týká, něco, co vás udržuje v noci?
Josh Schwartz: To mě drží v noci? Možná všudypřítomnost a pohodlí, které dostáváme se všemi technologiemi kolem nás. Ne tolik… vlastně, skutečná odpověď je, že mě nic v noci nezdržuje.
Dan Costa: Spíte dobře.
Josh Schwartz: Vidím nejhorší věci a riskuje to přijetí, kde jsem rád: "Dobře, vím, jaký je svět, vím, co je možné, a budu s tím v pořádku." Vím, že tato technologie bude do mého života vpravena všude, a já se rozhodnu, že s tím budu v pořádku, ale budu pracovat takovým způsobem, jak tomu rozumím, a spím jako dítě.
- Nejlepší správci hesel zdarma pro rok 2019 Nejlepší správci hesel zdarma pro rok 2019
- Jak zjistit, zda bylo vaše heslo odcizeno Jak zjistit, zda bylo vaše heslo odcizeno
- Facebook Uloženo až 600M uživatelských hesel v prostém textu Facebook Uloženo až 600M uživatelských hesel v prostém textu
Dan Costa: Dobrá, existuje technologie, kterou používáte každý den, nebo nástroj nebo služba, která inspiruje zázrak?
Josh Schwartz: No, není to můj mobilní telefon, ale upřímně řečeno, existuje spousta věcí, které se objevují a přicházejí a které mě zajímají a většinou se cítím netrpělivě. Přál bych si, aby se sem dostali rychleji. Jsem nadšený z budoucnosti AI, budoucnosti strojového učení a věcí, které nám, doufejme, poskytnou propojenější svět. Většinou na to jen čekám. Ale nic mě opravdu moc nepřekvapuje.
Dan Costa: Jak tedy mohou lidé sledovat, co děláte, co můžete lidem říkat veřejně, jak vás mohou najít online?
Josh Schwartz: Chodím za přezdívkou FuzzyNop, aby mě tam lidé mohli najít kdekoli.
