Будинки Appscout Керівник червоної команди verizon media має одну просту підказку щодо безпеки

Керівник червоної команди verizon media має одну просту підказку щодо безпеки

Відео: Verizon Media CEO Guru Gowrappan | Full interview | Code Media 2019 (Листопад 2024)

Відео: Verizon Media CEO Guru Gowrappan | Full interview | Code Media 2019 (Листопад 2024)
Anonim

У цьому епізоді "Швидкий форвард" я вітаю Джоша Шварца, керівника внутрішньої Червоної команди Verizon Media. Це означає, що він проводить свої дні, намагаючись зламати найцінніші та найнадійніші системи свого роботодавця, в ідеалі перед тим, як хтось, хто не перебуває на зарплаті, зробить те саме.

На SXSW ми говорили про те, як матриця загроз змінилася з часом і що компанії повинні зробити, щоб захистити себе. Шварц також пояснив, як споживачі можуть захистити себе і в Інтернеті. Спойлер: уключає менеджерів паролів.

Ден Коста: Я думаю, що люди мають нечітке уявлення про те, що таке червоні команди; вони бачили їх у кіно. Це так весело і захоплююче, як це виглядає по телевізору?

Джош Шварц : Я лише бажаю, правда? Це відповідальність за вторгнення, потрапляння на місця. Звичайно, це досить захоплююче, але очевидно, що у фільмах ви бачите все, що відбувається миттєво, а насправді це не так. Потрібно багато роботи … це не просто бігати навколо спричиняючих сварки.

Насправді це намагається вплинути на зміни в межах організації, намагаючись допомогти інформувати організацію про те, "що насправді роблять погані хлопці?" Ця роль перебування у внутрішній червоній команді є, хоча це все ще захоплююче, мені все одно доводиться ходити на зустрічі, все ж треба ставити цілі, подібні речі.

Ден Коста: Хто такі особи в цій команді? Я думаю, що є багато програмістів, але я думаю, що це не лише програмісти.

Джош Шварц : Різноманітність набору навичок у команді - це те, що якщо у нас немає, ми не маємо цієї можливості. Дуже часто трапляються помилки через те, що ви бачите у фільмах, як-то є один хлопець-хакер, і він може вирішити будь-яку технологічну проблему.

Ден Коста: А там є автомобіль, спеціаліст зі зброї.

Джош Шварц: Насправді я будую команду, щоб кожна людина була експертом у чомусь. Цей хлопець - той хлопець, який знає, як робити фізичні втручання, а хтось інший - фахівець з криптографії, а хтось інший - експерт із соціальної інженерії. Наявність кожної людини бути експертом означає, що ми можемо спертися один на одного, щоб ефективно … вирішити будь-який тип команди.

Ден Коста: Отже, як виглядає день в офісі? Які типи речей ви тестуєте?

Джош Шварц : Бути хакером - це просто вид того, хто любить розділяти системи, правда? Це причина, що ми не є за своєю суттю злочинцями, просто хакером.

Отже, за день в офісі ми ставимо цілі, грунтуючись на результатах, подібних до найгірших сценаріїв, які ми хочемо бачити. Які кроки ми повинні зробити від нічого, щоб досягти цієї мети, яка насправді погана для компанії? Звідти ми можемо сформувати щось, що називається "ланцюг вбивства". Щодня в офісі з'ясовуємо, як зробити цей ланцюжок. Тоді ми думаємо про різні місця, де ми могли б розірвати цей ланцюжок. Звідти ми зустрічаємось із зацікавленими сторонами, розповідаємо їм, як це зробили б зловмисники, і пропонуємо одну невелику зміну, яку ви можете зробити, щоб допомогти виправити це.

Ден Коста: Які вектори вас найбільше хвилюють? Я знаю, що я все ще отримую електронні листи від ІТ-повідомлень, щоб людям не натискати на посилання, додані до електронних листів чи вкладень електронної пошти. Де ви бачите вразливості, які все ще існують?

Джош Шварц : Якщо ви натискаєте на посилання та завантажуєте вкладення, запускаючи їх на своєму комп’ютері, незважаючи на багато попереджень, це проблема. Але ми переросли в нову еру, де зараз це доступ до інформації, яка існує в хмарі та різних місцях. Якщо ви надаєте дозвіл на доступ до когось іншого, це теж проблема.

Це в кінцевому підсумку є більш проблематичним, ніж щось, що працює на вашому комп’ютері, оскільки навколо цього вже існує багато захистів. Тепер у нас є інформація, яка плаває там всюди, і у вас є агентство, яке контролює її. У вас є агентство, яке надає доступ до інших речей, це як працює зараз Інтернет. Зловмисники, включно з нами, трохи більше перейшли до подібних речей.

Ден Коста: Досить неординарно, навіть дивлячись на мій власний Диск Google і скільки файлів у мене є доступ до цього, я насправді не повинен. Я думаю, що це набагато гірше в компаніях, які не є настільки технологічними, як Ziff Davis та PCMag. Це не лише файли зі зловмисним програмним забезпеченням, але це можуть бути корпоративні документи або фінансові документи, які ви просто не хочете, щоб ваші конкуренти мали або кінцевих користувачів або злочинців.

Джош Шварц : Безпека, взагалі, це ця цілісна система. Йдеться не про те, "чи є помилка в системі, де я збираюся кинути на неї якийсь подвиг, і він вибухне" або щось подібне. Це вже не працює так. Це взаємопов'язані системи, люди, бізнес-процеси, технологія, яка їх підтримує, як ми ставимося до цього, політика - все разом … - це безпека.

І безпека часто - це лише такий спосіб, як ви ставитесь до цього. Як ви ставитеся до даних та інформації? Які заходи можна вжити для його захисту? Якщо ви сильно ставитесь до цього, а зусилля, які ви докладаєте, менші, ніж зусилля навколо вас, які намагаються це досягти, то ви невпевнені. Але якщо ви відчуваєте, що докладаєте зусиль і нічого поганого не відбувається, то відчуваєте себе захищеним. Але для безпеки немає перемикача включення / вимкнення.

Ден Коста: Давайте трохи поговоримо про природу цих загроз. Мені здається, є кілька відер людей, які хвилюються. Злом раніше був грайливою справою, яку люди робили, щоб отримати доступ до вашого комп'ютера або зламати його. Тоді злочинці придумали, як заробити гроші, використовуючи ці різні методи. Але є також державні суб'єкти і навіть приватні компанії, які мають величезну кількість даних про людей. Як ви думаєте, де найбільші небачені загрози є у просторі безпеки?

Джош Шварц : З'ясувати, де найбільша загроза опиняється - з'ясувати, хто ти такий. Найбільша загроза для вас, ймовірно, не є найбільшою загрозою для мене, що не є найбільшою загрозою для якоїсь компанії десь. Це щось на зразок моделювання загроз, правда? Ви не просто вибираєте найбільшу загрозу і вказуєте на них. Ви думаєте: "Що це у мене? Хто може цього хотіти? Що мені робити з цим?" І намагайтеся вживати заходів для пом’якшення речей, які ви не хочете, щоб вони сталися.

Просто спроба вказати на цю націю є найбільшою загрозою, або ця компанія є найбільшою загрозою - це те, що потрапляє в нас у трохи пастку, де ми починаємо будувати модель загрози все про щось. І хоча ми настільки зосереджені на цій одній дрібниці, світ навколо нас змінюється, і тоді ми стаємо сліпими десь вниз.

Ден Коста: У багатьох компаній траплялися масштабні порушення даних, і більшість з них пояснюється слабкою безпекою або просто шкідливими звичками. Еквіфакс дозував мільйони американців, але наслідків насправді не було. Вони збираються заплатити штраф, але всі їх керівники отримали бонуси. Як ви вважаєте, чи потрібно внести якісь зміни в частині відповідальності?

Джош Шварц: Ну, я хлопець, який вловлює комп’ютери, а не громадський діяч політики, тому я насправді не знаю. Можливо, це змінить речі. Ймовірно, були б зміни, але на його фундаментальному рівні, думаючи, що одна зміна десь все змінює і що проблем більше немає, я думаю, це трохи недалекоглядне.

Йдеться про те, як все працює разом. Це як ми дбаємо про це як громадськість, це як бізнес дбає про це. Це один шматок, але, звичайно, це не все рішення. І я думаю, що одна з великих речей, яка нам потрібна, оскільки практикуючі технології або споживачі технологій повинні задуматися, - це те, що безпека - це не чиясь робота в вежі зі слонової кістки, щоб перевести правильний вимикач і зробити все ідеальним. Що більше невеликих змін у поведінці, які ми можемо вжити, щоб зробити все трохи безпечнішим … для всіх.

Ден Коста: Які ваші особисті звички щодо безпеки? Ви використовуєте VPN? Чи використовуєте ви позашвидкісне комерційне виявлення зловмисного програмного забезпечення?

Джош Шварц : Це повертається до моделі загрози, правда? Це залежить від того, чим я займаюся в той час. VPN захищає вас від деяких речей, але підключення до VPN не захищає вас від вірусів. Підключення до VPN істотно змінюється там, де ви знаходитесь у світі, а іноді, що може бути корисним, якщо вам це потрібно.

Він розміщує ваш трафік всередині невеликого тунелю, і цей тунель переносить вас кудись інше, а трафік виходить в іншому місці. VPN корисний, якщо ви там дещо небезпечні або не хочете, щоб хтось знав, де ви перебуваєте. Ідея про те, що я підключена до VPN і тепер я в безпеці в Інтернеті, не така правда.

Для мене особисто, я думаю, що найбільше - це менеджери паролів. Вони трохи нова річ, але якби більше людей, вони опинилися б у набагато кращому місці. Там були всі ці порушення, правда? Ви з ними цілком знайомі. Отже, як образливий противник, вони не є приватними. Все, що просочилося, є там, в Інтернеті. Ми можемо виправити великий список всього, шукати паролі і бачити, які паролі ви використовували раніше.

Тоді, якщо я намагаюся отримати доступ до чогось у вас є, якщо я можу піти знайти пароль, який ви використовували раніше, я трохи знаю про вас, і я можу взяти цю інформацію, спробувати використати її повторно або спробувати здогадатися, що Наступний пароль може бути. Використання менеджера паролів і зробити кожен пароль надзвичайно унікальним для кожного відвідуваного вами сайту - це насправді те, що добре, і це знімає людський мозок. Вам справді потрібно лише захистити його в одному місці, що робить безпеку набагато простішою.

Ден Коста: Ми великі шанувальники менеджерів паролів в PCMag, я використовую LastPass майже 10 років. Після того, як ви перейдете на цей стрибок, який насправді не знає ваші паролі, це таке полегшення. Мені це також нагадує, що ми наче забули про порушення Yahoo, яке просочилося безліччю імен користувачів та паролів. Це було роки тому, і ніхто більше не піклувався про Yahoo, але цінність цього зламу та цінність кіберзлочинців полягає в тому, що багато людей все ще використовують ті паролі, які вони використовували в Yahoo 10 років тому. І ви можете знайти, які всі ці паролі - це те, що ви говорите.

Джош Шварц : Це зводиться до поведінки людини. Це зводиться до того, що у вас є звички як людини, так і як нападника. Це часто те, що я хочу використати. Це не технологія. Технологія продовжуватиме вдосконалюватись і надалі збільшуватиметься безпека та стане безпечнішою, оскільки у нас є ця потреба в цьому, що рухає бізнес вперед.

Але поведінка людини - це щось, що є нашою відповідальністю змінити. І якщо ми не змінюємо своїх звичок і робимо себе більш захищеними, немає жодної технології, яка б захистила нас від чого-небудь.

Ден Коста: Чи є інші звички, крім менеджера паролів, які, на вашу думку, споживачам доведеться використовувати, особливо, коли ми переходимо в епоху Інтернет речей, і все настільки більше пов'язане?

Джош Шварц : Якщо ви думаєте про це, це вже не лише ваш комп’ютер. Це пристрої всюди і певні звички. Можливо, ви думаєте, що ваш телефон не так важливий, але пароль, який ви вводите в телефон, по суті, це ваш пароль. У телефоні є доступ до багатьох тих самих речей, до яких може мати доступ ваш комп'ютер. Подумайте про все, що ви торкаєтесь, що взаємодіє з усіма даними, які ви хочете захистити, і переконайтесь, що ви ставитесь до нього так само чуйно, як ваш ноутбук або робочий стіл або комп’ютер на роботі.

Ден Коста: У минулого тижня у RSA було кілька людей, і вони взяли інтерв'ю у чиновника АНБ, який сказав: "Незалежно від шифрування телефону, вони можуть отримати доступ до телефонів, оскільки більшість людей все ще не блокують свої телефони". Є багато людей, які взагалі не блокують свої телефони, і їм не потрібно ніякого шифрування, щоб зламати це. Це просто чиста поведінка користувачів.

Джош Шварц : Або всі нулі пароля, або всі ці, або щось подібне. Завжди існує така ідея, що в міру прогресування технологій і в міру того, як ваш пароль стає більше таких речей, як ваш відбиток пальців чи обличчя, або щось подібне, завжди буде якась атака і певний шлях. Мені просто потрібно знайти вас і вказати телефон на ваше обличчя, або мені потрібно відрізати палець і покласти це на ваш телефон.

Ден Коста: Також бачив у багатьох фільмах.

Джош Шварц : Так, але ми цього не робимо сьогодні, що добре.

Ден Коста: Таким чином, у вас дуже швидко не вистачає членів команди.

Джош Шварц : І пальці, це важко набирає.

Ден Коста: Вони можуть працювати над 10 проектами і тоді, це і є кінець. Отже, скажіть мені, що ви робите, який баланс між соціальною інженерією та технічним злому? І чи змінюється ця суміш з часом?

Джош Шварц : Соціальна інженерія завжди була моїм хлібом і маслом. Це шлях найменшого опору дуже часто. Я б сказав, що це суміш. Багато реконструюють, намагаються з’ясувати, що насправді існує там, але це цікаво. Аспект соціальної інженерії - це не лише в наступальному світі. Якщо ви думаєте про те, як існує внутрішня Червона команда всередині компанії … ми робимо деякі з технічних злому і використовуємо соціальну інженерію, фізичну та все, що поєднується, щоб спробувати виконати ланцюг вбивств, щоб виконати місію.

Але потім, якщо ви подумаєте про те, що намагається зробити безпека, - ми намагаємось соціальних інженерів у всіх масштабах мати кращі звички для більшого блага. Дуже багато разів це розповідання історії про те, що ми робили, і навчання людей всередині … компанія "ось як це працює, ось що ви можете зробити, щоб бути кращим". Це соціальна інженерія. Так що насправді велика частина роботи - це соціальна інженерія, адже це примусити людей піклуватися про безпеку правильними способами, зробити правильний вибір, сподіваюся, дбати про правильні речі.

Ден Коста: Я думаю, що коли люди отримують від вас електронні листи, на які вони не хочуть відповідати. Якщо ви щось просите, я не думаю, що перша відповідь - ні.

Джош Шварц : Червоні команди пережили трохи метаморфозу за останнє десятиліття. Ви починаєте з цього місця, де ви є надзвичайно змагальними, надзвичайно образливими, намагаєтесь бити у барабан і даєте всім знати, що безпека важлива, і в ті дні люди бачать вас як супротивника, адже це - ваша робота.

Я особисто мав досвід, коли я сідаю в ліфт, і люди такі: "О, я не хочу йти до себе на підлогу, тому що Red Team тут", і я такий: "Я не справжній поганий хлопець ». З часом це змінилося, адже, врешті-решт, насправді ми всі працюємо над однією метою: захищати інформацію, захищати наших споживачів. Отже, коли ми працюємо разом і ми ділимось інформацією про те, що ми робили як супротивники, такі запобіжники, і вони бачать нас як союзника та друга, але для того, щоб туди потрапити, потрібно певний час. Але я бачу тенденцію в правильному напрямку, тому це добре.

Ден Коста: Чудово. Я буду задавати вам пару питань, які я запитую у всіх, хто приходить на шоу. Чи є тенденція технології, яка вас стосується, щось, що підтримує вас вночі?

Джош Шварц : Це мене підтримує вночі? Можливо, всюдисутність і комфорт, які ми отримуємо з усіма технологіями навколо нас. Не так багато … насправді, справжня відповідь - ніщо не тримає мене в ночах.

Ден Коста: Ти добре спиш.

Джош Шварц : Я бачу найгірші речі, і це зводиться до прийняття ризику там, де я схожий: «Гаразд, я знаю, що таке світ, я знаю, що можливо, і я з цим все буду гаразд». Я знаю, що технології будуть вписані в моє життя скрізь, і я зроблю вибір, щоб з цим все було нормально, але я буду діяти так, щоб я це розумів і спав як дитина.

  • Найкращі менеджери безкоштовних паролів на 2019 рік. Найкращі менеджери безкоштовних паролів на 2019 рік
  • Як дізнатись, чи вкрали пароль? Як дізнатись, чи вкрали ваш пароль
  • Facebook зберігає до 600M паролів користувачів у простому тексті Facebook зберігає до 600M паролів користувачів у простому тексті

Ден Коста: Гаразд, чи є технологія, яку ви використовуєте щодня, або інструмент чи послуга, які викликають диво?

Джош Шварц : Ну, це не мій мобільний телефон, але, чесно кажучи, існує багато речей, про які я дивуюсь, і я в основному відчуваю нетерпіння. Я б хотів, щоб вони швидше потрапили сюди. Мене хвилює майбутнє ШІ, майбутнє машинного навчання та речі, які, сподіваємось, дадуть нам більш зв’язаний світ. Здебільшого я просто чекаю цього. Але нічого насправді мене не надто дивує, я думаю.

Ден Коста : Отже, як люди можуть слідкувати за тим, що ви робите, що вам дозволяють розповідати людям публічно, як вони можуть знайти вас в Інтернеті?

Джош Шварц : Я проходжу повз FuzzyNop, щоб люди могли мене там знайти де завгодно.

Керівник червоної команди verizon media має одну просту підказку щодо безпеки