Video: Mysteries and Scandals - Groucho Marx (2001) (November 2024)
V tej epizodi Hitro naprej pozdravljam Josha Schwartza, vodjo notranje ekipe Redizon Media Red. To pomeni, da preživlja dneve, ko poskuša najti najbolj dragocene in zaupanja vredne sisteme svojega delodajalca, v najboljšem primeru, preden nekdo, ki ni na plačni listi, stori isto.
Dan Costa: Mislim, da imajo ljudje nejasno predstavo o tem, kaj so rdeče ekipe; videli so jih v filmih. Je tako zabavno in vznemirljivo, kot je videti na televiziji?
Josh Schwartz: Jaz si samo želim, kajne? Odgovorna je za vdor, iskanje krajev. Seveda je zelo razburljivo, toda očitno v filmih vidite, da se vse dogaja v trenutku, v resnici pa ne. Potrebno je veliko dela… ne gre samo za tek, ki povzroča potegavščine.
Pravzaprav poskuša vplivati na spremembe znotraj organizacije in poskušati pomagati pri obveščanju organizacije o tem "Kaj v resnici počnejo slabi fantje?" Ta vloga, da sem član notranje rdeče ekipe, je, čeprav je še vedno navdušujoče, vseeno moram iti na sestanke, še vedno si moram zastaviti cilje.
Dan Costa: Kdo so posamezniki v tej ekipi? Predstavljam si, da je veliko programerjev, ampak predstavljam si, da ni omejena samo na programerje.
Josh Schwartz: Raznolikost nabora spretnosti v timu je nekaj, česar pa mi nimamo. Zelo pogosto se pojavlja napačno mnenje, kajti v filmih je videti, da obstaja en heker, ki lahko reši kakršno koli tehnološko težavo.
Dan Costa: In tu je avtomobil, specialist za orožje.
Josh Schwartz: V resnici sestavljam ekipo, tako da je vsak človek strokovnjak za nekaj. Ta fant je tisti, ki zna narediti fizični vdor in nekdo drug je strokovnjak za kriptografijo in nekdo drug je strokovnjak za socialni inženiring. To, da je vsaka oseba strokovnjak, pomeni, da se lahko naslonimo, da učinkovito rešimo katero koli težavo v skupini.
Dan Costa: Torej, kako izgleda dan v pisarni? Katere vrste stvari preizkušate?
Josh Schwartz: Biti heker je le nekako biti nekdo, ki ima rad ločevanje sistemov, kajne? To je razlog, da nismo samo po sebi zločinci s tem, da smo hekerji.
Torej, v enem dnevu v pisarni smo si zastavili cilje glede na rezultate, nekako kot najslabši scenariji, ki jih želimo videti. Kakšni so koraki, da od nič ne dosežemo tega cilja, ki je za podjetje res slab? Od tam lahko oblikujemo nekaj, kar imenujemo "veriga ubijanja". En dan v pisarni se domisli, kako to verigo uresničiti. Nato pomislimo na različna mesta, kjer bi lahko prekinili to verigo. Od tam se srečamo z zainteresiranimi stranmi, jim povemo, kako bi to storili napadalci, in vam ponudimo nekaj malega, da lahko to odpravite.
Dan Costa: Kateri so vektorji, ki vas najbolj skrbijo? Vem, da še vedno prejemam e-poštna sporočila, ki ljudem sporočajo, naj ne klikajo na povezave v e-poštnih sporočilih ali priloge e-pošte. Kje vidite ranljivosti, ki so še vedno zunaj?
Josh Schwartz: Če klikate na povezave in prenašate priloge in jih kljub številnim opozorilom zaženete v računalnik, je to težava. Toda razvili smo se v novo dobo, v kateri je zdaj dostop do informacij, ki obstajajo v oblaku in različnih krajih. Če dovoljujete dostop komu drugemu, je to tudi težava.
To je na koncu bolj problematično kot nekaj, kar se v računalniku izvaja, saj je okrog tega že veliko zaščite. Zdaj imamo informacije, ki plavajo vsepovsod, vi pa imate agencijo, ki jo lahko nadzoruje. Če imate dostop do drugih stvari, imate agencijo, nekako deluje internet. Napadalci, tudi mi, so se nekoliko bolj premaknili proti takim.
Dan Costa: Če pogledam svoj Google Drive in koliko datotek, do katerih imam dostop, do tega ne bi smel biti izreden. Predstavljam si, da je veliko slabše v podjetjih, ki niso tako tehnološko izpopolnjena kot Ziff Davis in PCMag. Niso samo datoteke z zlonamerno programsko opremo, ampak lahko to korporativni dokumenti ali finančni dokumenti, za katere preprosto ne želite, da imajo vaši konkurenti ali končni uporabniki ali kriminalci.
Josh Schwartz: Na splošno varnost, to je ta celostni sistem. Ne gre za "Ali je v sistemu hrošče, kamor bom nanj vrgel kakšen izkorišček in bo eksplodiralo" ali kaj podobnega. Ne deluje več tako. Gre za medsebojno povezane sisteme, ljudi, poslovne procese, tehnologijo, ki jih podpira, kako se počutimo glede tega, politiko - vse skupaj… je varnost.
In varnost je pogosto takšna, kot se počutite ob tem. Kako se počutite s podatki in informacijami? Katere ukrepe lahko zaščitite? Če čutite močno in je trud, ki ga vložite, manjši od naporov sil, ki vas obkrožajo, potem ste negotovi. Če pa se počutite, kot da vlagate dovolj truda in se nič hudega ne zgodi, se počutite varne. Toda za varnost ni stikala za vklop / izklop.
Dan Costa: Pogovorimo se malo o naravi teh groženj. Zdi se mi, da nekaj vedra skrbi ljudi. Hakiranje je bilo včasih igrivo, kar so ljudje storili, da bi dobili dostop do vašega računalnika ali ga zrušili. Nato so kriminalisti ugotovili, kako zaslužiti z uporabo teh različnih tehnik. Obstajajo pa tudi državni akterji in celo zasebna podjetja, ki imajo ogromno podatkov o ljudeh. Kje so po vašem mnenju največje nevidne grožnje v varnostnem prostoru?
Josh Schwartz: Ugotoviti, kje je največja grožnja, je ugotoviti, kdo ste. Verjetno mi največja grožnja ni največja grožnja zame, kar nekje ni največja grožnja. Nekako gre za modeliranje groženj, kajne? Ne izberete samo največje grožnje in jim kažete. Mislite: "Kaj imam jaz? Kdo bi si ga želel? Kaj naj storim glede tega?" Poskusite in ukrepajte tako, da ublažite stvari, za katere nočete, da se zgodijo.
Samo poskus nakazovanja na ta narod je največja grožnja ali je to podjetje največja grožnja, kar nas spravlja v malo past, kjer začnemo graditi model groženj o vsem. In medtem ko smo tako osredotočeni na to eno malenkost, se svet okoli nas spreminja in potem smo zaslepljeni nekje navzdol.
Dan Costa: Veliko podjetij je imelo ogromne kršitve podatkov in večina je posledica oslabljene varnosti ali zgolj slabih navad. Equifax je nakopal milijone Američanov, a posledic res ni bilo. Plačali bodo globo, toda vsi njihovi direktorji so dobili bonuse. Ali menite, da je treba sprejeti kakšno spremembo glede odgovornosti?
Josh Schwartz: No, jaz sem človek, ki vdre v računalnike in ne oblikovalec javnih politik, tako da v resnici ne vem. Mogoče bi to spremenilo stvari. Verjetno bi prišlo do sprememb, toda na svoji temeljni ravni, če pomislim, da ena sprememba nekje spremeni vse in da ni več nobenih težav, se mi zdi malo kratkovidno.
Gre za to, kako vse deluje skupaj. Tako kot mi skrbimo za to kot javnost, kako skrbijo podjetja. To je en kos, seveda pa ni celotna rešitev. In mislim, da je ena od velikih stvari, ki jo potrebujemo kot tehnološki strokovnjaki ali porabniki tehnologije, ta, da varnost ni nekdo v službi v slonovinskem stolpu, da preklopi pravo stikalo in naredi vse popolno. Več manjših sprememb v vedenju, ki jih lahko sprejmemo, da bomo naredili vse bolj varno… za vse.
Dan Costa: Kakšne so vaše osebne varnostne navade? Ali uporabljate VPN? Ali uporabljate komercialno odkrivanje zlonamerne programske opreme?
Josh Schwartz: Gre za model grožnje, kajne? Odvisno je, kaj počnem takrat. VPN vas ščiti pred nekaterimi stvarmi, a povezava z VPN vas ne zaščiti pred virusi. Povezava z zasebnim omrežjem VPN se v bistvu spremeni tam, kjer ste na svetu in včasih, kar je lahko koristno, če ga potrebujete.
Vaš promet usmeri v majhen predor in tunel vas popelje nekam drugam, promet pa pride na drugem mestu. VPN je uporaben, če ste tam, kjer ste nekoliko varni, ali če ne želite, da nekdo ve, kje ste. Zamisel, da sem povezan z VPN in sem zdaj varna na internetu, ni tako resnična.
Zame osebno mislim, da so največje stvar upravljavci gesel. So nekaj novega, a če bi bilo več ljudi, bi bili na veliko boljšem mestu. Vse te kršitve je bilo, kajne? Precej jih poznate. Tako kot žaljivega nasprotnika ti niso zasebni. Vse, kar je uhajalo, je zunaj na internetu. Lahko si omislimo velik seznam vsega in poiščemo gesla in si ogledamo, katera gesla ste že uporabljali.
Potem, če poskušam dobiti dostop do nečesa, kar imate, če lahko poiščem geslo, ki ste ga uporabljali prej, vem malo o vas in lahko vzamem te podatke ter jih poskusim in ponovno uporabim ali poskusim in ugibam, kaj je Naslednje geslo je morda. Uporaba upravitelja gesel in izdelava vsakega gesla nadvse edinstvenega za vsako spletno mesto, ki ga obiščete, je pravzaprav nekaj, kar je dobro in zahteva človeške možgane. Zaščititi ga morate samo na enem mestu, kar varnost naredi veliko bolj preprosto.
Dan Costa: Smo veliki oboževalci upravljavcev gesel v PCMagu, LastPass uporabljam že skoraj 10 let. Ko enkrat presežete ta preskok, da svojega gesla dejansko ne poznate, je to olajšanje. Spominja me tudi, da smo nekako pozabili na kršitev Yahooja, zaradi česar je puščalo veliko uporabniških imen in gesel. To je bilo pred leti in za Yahoo nihče ni več skrbel, toda vrednost tega heca in vrednost kibernetskih kriminalcev je v tem, da veliko ljudi še vedno uporablja ta gesla, ki so jih uporabljali za Yahoo pred 10 leti. In lahko poiščete, kaj vse so ta gesla.
Josh Schwartz: Prihaja do človeškega vedenja. Spušča se na dejstvo, da imate navade kot človek in kot napadalec. To pogosto želim izkoristiti. To ni tehnologija. Tehnologija se bo še naprej izboljševala in še naprej bo povečevala varnost in postala bolj varna, saj imamo to potrebo po njej, ki poganja poslovanje naprej.
Toda človeško vedenje je nekaj, kar je nekako naša odgovornost, da spremenimo. In če ne spremenimo svojih navad in naredimo bolj varne, ni nobene tehnologije, ki bi nas zaščitila pred čimer koli.
Dan Costa: Ali obstajajo še druge navade, razen upravljavca gesel, za katere menite, da jih bodo morali porabiti uporabniki, še posebej, ko se premikamo v starost interneta stvari in je vse toliko bolj povezano?
Josh Schwartz: Če razmislite, to ni več samo vaš računalnik. Naprave so povsod in določene navade. Mogoče mislite, da vaš telefon ni tako pomemben, toda geslo, ki ga v bistvu vstavite v telefon, je vaše geslo. Telefon ima dostop do mnogih istih stvari, do katerih ima lahko dostop do vašega računalnika. Razmislite o vsem, kar se dotaknete, v interakciji z vsemi podatki, ki jih želite zaščititi, in poskrbite, da z njimi ravnate enako občutljivo kot prenosnik ali namizje ali računalnik v službi.
Dan Costa: Prejšnji teden sem imel v RSA nekaj ljudi in so opravili razgovor z uradnikom NSA, ki je dejal: "Ne glede na šifriranje telefona lahko dostopajo do telefonov, saj večina ljudi še vedno ne zaklene svojih telefonov." Ogromno je ljudi, ki svojih telefonov sploh ne zaklenejo in za to ne potrebujejo šifriranja. To je samo čisto vedenje uporabnikov.
Josh Schwartz: Ali gesla so vse ničle ali vse ali kaj podobnega. Vedno obstaja ideja, da ko tehnologije napredujejo in ko geslo postane več stvari, kot je prstni odtis ali obraz ali kaj podobnega, bo vedno prišlo do napada in okoli njega. Samo najti te moram in usmeriti telefon v obraz, ali pa ti moram odseči prst in to postaviti na telefon.
Dan Costa: Tudi v mnogih filmih.
Josh Schwartz: Ja, tega pa danes ne počnemo, kar je dobro.
Dan Costa: Tako hitro zmanjka članov ekipe.
Josh Schwartz: In s prsti otežuje tipkanje.
Dan Costa: Delajo lahko na 10 projektih in potem, to je konec. Torej, povejte mi, kaj počnete, kakšno je ravnovesje med socialnim inženiringom in tehničnim hekanjem? In ali se ta mešanica sčasoma spreminja?
Josh Schwartz: Socialni inženiring je bil vedno moj kruh in maslo. To je pot najmanj odpora zelo pogosto. Rekel bi, da je mešanica. Veliko se reši, poskuša ugotoviti, kaj res obstaja tam, vendar je zanimivo. Aspekt socialnega inženiringa ne velja samo za žaljiv svet. Če razmišljate o tem, kako v podjetju obstaja interna Rdeča ekipa… naredimo nekaj tehničnega vloma in uporabimo socialni inženiring, fizični in vse skupaj, da bi poskusili in izvesti verigo ubijanja, da bi dosegli misijo.
Toda potem, če razmišljate, kaj poskuša varnost, je to, da bi socialni inženirji vsi v obsegu poskušali imeti boljše navade za večje dobro. Velikokrat je to zgodba o tem, kar smo storili, in izobraževanje ljudi v… podjetju "tukaj je, kako deluje, tukaj lahko storite, da boste boljši." To je socialni inženiring. Res je, da je velik del posla socialni inženiring, saj ljudi spravi na varnost na pravi način, se odločijo pravilno, upajo na prave stvari.
Dan Costa: Predstavljam si, da ko ljudje od vas dobijo e-poštna sporočila, na katera ne želijo odgovarjati. Če kaj vprašate, si ne mislim, da je prvi odgovor ne.
Josh Schwartz: Rdeče ekipe so v zadnjem desetletju nekoliko metamorfozirale. Začnete na tem mestu, kjer ste izjemno nasprotni, izjemno žaljivi, poskušate premagati boben in vsem sporočiti, da je varnost pomembna in v teh dneh vas ljudje vidijo kot nasprotnika, saj to je vaše delo.
Osebno sem imel izkušnje, ko grem v dvigalo in ljudje so takšni, "Oh, nočem iti na svoje nadstropje, ker je Red Team tukaj", in sem všeč, "nisem resnično slab fant. " To se sčasoma spremeni, saj si na koncu resnično prizadevamo za isti cilj: varovanje informacij, varovanje potrošnikov. Medtem ko delamo skupaj in si delimo informacije o tem, kaj smo storili kot nasprotniki, se tovrstne varovalke in nas vidijo kot zaveznika in prijatelja, vendar je potrebno nekaj časa, da pridemo tja. Vidim pa trend v pravo smer, tako da je to dobro.
Dan Costa: Super. Bom vam postavil par vprašanj, ki jih postavim vsem, ki pridejo na razstavo. Ali obstaja tehnološki trend, ki vas zadeva, kaj vas skrbi ponoči?
Josh Schwartz: To me vzbuja ponoči? Morda vseprisotnost in udobje, ki ga dobimo z vso tehnologijo okoli nas. Ne toliko… pravzaprav pravi odgovor je, da me ponoči nič ne vzburi.
Dan Costa: Dobro spiš.
Josh Schwartz: Vidim najslabše stvari in se sprijaznim s tveganjem, da sem tam, kot sem: "V redu, vem, kakšen je svet, vem, kaj je mogoče, in s tem bom v redu." Vem, da se bo tehnologija povsod vlila v moje življenje in se bom odločila, da bom z njo v redu, vendar bom delovala tako, da to razumem in spim kot dojenček.
- Najboljši upravljavci brezplačnih gesel za leto 2019 Najboljši upravljavci gesla za leto 2019
- Kako ugotoviti, ali je bilo vaše geslo ukradeno Kako ugotoviti, ali je vaše geslo ukradeno?
- Facebook shrani do 600 milijonov uporabniških gesel v navadnem besedilu Facebook shrani do 600 milijonov uporabniških gesel v navadnem besedilu
Dan Costa: V redu, ali obstaja tehnologija, ki jo uporabljate vsak dan, ali orodje ali storitev, ki navdihuje čudenje?
Josh Schwartz: No, to ni moj mobilni telefon, ampak iskreno povedano, veliko se mi dogaja in prihaja, o čemer se sprašujem in večinoma se počutim nestrpno. Želim si, da bi hitreje prišli sem. Navdušen sem nad prihodnostjo AI, prihodnostjo strojnega učenja in nad stvarmi, ki nam bodo upale dati bolj povezan svet. Večinoma ga samo čakam. A nič me pravzaprav ne preseneča.
Dan Costa: Torej, kako lahko ljudje sledijo temu, kar počnete, kaj lahko ljudem javno povete, kako vas lahko najdejo na spletu?
Josh Schwartz: Grem mimo nosilca FuzzyNop, tako da me ljudje tam lahko najdejo kjer koli.