Videó: Improving CDN with the Verizon Media Platform, with Dave Andrews (Verizon Media) (November 2024)
A Fast Forward ezen epizódjában üdvözlöm Josh Schwartzt, a Verizon Media belső Red Team vezetőjét. Ez azt jelenti, hogy napjait arra törekszik, hogy becsapjon a munkáltató legértékesebb és legmegbízhatóbb rendszereibe, ideális esetben mielőtt valaki, aki nem áll a bérszámfejtőn, ugyanazt csinálja.
Dan Costa: Azt hiszem, az embereknek homályos elképzelésük van arról, hogy mi a vörös csapat; filmekben látták őket. Annyira szórakoztató és izgalmas, mint a tévében néz?
Josh Schwartz: Csak azt akarom, igaz? A felelősség a betörés, a helyekre jutás. Természetesen nagyon izgalmas, de nyilvánvaló, hogy a filmekben mindent azonnal látni fog, és a valóságban nem. Sok munkát igényel… nemcsak a csörögést okozza, hanem csínyeket okoz.
Valójában arra törekszik, hogy befolyásolja a szervezeten belüli változásokat, és arra törekszik, hogy tájékoztassa a szervezetet arról, hogy „mit csinálnak a rossz fiúk?” Ez a belső vörös csapatban való szerepvállalás, bár ez még mindig izgalmas, még mindig találkozókra kell mennem, mégis célokat kell kitűznem, ilyesmi.
Dan Costa: Kik vannak a csapat tagjai? Azt hiszem, sok programozó létezik, de azt hiszem, hogy nem csak a programozókra korlátozódik.
Josh Schwartz: A csapat készségeinek sokszínűsége olyasmi, amit nem tudunk megtenni, ha nincs ilyen képességünk. Nagyon gyakran van téves elképzelés azért, mert amit látsz a filmekben, például van egy hacker srác, aki meg tudja oldani bármilyen technológiai problémát.
Dan Costa: És ott van az autó srác, a fegyverek szakértője.
Josh Schwartz: A valóságban olyan csapatot építek, hogy mindenki szakember legyen valamit illetően. Ez a fickó az a fickó, aki tudja, hogyan kell fizikai behatolást végrehajtani, és valaki más a kriptográfia szakértője, és valaki más a szociális mérnöki szakértő. Ha mindenki szakértő lenne, azt jelenti, hogy támaszkodhatunk egymásra, hogy hatékonyan megoldhassunk bármilyen típusú problémát.
Dan Costa: Szóval, hogyan néz ki egy nap az irodában? Milyen típusú dolgokat tesztelsz?
Josh Schwartz: Hackerek lenni, az egyszerűen olyan valaki, aki szereti a rendszereket szétválasztani, igaz? Ez az oka annak, hogy önmagában nem bűncselekmények vagyunk csupán azzal, hogy hackerek vagyunk.
Tehát egy irodában töltött nap során az eredmények alapján célokat tűzünk ki, olyanok, mint a legrosszabb forgatókönyvek, amelyeket látni akarunk. Milyen lépéseket teszünk a semmitől a vállalkozás számára igazán rossz cél eléréséhez? Innentől el lehet alakítani valamit, amelyet "ölési láncnak" hívunk. Egy nap az irodában kitalálja, hogyan lehet ezt a láncot megvalósítani. Akkor gondolkodunk azon helyekről, ahol megszakíthatjuk ezt a láncot. Innentől találkozunk az érdekelt felekkel, elmondhatjuk nekik, hogy a támadók hogyan csinálnák, és felajánl egy kis változtatást, amelyet megtehetsz ennek javításához.
Dan Costa: Mi az a vektor, amely leginkább aggódik? Tudom, hogy továbbra is e-maileket kapok az IT-től, és azt mondják az embereknek, hogy ne kattintson az e-mailekhez vagy az e-mailekhez csatolt linkekre. Hol látja a még mindig ott lévő sebezhetőségeket?
Josh Schwartz: Ha hivatkozásokra kattint és letölt mellékleteket, és a sok figyelmeztetés ellenére futtatja azokat a számítógépen, ez egy probléma. De új korszakká fejlődtünk, ahol hozzáférhetünk a felhőben és a különböző helyeken létező információkhoz. Ha másnak is engedélyezi a hozzáférést, akkor ez is probléma.
Ez sokkal problematikusabb, mint valami a számítógépen futó, mert már nagyon sok védelem létezik. Most van olyan információnk, amely mindenütt ott lebeg, és van ügynöksége, hogy ellenőrizze azt. Van ügynöksége, amely más dolgokhoz is hozzáférést biztosít. Ez olyan, hogy az internet most működik. A támadók, beleértve minket, egy kicsit tovább mozogtak az ilyen dolgok felé.
Dan Costa: Nagyon rendkívüli még a saját Google Drive-ra nézve, és hány fájlhoz fér hozzá, aminek valójában nem szabad. Úgy gondolom, hogy sokkal rosszabb a cégek, amelyek technológiai szempontból nem olyan kifinomultak, mint a Ziff Davis és a PCMag. Ez nem csak a rosszindulatú programokat futtató fájlok, hanem lehetnek vállalati vagy pénzügyi dokumentumok is, amelyeket valóban nem akar, hogy a versenytársak rendelkezzenek, vagy a végfelhasználók, vagy a bűnözők.
Josh Schwartz: A biztonság általában véve ez a holisztikus rendszer. Nem arról szól, hogy "Van-e egy hiba a rendszerben, ahol ki akarja dobni valami kizsákmányolást, és felrobban", vagy valami hasonlót. Ez már nem működik. Összekapcsolt rendszerek, emberek, üzleti folyamatok, az őket támogató technológia, a mi érzésünk, politika - minden együtt… a biztonság.
És a biztonság gyakran csak egyfajta érzés. Mi a véleménye az adatokról és az információkról? Milyen lépéseket tehet megvédeni? Ha erõteljesen érzi magát és az ön által tett erőfeszítések kevesebbek, mint a körülötte lévő erők erőfeszítései, amelyek megpróbálják megszerezni, akkor bizonytalan vagy. De ha úgy érzi, hogy elegendő erőfeszítést tesz, és semmi rossz nem történik, akkor biztonságban érzi magát. De nincs biztonsági / be / ki kapcsoló.
Dan Costa: Beszéljünk egy kicsit a fenyegetések természetéről. Úgy tűnik, hogy van néhány vödör, amiben az emberek aggódnak. A hackelés olyan játékos dolog volt, amit az emberek tettek, hogy hozzáférjenek a számítógépéhez, vagy összeomolják a számítógépet. Aztán a bűnözők kitalálták, hogyan lehet pénzt keresni ezekkel a különböző technikákkal. Vannak olyan állami szereplők, sőt magánvállalkozások is, amelyek óriási mennyiségű adatot tartalmaznak az emberekről. Szerinted hol vannak a legnagyobb láthatatlan veszélyek a biztonsági téren?
Josh Schwartz: Kiderül, hogy ki a legnagyobb veszély, és végül kitalálja, ki vagy. A legnagyobb fenyegetés valószínűleg nem a legnagyobb fenyegetés számomra, ami nem a legnagyobb fenyegetés valamelyik társaságra valahol. Valami a fenyegetés modellezéséről szól, igaz? Nem csak a legnagyobb veszélyt választja, és rámutat rájuk. Azt gondolod: "Mi van nekem? Ki akarhatja? Mit tegyek vele?" Próbálkozzon és tegyen intézkedéseket az olyan dolgok enyhítésére, amelyekben nem akarja megtörténni.
Az, hogy megpróbáljuk megmutatni erre a nemzetre a legnagyobb fenyegetést, vagy ez a vállalat a legnagyobb fenyegetés, olyan dolog, ami egy kis csapdába vezet bennünket, ahol elkezdjük egy fenyegetési modell felépítését az egészről. És miközben annyira koncentrálunk erre az egy apró dologra, a körülöttünk lévő világ megváltozik, majd vakokra vetítik a figyelmünket.
Dan Costa: Sok vállalat jelentős adatsértéseket szenvedett, és ezek többségét a biztonság hiánya vagy csak a rossz szokások okozzák. Az Equifax amerikai milliókat doxált, de valójában nem volt következménye. Bírságot fognak fizetni, de minden vezetőjük bónuszt kapott. Gondolod, hogy valamilyen változást kell végrehajtani az elszámoltathatóság szempontjából?
Josh Schwartz: Nos, én vagyok egy olyan fickó, aki betör a számítógépekbe, nem egy közrendi döntéshozó, tehát nem igazán tudom. Talán ez megváltoztatja a dolgokat. Valószínűleg változások is lesznek, de alapvető szintjén, azt gondolva, hogy valahol valaki megváltoztat mindent, és már nincs probléma, azt hiszem, egy kicsit rövidlátó.
Arról szól, hogy minden működik együtt. Így törődünk vele, mint a nyilvánosság, és hogy a vállalkozások hogyan törődnek vele. Ez egy darab benne, de természetesen nem egész megoldás. És azt hiszem, az egyik nagy dolog, amelyre technológiai szakembereknek vagy a technológia fogyasztóinak gondolkodnunk kell, az, hogy a biztonság nem valaki feladata elefántcsont toronyban, hogy a megfelelő kapcsolót megfordítsuk, és mindent tökéletesen csináljunk. Minél kisebb változások történnek a viselkedésben, hogy mindent egy kicsit biztonságosabbá tegyünk… mindenki számára.
Dan Costa: Milyen személyes biztonsági szokásaid vannak? Használ VPN-t? Használ-e a kereskedelemben kapható rosszindulatú programok észlelését?
Josh Schwartz: Visszatér a fenyegetés modelljéhez, igaz? Attól függ, hogy mit csinálok abban az időben. A VPN véd téged bizonyos dolgoktól, de a VPN-hez való csatlakozás nem véd meg a vírusoktól. A VPN-hez való csatlakozás lényegében megváltoztatja a világ bármely részét, és néha ez hasznos lehet, ha szüksége van rá.
Ez egy kis alagútba helyezi a forgalmat, és az alagút valahol másutt elviszi Önt, a forgalom pedig máshol jön ki. A VPN akkor hasznos, ha ott van, ahol kissé nem biztonságos, vagy nem akarja, hogy valaki megtudja, hol tartózkodik. Az a gondolat, hogy csatlakoztam egy VPN-hez, és most biztonságban vagyok az interneten, nem igaz.
Személy szerint nekem azt hiszem, hogy a legnagyobb dolog a jelszókezelők. Egy kicsit új dolog, de ha több ember lenne, sokkal jobb helyen lennének. Mindegyik megsértés történt, igaz? Teljesen ismeri őket. Tehát, mint sértő ellenfél, ezek nem személyesek. Minden, ami kiszivárogtatott, ott van az interneten. Összeállíthatunk egy nagy listát mindent, kereshetünk jelszavakat, és megnézhetjük, milyen jelszavakat használtak korábban.
Aztán, ha megpróbálok hozzáférni valami rendelkezésedhez, ha megkeresem a korábban használt jelszót, akkor tudok egy kicsit rólad, és el tudom venni ezeket az információkat, megpróbálhatom újra felhasználni, vagy kitalálni, mi az Ön a következő jelszó lehet. A jelszókezelő használata, és minden jelszó rendkívüli egyedivá tétele minden meglátogatott webhelyen valójában valami jó, és megterheli az emberi agyat. Valójában csak egy helyen kell védenie, ami a biztonságot sokkal egyszerűbbé teszi.
Dan Costa: A PCMag jelszókezelőinek nagy rajongói vagyunk, majdnem 10 éve használom a LastPass alkalmazást. Ha meghaladja azt a ugrást, amikor valójában nem ismeri a jelszavait, ez egy ilyen megkönnyebbülés. Ez arra is emlékeztet, hogy elfelejtettük a Yahoo megsértését, amely rengeteg felhasználónevet és jelszót szivárogtatott fel. Évekkel ezelőtt volt, és senki sem törődött vele a Yahoo-val, de ennek a hacknak és a számítógépes bűnözőknek az az értéke, hogy sok ember még mindig használja azokat a jelszavakat, amelyeket 10 évvel ezelőtt használt a Yahoo-n. És megnézheti, hogy mit mond ezek a jelszavak.
Josh Schwartz: Az emberi viselkedésről van szó. Az a tény, hogy emberi és támadó szokásaid vannak. Gyakran ezt akarom kihasználni. Ez nem a technológia. A technológia tovább javul, tovább növeli a biztonságot, és biztonságosabbá válik, mert erre van szükségünk, amely előmozdítja az üzletet.
De az emberi viselkedés olyasmi, amely a változtatás iránti felelősségünk. És ha nem változtatjuk meg szokásainkat, és biztonságosabbá tesszük magunkat, akkor nincs olyan technológia, amely megóvhat minket bármitől.
Dan Costa: Vannak-e olyan egyéb szokások, mint a jelszókezelő, amelyeket Ön szerint a fogyasztóknak elfogadniuk kell, különösen mivel a tárgyak internetének korszakába lépünk, és minden sokkal összefügg?
Josh Schwartz: Ha átgondolod, az már nem csak a számítógép. Mindenütt eszközök és bizonyos szokások. Lehet, hogy úgy gondolja, hogy a telefonja nem olyan fontos, de a telefonra adott jelszó lényegében ottani jelszó. A telefon ugyanazon dolgokhoz fér hozzá, amelyekhez a számítógépéhez is hozzáférhet. Gondolkodjon minden olyan megérintett elemnél, amely kölcsönhatásba lép minden olyan adattal, amelyet meg szeretne védeni, és ügyeljen arra, hogy ugyanolyan érzékenyen kezelje, mint a laptopját, az asztalát vagy a számítógépet a munkahelyén.
Dan Costa: A múlt héten pár ember volt az RSA-n, és interjút készítettek egy NSA tisztviselővel, aki azt mondta: "A telefon titkosításától függetlenül hozzáférhetnek telefonokhoz, mert a legtöbb ember még mindig nem reteszeli telefonját." Nagyon sok ember nem zárja le telefonját, és annak feltöréséhez nincs szüksége titkosításra. Ez csak tiszta felhasználói viselkedés.
Josh Schwartz: Vagy a jelszó nullája vagy minden, vagy valami hasonló. Mindig fennáll az a gondolat, hogy a technológiák fejlődésével és a jelszavak olyan dolgokká válásával, mint az ujjlenyomat vagy az arcod, vagy ilyesmi, mindig lesz valamilyen támadás és valamilyen módon megkerülhető. Csak meg kell találnom és mutatnom kell a telefonod az arcodra, vagy le kell vágnom az ujját, és feltennem a telefonra.
Dan Costa: Sok filmben is látható.
Josh Schwartz: Igen, de manapság nem ezt csináljuk, ami jó.
Dan Costa: Ilyen gyorsan elfogy a csapat tagjai.
Josh Schwartz: És az ujjak megnehezítik a gépelést.
Dan Costa: 10 projekten dolgozhatnak, és akkor ez a vége. Tehát, mondja el, mit csinál, mi az egyensúly a szociális mérnöki és a műszaki hackelés között? És ez a keverék idővel változik?
Josh Schwartz: A társadalomtudomány mindig is kenyerem és vaj volt. Nagyon gyakran ez a legkevesebb ellenállás útja. Azt mondanám, hogy ez egy keverék. Nagyon sokat rekonstruál, megpróbálja kitalálni, mi valójában létezik odakint, de érdekes. A társadalmi mérnöki szempont, nem csak a támadó világban. Ha arra gondolsz, hogy létezik egy belső Red Team egy társaságon belül… megtesszük néhány technikai hackelést, és a szociális mérnököket, a fizikai és mindent kombinálva próbáljuk végrehajtani azt az ölési láncot, hogy teljesítsük a küldetést.
De utána, ha arra gondolsz, hogy a biztonság mit próbál tenni, akkor megpróbálunk mindenkit szociális mérnökként megtervezni, hogy jobb szokások legyenek a jobb érdekében. Sokszor ez a történet beszámolása arról, amit tettünk, és az emberek oktatása… a vállalaton belül: "Így működik, Itt van, mit tehet, hogy jobb legyen". Ez a szociáltechnika. Tehát valóban a munka nagy része a szociális mérnöki munka, mert az arra készteti az embereket, hogy a megfelelő módon törődjenek a biztonsággal, tegyék meg a megfelelő döntéseket, és remélhetőleg törődjenek a helyes dolgokkal.
Dan Costa: Azt hiszem, amikor az emberek e-maileket kapnak tőled, nem akarnak válaszolni. Ha kér valamit, nem tudom elképzelni, hogy az első válasz nem.
Josh Schwartz: A vörös csapatok egy kicsit átalakultak az elmúlt évtizedben. Ezen a helyen indul, ahol rendkívül ellenfél, rendkívül sértő, megpróbálsz legyőzni a dobot, és mindenkinek megtudod, hogy a biztonság fontos, és ezekben a napokban az emberek ellenségnek tekintnek, mert nos, ez a te dolgod.
Személyes tapasztalataim voltak, amikor belépetek a liftbe, és az emberek olyanok, mint: "Ó, nem akarok a földre menni, mert itt van a Red Team", és olyan vagyok, hogy "nem vagyok az igazi rossz fickó." Ez az idő múlásával megváltozott, mert a végén valójában mindannyian ugyanazon cél elérésén dolgozunk: védeni az információkat, védeni a fogyasztókat. Tehát miközben együtt dolgozunk, és amikor megosztjuk az információkat arról, amit ellenfélként tettünk, az ilyen biztosítékok és szövetségesnek és barátnak tekintnek minket, de ehhez időbe telik az idő. De a helyes irányba mutató tendenciát látom, tehát ez jó.
Dan Costa: Nagyszerű. Felteszek egy pár kérdést, amit felteszek mindenkinek, aki megjelenik a műsorban. Van egy olyan technológiai trend, amely aggasztja Önt, valami, ami éjszaka feltartja Önt?
Josh Schwartz: Ez tartja fent éjjel? Valószínűleg a mindenütt jelenlevő és kényelmesebb körülmények között elérhető technológia. Nem annyira… valójában az igazi válasz az, hogy semmi sem tart fenn éjjel.
Dan Costa: Jól alszol.
Josh Schwartz: A legrosszabb dolgokat látom, és a kockázat elfogadása esetén ott vagyok: „Oké, tudom, milyen a világ, tudom, mi lehetséges, és jól leszek vele.” Tudom, hogy a technológiát mindenütt behatolják az életembe, és úgy döntök, hogy rendben vagyok vele, de úgy fogok működni, hogy ezt megértem, és úgy alszom, mint egy csecsemő.
- A legjobb ingyenes jelszókezelők 2019-ig A legjobb ingyenes jelszókezelők 2019-ig
- Hogyan lehet megtudni, hogy ellopták-e a jelszavát? Hogyan lehet megtudni, hogy ellopták-e a jelszavát
- A Facebook legfeljebb 600 millió felhasználói jelszót tárolt szöveges formátumban. A Facebook legfeljebb 600 millió felhasználói jelszót tárolta egyszerű szövegben
Dan Costa: Rendben, van-e olyan technológia, amelyet minden nap használ, vagy olyan eszköz vagy szolgáltatás, amely inspirálja a csodát?
Josh Schwartz: Nos, ez nem a mobiltelefonom, de őszintén szólva, nagyon sok olyan dolog van felkészülve és jön, amelyekre gondolok, és leginkább türelmetlennek érzem magam. Bárcsak gyorsabban eljutnának ide. Nagyon izgatott vagyok az AI jövőjéről, a gépi tanulás jövőjéről és olyan dolgokról, amelyek remélhetőleg összekapcsolódó világot adnak nekünk. Leginkább csak arra várok. De szerintem semmi sem igazán meglep engem.
Dan Costa: Szóval, hogyan követhetik el az emberek mit csinálnak, mit szabad mondani az embereknek nyilvánosan, hogyan találhatnak meg online?
Josh Schwartz: A FuzzyNop monikerrel megyek, így az emberek bárhol megtalálhatnak.
