Casa Appscout Il capo del team rosso di Verizon Media ha un semplice consiglio di sicurezza

Il capo del team rosso di Verizon Media ha un semplice consiglio di sicurezza

Video: Gerusalemme: la bocciatura di Francia, Germania e Onu (Novembre 2024)

Video: Gerusalemme: la bocciatura di Francia, Germania e Onu (Novembre 2024)
Anonim

In questo episodio di Fast Forward, do il benvenuto a Josh Schwartz, capo del Red Team interno di Verizon Media. Ciò significa che trascorre le sue giornate cercando di hackerare i sistemi più preziosi e affidabili del suo datore di lavoro, idealmente prima che qualcuno che non sia iscritto nel libro paga faccia la stessa cosa.

In SXSW abbiamo parlato di come la matrice delle minacce è cambiata nel tempo e di ciò che le aziende devono fare per proteggersi. Schwartz ha anche spiegato come i consumatori possono proteggersi anche online. Spoiler: in coinvolge i gestori di password.

Dan Costa: Penso che la gente abbia una vaga idea di cosa siano le squadre rosse; li hanno visti nei film. È divertente ed eccitante come sembra in TV?

Josh Schwartz: vorrei solo, giusto? Sta avendo la responsabilità di irrompere, arrivare in posti. Ovviamente è abbastanza eccitante, ma ovviamente nei film vedi che tutto accade istantaneamente e in realtà non lo è. Ci vuole molto lavoro… non è solo correre in giro a provocare scherzi.

In realtà sta cercando di influenzare il cambiamento all'interno di un'organizzazione, cercando di informare l'organizzazione su "Cosa fanno veramente i cattivi?" Questo ruolo dell'essere nella squadra rossa interna è, mentre è ancora emozionante, devo ancora andare alle riunioni, devo ancora fissare obiettivi, cose del genere.

Dan Costa: chi sono gli individui di questa squadra? Immagino che ci siano molti programmatori, ma immagino che non sia solo limitato ai programmatori.

Josh Schwartz: la diversità delle competenze in squadra è qualcosa che se non avessimo, non avremmo quella capacità. C'è un'idea sbagliata molto spesso a causa di ciò che vedi nei film, è come, c'è un ragazzo hacker e può risolvere qualsiasi problema tecnologico.

Dan Costa: E c'è il ragazzo della macchina, lo specialista delle armi.

Josh Schwartz: In realtà, costruisco una squadra in modo che ogni persona sia esperta in qualcosa. Questo ragazzo è il ragazzo che sa come fare l'intrusione fisica e qualcun altro è un esperto di crittografia e qualcun altro è un esperto di ingegneria sociale. Avere ciascuna persona come esperta significa che possiamo appoggiarci l'uno con l'altro per risolvere efficacemente qualsiasi tipo di team problematico.

Dan Costa: Allora, com'è una giornata in ufficio? Quali tipi di cose stai testando?

Josh Schwartz: Essere un hacker è una specie di persona a cui piace smontare i sistemi, giusto? Questo è il motivo per cui non siamo intrinsecamente criminali solo essendo un hacker.

Quindi, in una giornata in ufficio, fissiamo obiettivi in ​​base ai risultati, un po 'come gli scenari peggiori che vogliamo vedere. Quali sono i passi per passare dal nulla al raggiungimento di questo obiettivo che è davvero negativo per l'azienda? Da lì, possiamo formare qualcosa chiamato "catena dell'uccisione". Una giornata in ufficio sta cercando di capire come far accadere quella catena. Quindi pensiamo ai diversi luoghi in cui potremmo spezzare quella catena. Da lì, ci incontriamo con le parti interessate, diciamo loro come lo farebbero gli aggressori e offriamo un piccolo cambiamento che puoi fare per aiutarti a risolverlo.

Dan Costa: Quali sono i vettori di cui sei più preoccupato? So di ricevere ancora e-mail dall'IT che dicono alle persone di non fare clic sui collegamenti allegati nelle e-mail o negli allegati e-mail. Dove vedi le vulnerabilità che sono ancora là fuori?

Josh Schwartz: se si fa clic sui collegamenti e si scaricano allegati, eseguendoli sul computer nonostante i numerosi avvisi, questo è un problema. Ma ci siamo evoluti in una nuova era in cui ora è l'accesso alle informazioni esistenti nel cloud e in luoghi diversi. Se stai autorizzando l'accesso a qualcun altro, anche questo è un problema.

Questo finisce per essere più problematico di qualcosa in esecuzione sul tuo computer, perché ci sono già molte protezioni intorno a questo. Ora abbiamo informazioni che fluttuano là fuori ovunque e tu hai un'agenzia per controllarle. Hai un'agenzia per concedere ad altre cose l'accesso ad esso, è una specie di come funziona Internet adesso. Gli aggressori, incluso noi, si sono spostati verso cose del genere un po 'di più.

Dan Costa: È davvero straordinario anche guardare il mio Google Drive e quanti file a cui ho accesso non dovrei davvero. Immagino che sia molto peggio in aziende che non sono tecnologicamente sofisticate come Ziff Davis e PCMag. Non si tratta solo di file contenenti malware, ma potrebbero essere documenti aziendali o documenti finanziari che in realtà non si desidera che i propri concorrenti abbiano o utenti finali o criminali.

Josh Schwartz: La sicurezza, in generale, è questo sistema olistico. Non si tratta di "C'è un bug nel sistema in cui ho intenzione di lanciare qualche exploit e sta per esplodere" o qualcosa del genere. Non funziona più così. Sono i sistemi interconnessi, le persone, i processi aziendali, la tecnologia che li supporta, i nostri sentimenti, la politica: tutto insieme… è sicurezza.

E la sicurezza, spesso, è solo un po 'come ti senti al riguardo. Come ti senti riguardo ai dati e alle informazioni? Quali passi puoi prendere per proteggerlo? Se ti senti fortemente a riguardo e gli sforzi che metti sono meno degli sforzi delle forze intorno a te che cercano di ottenerlo, allora sei insicuro. Ma se senti che stai facendo abbastanza sforzi e non succede nulla di brutto, ti senti sicuro. Ma non esiste un interruttore on / off per la sicurezza.

Dan Costa: Parliamo un po 'della natura di quelle minacce. Mi sembra che ci siano un paio di secchi di cui la gente si preoccupa. L'hacking era una cosa giocosa che le persone facevano per accedere al tuo computer o mandare in crash il tuo computer. Quindi i criminali hanno capito come fare soldi usando queste diverse tecniche. Ma ci sono anche attori statali e persino aziende private che hanno enormi quantità di dati sulle persone. Dove pensi siano le maggiori minacce invisibili nello spazio della sicurezza?

Josh Schwartz: capire dove si trova la minaccia più grande finisce per capire chi sei. La più grande minaccia per te probabilmente non è la più grande minaccia per me, che non è la più grande minaccia per qualche azienda da qualche parte. È una specie di modellizzazione delle minacce, giusto? Non devi solo scegliere una minaccia più grande e indicarle. Pensi: "Che cosa ho? Chi potrebbe volerlo? Cosa dovrei fare al riguardo?" E prova ad agire per mitigare le cose che non vuoi che accadano.

Il solo tentativo di indicare questa nazione è la più grande minaccia o questa azienda è la più grande minaccia è qualcosa che ci porta in un po 'di una trappola in cui iniziamo a costruire un modello di minaccia tutto su cosa. E mentre siamo così concentrati su questa piccola cosa, il mondo che ci circonda cambia e poi, ci siamo nascosti da qualche parte lungo la linea.

Dan Costa: Molte aziende hanno subito enormi violazioni dei dati e la maggior parte di esse è dovuta a una sicurezza lassista o a cattive abitudini. Equifax ha sradicato milioni di americani, ma non ci sono state conseguenze. Pagheranno una multa, ma tutti i loro dirigenti avranno dei bonus. Pensi che ci debba essere una sorta di cambiamento in termini di responsabilità?

Josh Schwartz: Beh, sono un ragazzo che si intromette nei computer, non un responsabile delle politiche pubbliche, quindi non lo so davvero. Forse questo cambierebbe le cose. Probabilmente ci sarebbero cambiamenti, ma al suo livello fondamentale, pensando che un cambiamento da qualche parte cambi tutto e che non ci siano più problemi, penso che sia un po 'miope.

Si tratta di come tutto funziona insieme. È il modo in cui ci preoccupiamo come pubblico, è il modo in cui le aziende si preoccupano. È un pezzo di esso, ma non è l'intera soluzione, ovviamente. E penso che una delle grandi cose di cui abbiamo bisogno di pensare ai professionisti della tecnologia o ai consumatori di tecnologia sia che la sicurezza non è il lavoro di qualcuno in una torre d'avorio per girare l'interruttore giusto e rendere tutto perfetto. I più piccoli cambiamenti nei comportamenti che possiamo prendere per aiutare a rendere tutto un po 'più sicuro… per tutti.

Dan Costa: Quali sono le tue abitudini di sicurezza personale? Usi una VPN? Utilizzi il rilevamento di malware commerciale standard?

Josh Schwartz: torna al modello di minaccia, giusto? Dipende da cosa sto facendo in quel momento. Una VPN ti protegge da alcune cose, ma la connessione a una VPN non ti protegge dai virus. La connessione a una VPN cambia essenzialmente la tua posizione nel mondo e, a volte, può essere utile se ne hai bisogno.

Mette il tuo traffico all'interno di un piccolo tunnel e quel tunnel ti porta da qualche altra parte e il traffico esce in qualche altro posto. Una VPN è utile se la tua posizione è un po 'pericolosa o se non vuoi che qualcuno sappia dove ti trovi. L'idea che sono connesso a una VPN e ora sono al sicuro su Internet, non è così vero.

Personalmente, penso che la cosa più importante siano i gestori di password. Sono un po 'una novità, ma se più persone si trovassero in un posto molto migliore. Ci sono state tutte queste violazioni, giusto? Li conosci abbastanza bene. Quindi, come avversario offensivo, quelli non sono privati. Tutto ciò che è trapelato è là fuori su Internet. Siamo in grado di curare un grande elenco di tutto e cercare password e vedere quali password hai usato prima.

Quindi, se sto cercando di accedere a qualcosa che hai, se riesco a trovare la password che hai usato prima, conosco un po 'di te e posso prendere quelle informazioni e provare a riutilizzarle o provare a indovinare quale sia il tuo la prossima password potrebbe essere. Usare un gestore di password e rendere ogni password super unica per ogni sito che visiti è in realtà qualcosa di buono e prende un carico dal cervello umano. Devi solo proteggerlo in un unico posto, il che rende la sicurezza molto più semplice.

Dan Costa: Siamo grandi fan dei gestori di password in PCMag, utilizzo LastPass da quasi 10 anni. Una volta superato quel salto di non conoscere effettivamente le tue password, è un tale sollievo. Mi ricorda anche che ci siamo dimenticati della violazione di Yahoo, che ha fatto trapelare molti nomi utente e password. È stato anni fa e nessuno si interessava più davvero a Yahoo, ma il valore di quell'hacking e il valore per i cyber criminali è che molte persone usano ancora quelle password che hanno usato su Yahoo 10 anni fa. E puoi cercare quali sono tutte quelle password è quello che stai dicendo.

Josh Schwartz: dipende dal comportamento umano. Dipende dal fatto che hai abitudini come umano e come attaccante. Questo è spesso ciò che sto cercando di sfruttare. Non è la tecnologia. La tecnologia continuerà a migliorare e continuerà ad aumentare la sicurezza e diventerà più sicura, perché ne abbiamo questa necessità che fa avanzare il business.

Ma il comportamento umano è qualcosa che è una specie della nostra responsabilità di cambiare. E se non stiamo cambiando le nostre abitudini e rendendoci più sicuri, non c'è tecnologia che possa proteggerci da qualsiasi cosa.

Dan Costa: Esistono altre abitudini oltre a un gestore di password che ritieni debbano essere adottate dai consumatori, soprattutto quando ci stiamo muovendo nell'era dell'Internet of Things e tutto è molto più connesso?

Josh Schwartz: se ci pensi, non è più solo il tuo computer. Sono dispositivi ovunque e determinate abitudini. Forse pensi che il tuo telefono non sia così importante, ma la password che hai messo sul telefono è essenzialmente la tua password lì. Il telefono ha accesso a molte delle stesse cose a cui il tuo computer potrebbe avere accesso. Pensando a tutto ciò che tocchi che interagisce con tutti i dati che vorresti proteggere e assicurandoti di trattarlo con la stessa sensibilità del tuo laptop o desktop o computer al lavoro.

Dan Costa: ho avuto un paio di persone alla RSA la scorsa settimana e hanno intervistato un funzionario della NSA, che ha detto: "Indipendentemente dalla crittografia del telefono, possono accedere ai telefoni, perché la maggior parte delle persone continua a non bloccare i loro telefoni". Ci sono molte persone che non bloccano affatto i loro telefoni e non hanno bisogno di alcuna crittografia per risolverlo. Questo è solo puro comportamento dell'utente.

Josh Schwartz: O la password è tutti zero o tutti o qualcosa del genere. C'è sempre l'idea che man mano che le tecnologie avanzano e quando la tua password diventa più cose come l'impronta digitale o il viso o qualcosa del genere, ci sarà sempre qualche attacco e un modo per aggirarlo. Devo solo trovarti e puntare il telefono verso il tuo viso o devo tagliarti il ​​dito e metterlo sul telefono.

Dan Costa: visto anche in molti film.

Josh Schwartz: Sì, ma non lo stiamo facendo in questi giorni, il che è positivo.

Dan Costa: in questo modo sei a corto di membri del team.

Josh Schwartz: E le dita rendono difficile la digitazione.

Dan Costa: Possono lavorare su 10 progetti e poi, questa è la fine. Quindi, dimmi in termini di ciò che fai, qual è l'equilibrio tra ingegneria sociale e pirateria informatica? E quel mix sta cambiando nel tempo?

Josh Schwartz: L'ingegneria sociale è sempre stata il mio pane e burro. È il percorso di minor resistenza molto spesso. Direi che è un mix. Gran parte è ricognizione, cercando di capire cosa esiste davvero là fuori, ma è interessante. L'aspetto del social engineering, non è solo nel mondo offensivo. Se pensi a come esiste un Red Team interno all'interno di un'azienda… facciamo un po 'di hacking tecnico e usiamo ingegneria sociale, fisica e tutto ciò che è combinato per cercare di eseguire quella catena di uccisioni, compiere la missione.

Ma poi, se pensi a ciò che la sicurezza sta cercando di fare, stiamo cercando di ingegnere sociale tutti su vasta scala per avere abitudini migliori per il bene superiore. Molte volte, è il racconto della storia di ciò che abbiamo fatto e dell'educazione delle persone all'interno… la società "ecco come funziona, ecco cosa puoi fare per essere migliore". Questo è ingegneria sociale. Quindi, davvero, la maggior parte del lavoro è l'ingegneria sociale, perché sta facendo in modo che le persone si preoccupino della sicurezza nei modi giusti, facciano le scelte giuste, si spera si prendano cura delle cose giuste.

Dan Costa: Immagino che quando le persone ricevono email da te che non vogliono rispondere. Se chiedi qualcosa, non immagino che la prima risposta sia no.

Josh Schwartz: Red Teams ha attraversato un po 'di metamorfosi negli ultimi dieci anni. Inizi in questo posto in cui sei estremamente avversario, estremamente offensivo, cercando di battere il tamburo e far sapere a tutti che la sicurezza è importante e in quei giorni, le persone ti vedono come un avversario, perché bene, questo è il tuo lavoro.

Ho avuto esperienze personali in cui entro nell'ascensore e la gente dice "Oh, non voglio andare al mio piano, perché il Red Team è qui", e sono tipo "Non sono il vero cattivo tipo." Questo è cambiato nel tempo, perché alla fine, davvero, stiamo tutti lavorando per lo stesso obiettivo: proteggere le informazioni, proteggere i nostri consumatori. Quindi, mentre lavoriamo insieme e condividiamo informazioni su ciò che abbiamo fatto come avversari, quel tipo di micce e ci vedono come alleati e amici, ma ci è voluto del tempo per arrivarci. Ma sto vedendo una tendenza nella giusta direzione, quindi va bene.

Dan Costa: Fantastico. Ti farò un paio di domande che faccio a tutti quelli che vengono allo show. C'è una tendenza tecnologica che ti riguarda, qualcosa che ti tiene sveglio la notte?

Josh Schwartz: Mi tiene sveglio la notte? Forse l'ubiquità e il comfort che otteniamo con tutta la tecnologia che ci circonda. Non tanto… in realtà, la vera risposta è che nulla mi tiene sveglio la notte.

Dan Costa: Dormi bene.

Josh Schwartz: vedo le cose peggiori e si riduce all'accettazione del rischio dove sto dicendo: "Okay, so com'è il mondo, so cosa è possibile e andrò bene." So che la tecnologia verrà infusa nella mia vita ovunque e farò la scelta di star bene, ma opererò in un modo in cui lo capisco e dormo come un bambino.

  • I migliori gestori di password gratuiti per il 2019 I migliori gestori di password gratuiti per il 2019
  • Come scoprire se la tua password è stata rubata Come scoprire se la tua password è stata rubata
  • Facebook memorizzato fino a 600 M password utente in testo normale Facebook memorizzato fino a 600 M password utente in testo semplice

Dan Costa: Va bene, c'è una tecnologia che usi ogni giorno o uno strumento o un servizio che ispira meraviglia?

Josh Schwartz: Beh, non è il mio cellulare, ma onestamente ci sono un sacco di cose che stanno accadendo e che mi chiedo e per lo più mi sento impaziente. Vorrei che arrivassero più velocemente. Sono entusiasta del futuro dell'IA, del futuro dell'apprendimento automatico e delle cose che speriamo ci possano dare un mondo più connesso. Principalmente, lo sto solo aspettando. Ma niente mi sorprende davvero troppo, credo.

Dan Costa: Quindi, come possono le persone seguire ciò che stai facendo, ciò che ti è permesso di dire pubblicamente alle persone, come possono trovarti online?

Josh Schwartz: Vado dal moniker FuzzyNop, così la gente può trovarmi lì ovunque.

Il capo del team rosso di Verizon Media ha un semplice consiglio di sicurezza