Видео: Verizon logo (Ноябрь 2024)
В этом эпизоде «Fast Forward» я приветствую Джоша Шварца, главу внутренней команды Verizon Media. Это означает, что он проводит свои дни, пытаясь взломать наиболее ценные и надежные системы своего работодателя, в идеале, прежде чем тот, кто не входит в фонд заработной платы, сделает то же самое.
Дэн Коста: я думаю, что люди имеют смутное представление о том, что такое красные команды; они видели их в кино. Это так весело и увлекательно, как выглядит по телевизору?
Джош Шварц: Я только хочу, верно? Это ответственность взломать, добраться до места. Конечно, это довольно увлекательно, но, очевидно, в фильмах все происходит мгновенно, а на самом деле - нет. Требуется много работы… это не просто бегать, вызывая шутки.
Это на самом деле пытается повлиять на изменения внутри организации, пытается помочь информировать организацию о том, «Что на самом деле делают плохие парни?» Эта роль во внутренней красной команде, хотя она по-прежнему захватывающая, мне все еще нужно ходить на встречи, все еще нужно ставить цели и тому подобное.
Дэн Коста: Кто в этой команде? Я предполагаю, что есть много программистов, но я предполагаю, что это не только программисты.
Джош Шварц: Разнообразие навыков в команде - это то, что, если у нас их нет, у нас нет такой возможности. Очень часто возникает заблуждение из-за того, что вы видите в фильмах, например, есть один хакерский парень, и он может решить любую технологическую проблему.
Дэн Коста: А еще есть автомобильный парень, специалист по оружию.
Джош Шварц: На самом деле я создаю команду, чтобы каждый человек был экспертом в чем-то. Этот парень - парень, который знает, как делать физическое вторжение, и кто-то еще является экспертом по криптографии, а кто-то еще является экспертом по социальной инженерии. То, что каждый человек является экспертом, означает, что мы можем опираться друг на друга, чтобы эффективно… решать проблемы любого типа.
Дэн Коста: Итак, как выглядит день в офисе? Какие типы вещей вы тестируете?
Джош Шварц: Быть хакером - это просто быть человеком, который любит разбирать системы, верно? Это причина того, что мы не преступники по своей сути, просто будучи хакером.
Таким образом, в течение рабочего дня в офисе мы ставим цели на основе результатов, что-то вроде сценариев наихудшего случая, которые мы хотим видеть. Какие шаги мы должны сделать из ничего, чтобы достичь этой цели, которая действительно плоха для компании? Оттуда мы можем сформировать нечто, называемое «цепочка убийств». День в офисе выясняет, как сделать эту цепочку. Затем мы думаем о разных местах, где мы можем разорвать эту цепь. Оттуда мы встречаемся с заинтересованными сторонами, рассказываем им, как злоумышленники будут делать это, и предлагаем одно небольшое изменение, которое вы можете внести, чтобы помочь исправить это.
Дэн Коста: Какие векторы вас больше всего волнуют? Я знаю, что я все еще получаю электронные письма от ИТ, которые говорят людям не нажимать на ссылки, вложенные в электронные письма или вложения электронной почты. Где вы видите уязвимости, которые все еще существуют?
Джош Шварц: Если вы нажимаете на ссылки и загружаете вложения, запускаете их на своем компьютере, несмотря на множество предупреждений, это проблема. Но мы перешли в новую эру, где теперь есть доступ к информации, которая существует в облаке и в разных местах. Если вы разрешаете доступ кому-то еще, это тоже проблема.
Это оказывается более проблематичным, чем то, что работает на вашем компьютере, потому что вокруг этого уже есть много способов защиты. Теперь у нас есть информация, которая распространяется повсюду, и у вас есть агентство, чтобы контролировать ее. У вас есть агентство, чтобы предоставить другим доступ к нему, это своего рода интернет работает сейчас. Злоумышленники, в том числе и мы, сместились к таким вещам немного больше.
Дэн Коста: Это довольно необычно, даже если посмотреть на мой собственный Google Drive и на количество файлов, к которым у меня есть доступ, мне на самом деле не следует. Я полагаю, что это намного хуже в компаниях, которые не настолько технологичны, как Ziff Davis и PCMag. Это не просто файлы с вредоносным ПО, но это могут быть корпоративные документы или финансовые документы, которые вы просто не хотите, чтобы у ваших конкурентов были или конечные пользователи, или преступники.
Джош Шварц: Безопасность, в общем, это целостная система. Речь идет не о том, есть ли в системе ошибка, из-за которой я собираюсь наложить на нее какой-то эксплойт, и она взорвется, или что-то в этом роде. Это больше не работает. Это взаимосвязанные системы, люди, бизнес-процессы, технологии, которые их поддерживают, то, как мы к этому относимся, политика - все вместе… это безопасность.
И безопасность, зачастую, просто отчасти, как вы к этому относитесь. Как вы относитесь к данным и информации? Какие шаги вы можете предпринять, чтобы защитить его? Если вы сильно к этому относитесь и усилия, которые вы вкладываете, меньше, чем усилия сил вокруг вас, пытающихся его добиться, то вы не уверены. Но если вы чувствуете, что прикладываете достаточно усилий и ничего плохого не происходит, тогда вы чувствуете себя в безопасности. Но нет никакого включения / выключения для безопасности.
Дэн Коста: Давайте немного поговорим о природе этих угроз. Мне кажется, есть пара ведер, о которых беспокоятся люди. Взламывание было игривой вещью, которую люди делали, чтобы получить доступ к вашему компьютеру или сбить ваш компьютер. Затем преступники выяснили, как зарабатывать деньги, используя эти разные приемы. Но есть также государственные субъекты и даже частные компании, которые имеют огромное количество данных о людях. Как вы думаете, где самые большие невидимые угрозы находятся в области безопасности?
Джош Шварц: Выяснить, где самая большая угроза, в конечном итоге выяснить, кто ты. Вероятно, самая большая угроза для вас - это не самая большая угроза для меня, а не самая большая угроза для какой-то компании. Это все о моделировании угроз, верно? Вы не просто выбираете самую большую угрозу и указываете на них. Вы думаете: «Что у меня есть? Кто может этого хотеть? Что мне с этим делать?» И попробуйте предпринять действия, чтобы смягчить то, чего вы не хотите.
Просто попытка указать на эту нацию - самая большая угроза, или эта компания - самая большая угроза, и мы попадаем в маленькую ловушку, где мы начинаем строить модель угроз. И хотя мы так сосредоточены на этой маленькой вещи, мир вокруг нас меняется, и затем мы оказываемся где-то в тупике.
Дэн Коста: У многих компаний были серьезные утечки данных, и большинство из них из-за слабой безопасности или просто вредных привычек. Эквифакс отравил миллионы американцев, но никаких последствий не было. Они собираются заплатить штраф, но все их руководители получили бонусы. Как вы думаете, должны быть какие-то изменения с точки зрения подотчетности?
Джош Шварц: Ну, я парень, который врывается в компьютеры, а не политик, поэтому я не знаю. Может быть, это изменит вещи. Скорее всего, будут изменения, но на фундаментальном уровне, думая, что одно изменение где-то меняет все и что проблем больше нет, я думаю, что это немного недальновидно.
Это о том, как все работает вместе. Это то, как мы заботимся об этом как о публике, это то, как бизнес заботится об этом. Это одна часть этого, но это не все решение, конечно. И я думаю, что одна из важных вещей, о которых нам нужно подумать, как технологам, так и потребителям технологий, является то, что безопасность - это не чья-то работа в башне из слоновой кости, чтобы щелкнуть нужным переключателем и сделать все идеально. Более небольшие изменения в поведении, которые мы можем предпринять, чтобы сделать все немного более безопасным… для всех.
Дэн Коста: Каковы ваши личные привычки безопасности? Вы используете VPN? Используете ли вы коммерческое обнаружение вредоносного ПО?
Джош Шварц: Возвращается к модели угроз, верно? Это зависит от того, что я делаю в то время. VPN защищает вас от некоторых вещей, но подключение к VPN не защищает вас от вирусов. Подключение к VPN существенно меняет то, где вы находитесь в мире, а иногда это может быть полезно, если вам это нужно.
Он помещает ваш трафик в маленький туннель, и этот туннель ведет вас куда-то еще, а трафик выходит в каком-то другом месте. VPN полезен, если вы немного небезопасны или не хотите, чтобы кто-то знал, где вы находитесь. Идея, что я подключен к VPN, и теперь я в безопасности в Интернете, не совсем так.
Лично я считаю, что самая важная вещь - это менеджеры паролей. Это немного новая вещь, но если бы больше людей, они были бы в гораздо лучшем месте. Там были все эти нарушения, верно? Вы довольно знакомы с ними. Так что, как оскорбительный противник, они не являются частными. Все, что просочилось, есть в интернете. Мы можем составить большой список всего, найти пароли и посмотреть, какие пароли вы использовали раньше.
Затем, если я пытаюсь получить доступ к тому, что у вас есть, если я могу найти пароль, который вы использовали ранее, я немного знаю о вас, и я могу взять эту информацию и попытаться использовать ее повторно или попытаться угадать, что вы следующий пароль может быть Использование менеджера паролей и создание каждого уникального пароля для каждого сайта, который вы посещаете, - это на самом деле что-то хорошее, и оно снимает нагрузку с человеческого мозга. Вы действительно можете защитить его только в одном месте, что значительно упрощает безопасность.
Дэн Коста: Мы большие поклонники парольных менеджеров в PCMag, я использую LastPass почти 10 лет. Как только вы преодолеете этот скачок, не зная ваших паролей, это будет облегчением. Это также напоминает мне, что мы как бы забыли о взломе Yahoo, из-за которого вылилось много имен пользователей и паролей. Это было много лет назад, и никто больше не заботился об Yahoo, но ценность этого взлома и ценность для киберпреступников заключается в том, что многие люди все еще используют те пароли, которые они использовали в Yahoo 10 лет назад. И вы можете посмотреть, что все эти пароли, это то, что вы говорите.
Джош Шварц: Все сводится к человеческому поведению. Все сводится к тому, что у вас есть привычки как у человека, так и у нападающего. Это часто то, что я хочу использовать. Это не технология. Технология будет продолжать совершенствоваться и будет продолжать повышать безопасность и становиться более безопасной, потому что у нас есть такая потребность в развитии бизнеса.
Но человеческое поведение - это что-то вроде нашей ответственности за изменения. И если мы не меняем свои привычки и не делаем себя более защищенными, нет технологий, которые могут защитить нас от чего-либо.
Дэн Коста: Существуют ли другие привычки, кроме менеджера паролей, которые, по вашему мнению, потребуются потребителям, особенно когда мы переходим в эпоху Интернета вещей, и все гораздо больше связано?
Джош Шварц: Если подумать, это уже не просто компьютер. Это устройства повсюду и определенные привычки. Может быть, вы думаете, что ваш телефон не так важен, но пароль, который вы вводите в телефон, по сути, является вашим паролем там. Телефон имеет доступ ко многим вещам, к которым может иметь доступ ваш компьютер. Подумайте обо всем, к чему вы прикасаетесь, что взаимодействует со всеми данными, которые вы хотите защитить, и убедитесь, что вы относитесь к ним так же осторожно, как к вашему ноутбуку, настольному компьютеру или компьютеру на работе.
Дэн Коста: У меня была пара человек в RSA на прошлой неделе, и они взяли интервью у чиновника АНБ, который сказал: «Независимо от шифрования телефона, они могут получить доступ к телефонам, потому что большинство людей по-прежнему не блокируют свои телефоны». Есть много людей, которые вообще не блокируют свои телефоны, и им не нужно шифрование, чтобы взломать это. Это просто чистое поведение пользователя.
Джош Шварц: Или пароль - все нули или все единицы или что-то в этом роде. Всегда существует идея, что по мере развития технологий, когда ваш пароль становится все более похожим на отпечаток пальца или лицо, или что-то в этом роде, всегда будет какая-то атака и обходной путь. Мне просто нужно найти тебя и навести твой телефон на лицо, или мне нужно отрезать тебе палец и положить это на твой телефон.
Дэн Коста: также видели во многих фильмах.
Джош Шварц: Да, но мы не делаем этого в наши дни, и это хорошо.
Дэн Коста: У вас действительно быстро заканчиваются члены команды.
Джош Шварц: И пальцы затрудняют печать.
Дэн Коста: Они могут работать над 10 проектами, и на этом все. Итак, скажите мне, что вы делаете, каков баланс между социальной инженерией и техническим взломом? И эта смесь меняется со временем?
Джош Шварц: Социальная инженерия всегда была моим хлебом с маслом. Это путь наименьшего сопротивления очень часто. Я бы сказал, что это смесь. Многое из того, что мы пытаемся выяснить, что на самом деле существует, но это интересно. Аспект социальной инженерии, это не только в оскорбительном мире. Если вы думаете о том, как внутри компании существует внутренняя Красная команда… мы осуществляем некоторые технические взломы и используем социальную инженерию, физическое и все вместе, чтобы попытаться выполнить эту цепочку убийств, выполнить миссию.
Но потом, если вы подумаете о том, что пытается сделать служба безопасности, мы пытаемся социальным инженером всех по шкале, чтобы иметь лучшие привычки для большего блага. Много раз, это рассказ о том, что мы делали, и обучение людей внутри… компании «вот как это работает, вот что вы можете сделать, чтобы стать лучше». Это социальная инженерия. Действительно, большая часть работы - социальная инженерия, потому что она заставляет людей правильно заботиться о безопасности, делать правильный выбор, надеюсь, заботиться о правильных вещах.
Дэн Коста: Я думаю, что когда люди получают от вас электронные письма, они не хотят отвечать. Если вы что-то просите, я не думаю, что первый ответ - нет.
Джош Шварц: Красные команды за последнее десятилетие пережили небольшую метаморфозу. Вы начинаете в этом месте, где вы крайне враждебны, крайне оскорбительны, пытаетесь побить барабан и дать всем понять, что безопасность важна, и в те дни люди воспринимают вас как противника, потому что это ваша работа.
У меня был личный опыт, когда я вхожу в лифт, и люди говорят: «О, я не хочу идти на свой этаж, потому что Красная Команда здесь», и я говорю: «Я не очень плохой парень «. Со временем это изменилось, потому что, в конце концов, мы все работаем над одной и той же целью: защитить информацию, защитить наших потребителей. Так как мы работаем вместе и когда мы делимся информацией о том, что мы сделали как противники, такого рода предохранители, и они видят нас как союзника и друга, но для этого потребовалось некоторое время. Но я вижу тенденцию в правильном направлении, так что это хорошо.
Дэн Коста: Отлично. Я собираюсь задать вам пару вопросов, которые я задаю всем, кто приходит на шоу. Есть ли какая-то технологическая тенденция, которая беспокоит вас, что-то, что не дает вам спать по ночам?
Джош Шварц: Это не дает мне спать по ночам? Возможно, повсеместность и комфорт, которые мы получаем со всеми технологиями вокруг нас. Не так много… на самом деле, настоящий ответ - ничто не заставляет меня спать ночью.
Дэн Коста: Вы хорошо спите.
Джош Шварц: Я вижу худшие вещи, и все сводится к принятию риска, когда я говорю: «Хорошо, я знаю, на что похож мир, я знаю, что возможно, и я буду в порядке с этим». Я знаю, что технологии будут внедряться в мою жизнь повсюду, и я сделаю выбор, чтобы все было в порядке с этим, но я собираюсь действовать так, как я понимаю, и я сплю, как ребенок.
- Лучшие бесплатные менеджеры паролей на 2019 год Лучшие бесплатные менеджеры паролей на 2019 год
- Как узнать, был ли украден ваш пароль Как узнать, был ли украден ваш пароль
- Facebook хранит до 600 миллионов пользовательских паролей в виде простого текста Facebook хранит до 600 миллионов пользовательских паролей в виде простого текста
Дэн Коста: Хорошо, есть ли технологии, которыми вы пользуетесь каждый день, или инструмент или услуга, которая вызывает удивление?
Джош Шварц: Ну, это не мой мобильный телефон, но, честно говоря, есть много вопросов, которые меня интересуют, и я в основном чувствую нетерпение. Я бы хотел, чтобы они добрались сюда быстрее. Я взволнован будущим ИИ, будущим машинного обучения и вещами, которые, мы надеемся, дадут нам более связанный мир. В основном, я просто жду этого. Думаю, меня ничто не удивляет слишком сильно.
Дэн Коста: Итак, как люди могут следить за тем, что вы делаете, что вам разрешено говорить людям публично, как они могут найти вас в Интернете?
Джош Шварц: Я иду под прозвищем FuzzyNop, чтобы люди могли найти меня там где угодно.